病毒名称:
Symbian.Locknut.A
类别: Trojan
病毒资料:
别名: SymbOS/Locknut.A,Gavno.A, Gavno.B
概述: Locknut.A 是一个恶意 SIS 文件木马,伪装成 Symbian 60 系列手机的补丁。
安装时, Locknut.A 释放使系统关键部分崩溃的二进制文件,阻止手机中所有应用程序启动。因此有效地锁定了手机。
据说 Locknut 会使呼叫功能无法使用,以致用户不能用感染手机打电话。但我们没有在任何手机上达到这种效果。
Locknut.A 也只作用于 Symbian OS 7.0 或更新的手机,使用 Symbian OS 6.0 或 6.1 的手机不受影响。
Locknut 的目标是 Symbian 60 系列手机,但也有 70 系列手机,如 Nokia 7710 就易受 Locknut 攻击。但是当试图在 Nokia 7710 上安装 Skulls 木马时,用户会得到一个 SIS 文件与手机不兼容的警告,因此偶然感染的危险很小。
有些 AV 公司把这种木马叫做 Gavno ,但因为这个词在俄语中的意思相当粗俗。 AV 业界决定将其重命名为 Locknut 。
也有在同一 SIS 文件中包含 Cabir.B 的 Locknut 版本,有些公司称为 Gavno.B 。但因为实际的木马功能完全等同于 Locknut.A ,我们把两种样本都叫做 Locknut.A 。
Locknut.A 样本中包含的 Cabir.B 是无害的,因为 Locknut 杀死感染手机上的所有应用程序,包括从同一 SIS 文件安装的 Cabir.B 。
即使杀掉 Locknut.B , Cabir.B 仍不会启动,因为它被安装到了感染手机中错误的文件夹。
如果用户杀掉 locknut 后手动启动 Cabir.B , Cabir.B 会作为纯粹的 Cabir.B 传播,不会把 Locknut.A 传播到其他手机。
Locknut.A 是一个 SIS 文件,用无法使用的 stub 文件使系统关键 ROM 二进制文件崩溃。 Locknut.A sis 文件安装时,文件会安装到以下位置:
c:\system\apps\gavno\gavno.app
c:\system\apps\gavno\gavno.rsc
c:\system\apps\gavno\gavno_caption.rsc
Locknut.SIS 文件也包含复制到 C:\ 文件夹的自身拷贝。
传播
以 patch_v1.sis 和 patch_v2.sis 形式
危害
Locknut.A 的两个版本都替换系统关键二进制文件, patch_v2.sis 还释放不能在手机上启动的 Cabir.B
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15