病毒名称:
Symbian.Commwarrior.C
类别: Worm
病毒资料:
别名: SymbOS/Commwarrior.C, Comwarrior, CWOUTCAST
源自: 俄罗斯
概述: Commwarrior.C 是一个与 Commwarrior.B 相似的蠕虫,但也有新的功能。
Commwarrior.C 能够通过蓝牙、 MMS 和插入被感染手机的 MMC 卡传播。
当 Commwarrior.C 感染一个手机时,它试图将操作者的标识改为自己的。在 Nokia 6600 上已检测到这种行为,标识被换成 "Infected by Commwarrior" 。
当用户回复新的 SMS 或 MMS 信息时, Commwarrior.C 将使用手机浏览器启动一个网页。
Commwarrior 搜索其他通过蓝牙可达的手机,使用蓝牙传播向找到的所有手机发送被感染的 SIS 文件。
Comwarrior 发送的 SIS 文件被随机命名,因此无法警告用户避免任何已知文件名字的文件。
除了通过蓝牙传播, Comwarrior.C 也通过 MMS 信息传播。 Commwarrior.C 基于用户发信习惯发送被感染的 MMS 消息,以使所有发送到被感染手机的信息都得到感染的 MMS 作为响应。而且由感染手机的用户发送的 SMS 消息将跟随感染的 MMS 消息。
由 Commwarrior.C 发送的 MMS 消息中的文字包含存储在手机收信箱的文字,因此 Commwarrior.C 发送的消息是接收用户可能期望从发送方收到的文字。
MMS 消息是能够在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示, MMS 消息设计为只包含媒体内容,如图片、音频或视频,但它们能够包含一切,包括被感染的 Symbian 安装文件。
Commwarrior.C 也通过 MMC 卡传播,将其自身复制到任何插入手机的卡中。如果这种卡被插入另一个手机,当卡插入时, Commwarrior.C 将自动启动。
Comwarrior 包含以下文字:
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware prodUCt. You may freely distribute it
in it's original unmodified form.
With best regards from Russia .
OTMOP03KAM HET!
文字 "OTMOP03KAM HET!" 是俄语,大意是 " 不要脑死亡 " 。
Commwarrior.C 尚未完全分析,如得到更多确认的细节描述将更新。
感染
Comwarrior SIS 文件安装时,安装者将蠕虫可执行文件复制到 c:\system\programs\cwoutcast.exe 。
comwarrior.exe 执行时,将自己复制到 \system\bootdata\lib\cwoutcast.exe 并创建 \system\recogs\cworec.mdl 到 C :盘和找到的所有 MMC 卡。
与 Commwarrior.A 和 .B 不同, Commwarrior.C 的 SIS 文件不包括 MDL 识别器,识别器部分包含在可执行的蠕虫中。
复制自身后, Commwarrior.C 在执行 cwoutcast.exe 的文件夹内重建 SIS 文件。
隐藏自身进程
Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程,以使其在标准应用程序列表内不可见。
但是如果用户使用一个名为 CWOUTCAST 的第三方进程列表工具, Commwarrior.C 进程是可见的。
通过蓝牙复制
Comwarrior 通过蓝牙在随机命名的 SIS 文件中复制, SIS 文件包括蠕虫的主要可执行文件 woutcast.exe 。
SIS 文件包含自启动设定,会在 SIS 文件被安装后自动执行 cwoutcast.exe 。
Comwarrior 蠕虫被激活时,将开始寻找其他蓝牙手机,并试图向每个目标手机发送一次自身复制品。
如果目标手机离开范围或拒绝文件传输, commwarrior 将搜索另一个手机。
Comwarrior 的复制机制不同于 Cabir 。一旦一个手机在范围内, Cabir 蠕虫会锁定它,在失去连接或持续锁定后则取决于变种是否查看另一个变种。
Comwarrior 蠕虫会持续寻找新的目标,因此它能够连接范围的所有手机。
通过 MMS 复制
Commwarrior.C 使用三种策略通过 MMS 消息传播。
第一种当 Commwarrior.C 启动时,它开始搜索手机地址簿,向所有标记为手机的电话号码发送 MMS 消息。
Commwarrior.C 监听所有到达的 MMS 或 SMS 消息,向这些消息回复包含 Commwarrior.C SIS 文件的 MMS 消息。
蠕虫也监听所有由用户发送的 SMS 消息,在 SMS 消息之后向相同号码发送 MMS 消息。
复制到 MMC 卡
Commwarrior.C 监听所有插入感染手机的 MMC 卡,并向其复制自身。感染的卡包含 Commwarrior 可执行文件和 bootstrap 部分,以使另一个手机如果插入感染的卡也会感染。
保护自身不被杀毒
Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分, Commwarrior.C 的运行进程将在手机中重新创建它们。 Commwarrior.C 也设定保护它自己的进程,以使进程不能被轻易杀死。
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15
