病毒名称:
Symbian.Cabir.A
类别: Worm
病毒资料:
Cabir 是一个使用蓝牙传播的蠕虫,运行于支持 60 系列平台的 Symbian 手机。
Cabir 通过蓝牙连接复制,作为包含蠕虫的 caribe.sis 文件到达手机收信箱。当用户点击 caribe.sis 并选择安装 Caribe.sis 文件时,蠕虫激活并开始通过蓝牙寻找新的手机感染。
当 Cabir 蠕虫发现另一个蓝牙手机时,它将开始向其发送感染 SIS 文件,并锁定这个手机,以至于即使目标离开范围时它也不会寻找其他手机。
请注意 Cabir 蠕虫只能到达支持蓝牙且处于可发现模式的手机。
将你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。
但是一旦手机感染,即使用户尝试从系统设置使蓝牙不可用,病毒也会试图感染其他系统。
当用户在手机收信箱中点击 caribe.sis ,会显示一个警告对话框。
如果用户点击是,手机会询问正常的安装问题。
如果用户点击是, Cabir 蠕虫会激活,显示一个对话框,包含病毒作者给蠕虫的命名、作者姓名缩写和团体缩写 29A 。不过某些手机型号如 Nokia 6600 似乎不显示这个对话框。
杀毒:
你可以通过安装一个文件应用程序对系统进行手动杀毒,并手动删除这些文件:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc
详细描述:
复制
Cabir 通过蓝牙复制 caribe.sis 文件,包含蠕虫可执行文件 caribe.app 、系统识别器 flo.mdl 和资源文件 caribe.rsc 。 SIS 文件包括自启动设定,在 SIS 文件被安装后,将自动执行 caribe.app 。
caribe.sis 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。
当 Cabir 蠕虫激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的 caribe.sis 文件。 Cabir 中的复制规则包含一个缺陷,导致它锁定发现的第一个手机,不会寻找其他手机。
这意味着每次激活 Cabir 只能向一个手机发送感染文件。因此当 Cabir 第一次激活时会试图感染一个手机,然后在手机重启时每次一个。
实验中我们也发现新感染的手机首先会寻找发送感染文件的手机。因此只有当在用户在新手机中激活 Cabir 之前,发送感染文件的手机就离开范围的情况下, Cabir 才能够广泛传播。
这意味着,虽然 Cabir 能够传播,但是传播得会很慢而且不会引起大范围传播。
一个奇怪的事实是 60 系列手机中的蓝牙功能与 GSM 方面独立,而且如果手机重启, 即使用户不输入 PIN 码, cabir 也会试图传播。
感染
当 caribe.sis 文件安装时,安装者会将蠕虫可执行文件复制到以下位置:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
当 caribe.app 执行时,复制以下文件:
flo.mdl 到 c:\system\recogs
caribe.app 到 c:\system\symbiansecuredata\caribesecuritymanager\
caribe.rsc 到 c:\system\symbiansecuredata\caribesecuritymanager\
在用户向内存卡安装应用程序时最有可能发生。
然后蠕虫会从蠕虫部分文件和 caribe.app 中的数据块重建 caribe.sis 文件。
重建 caribe.sis 文件后,蠕虫开始寻找所有可见的蓝牙手机,并向它们发送 SIS 文件。
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15