病毒名称:
Symbian.Mabir.A
类别: Worm
病毒资料:
Mabir 是针对 Symbian 60 系列手机的蠕虫, Mabir 蠕虫能够通过蓝牙和 MMS 信息传播。
当 Mabir.A 感染手机时,它将开始寻找其他通过蓝牙可达的手机,并向发现的手机发送感染的 SIS 文件。
Mabir.A 发送的 SIS 文件总是拥有同样的文件名 "caribe.sis" 。请注意虽然 Mabir.A 使用的 SIS 文件名与原始 Cabir 蠕虫相同,它仍是与 cabir 不同的蠕虫。
除了通过蓝牙传播, Mabir.A 也监听所有到达感染手机的 MMS 或 SMS 消息。并向这些消息回复包含 "info.sis" 的 Mabir 的 MMS 消息。
Mabir 发送的 MMS 消息不包含任何文字信息,只有 info.sis 文件。
MMS 消息是可以在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示,设计的 MMS 消息只包含媒体内容,如图片、音频或视频,但实际上它能够包含一切,包括被感染的 Symbian 安装文件。
通过蓝牙复制
Mabir 通过蓝牙在总是命名为 caribe.sis 的 SIS 文件中复制, SIS 文件包括蠕虫的部分文件 caribe.app , caribe.rsc 和 flo.mdl 。
SIS 文件包含自启动设定,会在 SIS 文件被安装后自动执行 caribe.app ,启动蠕虫。
当 Mabir 蠕虫被激活,它将开始寻找其他蓝牙手机,并向发现的第一个手机发送自身。如果目标手机离开范围或拒绝文件传输,它仍会试图向同一个手机发送消息。
通过 MMS 复制
Mabir 通过 MMS 向其它用户发送包含感染 SIS 文件的 MMS 消息来复制。 MMS 消息包含文件名为 info.sis 的 Mabir SIS 文件。
MMS 发送由到达手机的 MMS 或 SMS 消息触发,导致 Mabir 将自身作为 MMS 消息发送到消息来源的号码。因此 Mabir 作为用户发送到感染手机上的信息的回复而发送,以此试图骗过接受者。
Mabir 蠕虫在其发送的 MMS 消息中不使用任何文字。
感染
当 Mabir SIS 文件安装时,安装者将蠕虫可执行文件复制到以下地址:
\system\apps\Caribe\Caribe.app
\system\apps\Caribe\Caribe.rsc
\system\apps\Caribe\flo.mdl
当 Mabir.exe 执行时,复制以下文件:
\system\symbiansecuredata\caribesecuritymanager\Caribe.app
\system\symbiansecuredata\caribesecuritymanager\Caribe.rsc
并重建其 SIS 文件到:
\system\symbiansecuredata\caribesecuritymanager\Info.sis
重建 SIS 文件后,蠕虫开始寻找所有可见的蓝牙手机,并开始等待到达的 SMS 或 MMS 消息。
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15
