病毒名称:
Symbian.Lasco.A
类别: Trojan
病毒资料:
别名: SymbOS/Lasco.A, EPOC/Lasco.A
概述: Lasco.A 是一个使用蓝牙传播的蠕虫和 SIS 文件,感染病毒运行于支持 60 系列平台的 Symbian 手机。
Lasco.A 通过蓝牙连接复制,作为包含蠕虫的 velasco.sis 文件到达手机收信箱。当用户点击velasco.sis 并选择安装时,蠕虫激活并开始通过蓝牙寻找新的手机以进行感染。
当 Lasco 蠕虫发现另一个蓝牙手机时,只要目标手机在范围内,它就开始向其发送 velasco.sis 文件的拷贝。像 Cabir.H 一样, Lasco.A 在第一个目标离开范围后,能够发现新目标。
除了通过蓝牙发送自身外, Lasco.A 也能够通过将自身嵌入手机中发现的 SIS 文件来复制。一个感染的 SIS 文件被复制到另一个手机上, Lasco.A 安装会在首次安装任务内部开始,询问用户是否安装 Velasco 。
请注意 Lasco.A 感染的 SIS 文件不会自动发送到其他手机。被感染文件而非原始 Velasco.SIS 感染 Lasco.A 的唯一方法是手动复制并安装到另一个手机。
Lasco.A 与 Cabir.H 基于同一代码,与其非常相似。 Cabir.H 和 Lasco.A 的主要区别是 SIS 文件感染规则。
请注意 Lasco 蠕虫只能到达支持蓝牙并处于可发现模式的手机。
把你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Lasco 蠕虫侵害。
但是一旦手机被感染,即使用户试图从系统设定中关闭蓝牙功能,病毒仍将试图感染其他系统。
通过蓝牙复制
Lasco.A 通过蓝牙复制 velasco.sis 文件,包含蠕虫主要可执行文件 velasco.app 、系统识别器 marcos.mdl 和源文件 velasco.rsc 。 SIS 文件包括自启动设定,在 SIS 文件被安装后,将自动执行 velasco.app 。
velasco.app 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。
当 Lasco.A 蠕虫被激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的 velasco.sis 文件。在第一个目标手机离开范围后, Lasco.A 会继续寻找并感染其他手机。
这个复制机制的修改使 Lasco.A 一旦失去控制,更可能快速传播。
通过感染 SIS 文件复制
Lasco.A 也通过寻找感染手机所有 SIS 安装文件来复制。通过将 velasco.sis 安装文件作为 SIS 档案中最后一个文件加入来感染它们。
Lasco.A 也会修改感染 SIS 文件头,以致嵌入的 velasco SIS 安装文件会在主 SIS 文件安装后自动启动。但当 Lasco.A 安装自动启动时,安装顺序仍然正常,用户会被询问是否想安装 Velasco ,而且用户会得到关于 SIS 文件中缺失签名的警告。
感染
当 velasco.sis 文件安装时,安装者会将蠕虫可执行文件复制到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
当 velasco.app 执行时复制以下文件:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用户将应用程序安装到内存卡,避免用户试图通过卸载原始 SIS 文件杀掉蠕虫是最可能发生的。
之后蠕虫会从蠕虫部分文件和 velasco.app 中的数据块重建 velasco.sis 文件。
重建 SIS 文件后, Lasco.A 会寻找手机中所有的 SIS 文件,将自身加入这些文件并修改 SIS 文件头,以致在手机上安装 SIS 文件时,嵌入目标 SIS 文件的 Lasco.A 会自动激活。
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15
