病毒名称:
Symbian.Cabir.H
类别: Trojan
病毒资料:
别名: SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus
概述: Cabir.H 是一个使用蓝牙的蠕虫,运行于支持 60 系列平台的 Symbian 手机。
Cabir.H 变种是原始 Cabir 的重编译版本,主要区别是 Cabir.H 有确定的复制规则,可以比之前的变种传播得更快。
Cabir.H 通过蓝牙连接复制,作为包含蠕虫的 velasco.sis 文件到达手机收信箱。当用户点击 velasco.sis 并选择安装时,蠕虫激活并开始通过蓝牙寻找新的手机以感染。
当 Cabir 蠕虫发现另一个蓝牙手机时,只要目标手机在范围内,它就开始向其发送 velasco.sis 文件的拷贝。与 Cabir 之前的变种不同, Cabir.H 在第一个目标离开范围后,能够发现新目标。因此 Cabir.H 一旦失去控制,极有可能比之前的变种传播得更快。
请注意 Cabir.H 蠕虫只能到达支持蓝牙并处于可发现模式的手机。
把你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。
但是一旦手机被感染,即使用户试图从系统设定中关闭蓝牙功能,病毒仍将试图感染其他系统。
详细描述:
复制
Cabir.H 通过蓝牙复制 velasco.sis 文件,包含蠕虫主要可执行文件 velasco.app 、系统识别marcos.mdl 和源文件 velasco.rsc 。 SIS 文件包括自启动设定,在 SIS 文件被安装后,将自动执velasco.app 。
velasco.sis 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。
当 Cabir.H 蠕虫被激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的 velasco.sis 文件。在第一个目标手机离开范围后, Cabir.H 会继续寻找并感染其他手机。
这个复制机制的修改使 Cabir.H 一旦失去控制,更可能快速传播。
感染
当 velasco.sis 文件安装时,安装者会将蠕虫可执行文件复制到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
当 velasco.app 执行时复制以下文件:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用户将应用程序安装到内存卡,避免用户试图通过卸载原始 SIS 文件杀掉蠕虫最可能发生。
之后蠕虫会从蠕虫部分文件和 velasco.app 中的数据块重建 velasco.sis 文件。
重建 velasco.sis 文件后,蠕虫会开始寻找所有可见的蓝牙手机,并向其发送 SIS 文件。
病毒的清除法:
使用光华反病毒软件 手机版,彻底删除。
病毒演示:
病毒FAQ:
Symbian系统下的病毒。
发现日期:
2007-2-15