Огляд вірусів для Symbian

Виконуваний файл хробака упакований в інсталяційний архів Symbian (SIS). Розмір архіву - 27-30КБ. Назва файлу може змінюватись; зокрема, передаючи себе Bluetooth, черв'як генерує довільне ім'я файлу довжиною 8 символів, наприклад bg82o_s1.sis. Інсталяція

Після запуску архів розпаковується в systemappsCommWarrior: systemappsCommWarriorcommwarrior.exe systemappsCommWarriorcommrec.mdl

Запущений файл commwarrior.exe у свою чергу копіює ці файли та оригінальний архів у директорію systemupdates: systemupdatescommwarrior.exe systemupdatescommrec.mdl systemupdatescommw.sis Розмноження

Черв'як поширюється двома способами: Bluetooth і MMS.

Хробак містить у собі текст:

Є додатком для операційної системи Symbian - інсталяційний SIS-архів.

Файл може мати назву Symbian_Anti-Virus.SIS. Розмір - 27362 байт. Інсталяція

Вміст наступних каталогів перезаписується, якщо каталог не існував, він створюється: systemappsAnti-Virus systemappsAntiCommWarrior systemappsAntivirus systemappsAppMngr systemappsCabirFix systemappsCalvinStinger systemapps>systemappsefileman systemappsEVS systemappsF-Secure systemappsFCommwarrior systemappsFExplorer systemappsKaspersky systemappsKLAntivirus systemappsMAV systemappsmobilesecurity systemappsNEWFILESCAN systemappsProfiMail systemappsSmartFileMan systemappssymcs systemappssymlu systemappsSystemExplorer systemappsTrendMicro systemappsvirem systemappsvirusguard systemappsVirusScan

У кожному каталозі створюється файл із ім'ям каталогу та розширенням app. Дані файли маютьрозмір від 3 до 12 байт та непрацездатні. Таким чином, троянець намагається вивести з ладу вказані антивірусні програми.

Файл About SymbianAV.txt містить наступний текст:

Крім функції BlueTooth-хробака, вірус також містить функцію зараження файлів. При запуску він сканує диск у пошуках SIS-архівів, а знайдені файли намагається заражати за допомогою свого коду всередину архіву.

Вірус представлений у двох варіантах: програма для платформи Win32, що заражає знайдені SIS-файли, і програма для платформи Symbian. velasco.sis, розмір 15750 - основний файл вірусу sisinfect.exe, розмір 69632 - інфектор, що працює у Windows. Сканує локальні диски у пошуках SIS-архівів, знайдені намагається заражати, впроваджуючи вміст velasco.sis. marcos.sis, розмір 1579 – містить модуль marco.mdl, що встановлює velasco.sis в автозавантаження системи Symbian.

Вірусні файли розміщуються в наступній директорії мобільного пристрою:

Файл автозавантаження знаходиться тут:

Ось список цих пристроїв (оригінал знаходиться на сайті Symbian): Телефони Вже випущені

FOMA F2051 FOMA F2102V FOMA F900i Motorola A920 Motorola A925 Nokia 3650/3600 Nokia 3660/3620 Nokia 6600 Nokia 7650 Nokia 9210 Communicators Nokia 9290 Communicator Nokia N-Gage Nokia N-Gage QD Send X Siemens SX1 Sony Ericsson P800 Sony Ericsson P90 Ericsson R380 World Smartphone Ericsson R380e Smartphone Ericsson R380sc Smartphone Psion 618C and 618S Psion Revo and Revo Plus Psion Series 5mx Psion Series 7 and netBook

Зараз відомі дві версії цього хробака, що відрізняються лише наявністю рядка “VZ/29a” у тексті Window Alert, що виводиться на екран.

Черв'як є файлом формату SIS, caribe.sis. Розмір файлу - 15092 байт (або 15104 байт).

Цей файл містить декілька об'єктів: caribe.app: розмір 11932 байт (або 11944 байт) flo.mdl: розмір 2544 байт caribe.rsc: розмір 44 байта Установка

Під час запуску черв'як виводить на екран повідомлення “Caribe” (або “Caribe – VZ/29a”):

огляд

І потім інсталює себе в різні каталоги:

з:systemappscaribecaribe.app з:systemappscaribeflo.mdl з:systemappscaribecaribe.rsc

C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.SIS C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.APP C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.RSC C:SYSTEMR

У разі видалення файлів черв'яка з каталогу “APPS”, черв'як буде продовжувати свою роботу в системі.

огляд

огляд

"Лабораторія Касперського" розробила спеціальну утиліту для видалення Cabir.a із зараженого мобільного пристрою під керуванням ОС Symbian.