Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.SymbOS.Cabir.a - infekuje urządzenia Bluetooth

Jest to pierwszy robak sieciowy rozprzestrzeniający się za pośrednictwem technologii Bluetooth. Szkodnik infekuje telefony przenośne pracujące pod kontrolą systemu operacyjnego Symbian. Obecnie bardzo wiele telefonów wykorzystuje technologię Bluetooth oraz system Symbian. Wymienienie ich wszystkich jest praktycznie niemożliwe. Dla przykładu Cabir.a może infekować telefony Nokia 3650, 7650 oraz N-Gage.

Aktualną listę urządzeń przenośnych korzystających z systemu operacyjnego Symbian można znaleźć na stronie WWW firmy Symbian.

Znane są dwie wersje robaka. Działają one identycznie - inny jest tylko wyświetlany przez szkodniki tekst.

Robak ma postać pliku caribe.sis o rozmiarze 15 092 bajtów (rozmiar drugiej wersji robaka to 15 104 bajty). Plik ten zawiera trzy obiekty:

  • caribe.app: 11 932 bajty (11 944 bajty w przypadku drugiej wersji robaka)
  • flo.mdl: 2 544 bajty
  • caribe.rsc: 44 bajty

Instalacja

Po uruchomieniu robak wyświetla na ekranie telefonu poniższy komunikat:

po czym instaluje się w następujących katalogach:

  • SYSTEM\APPS\CARIBE\CARIBE.APP
  • SYSTEM\APPS\CARIBE\FLO.MDL
  • SYSTEM\APPS\CARIBE\CARIBE.RSC
  • SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
  • SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
  • SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
  • SYSTEM\RECOGS\FLO.MDL

Tworzony przez robaka katalog SYMBIANSECUREDATA jest ukryty i użytkownik zainfekowanego telefonu nie ma do niego dostępu.

Nawet po usunięciu szkodnika z katalogu APPS będzie on dalej aktywny w systemie.

Rozprzestrzenianie

Po każdym włączeniu zainfekowanego telefonu robak skanuje listę aktywnych połączeń Bluetooth, po czym podejmuje próbę wysłania swojego pliku (caribe.sis) do pierwszego z nich. Urządzenie, które odbierze ten plik wyświetla następujący komunikat:

Jeżeli użytkownik zezwoli na odebranie zainfekowanego pliku szkodnik zaproponuje jego uruchomienie (wyświetlany komunikat zależny jest od modelu telefonu):

Informacje dodatkowe

Poza rozprzestrzenianiem się robak nie wykonuje żadnych dodatkowych operacji. Mimo to jego obecność w pamięci oraz skanowanie aktywnych urządzeń Bluetooth może spowodować niestabilną pracę zainfekowanego telefonu.

Usuwanie robaka

Firma Kaspersky Lab stworzyła narzędzie służące do usuwania robaka Cabir.a z zainfekowanych urządzeń przenośnych.

Narzędzie działa na następujących telefonach:

  • Nokia 3650,
  • Nokia 6600,
  • Nokia N-Gage,
  • Siemens SX1,
  • Sony Ericsson P900.

Narzędzie (plik decabir-1.0.sis) można pobrać bezpośrednio ze strony WAP firmy Kaspersky Lab (wap.kaspersky.com) lub korzystając z łącza http://wap.kaspersky.com/downloads/decabir-1.0.sis.

Jak używać narzędzia decabir.sis:

  1. Pobrać narzędzie i uruchomić je na użytkowanym urządzeniu przenośnym.
  2. Z menu głównego wybrać ikonę Decabir.
  3. Jeżeli urządzenie przenośne nie jest zainfekowane program wyświetli komunikat:
    Device is clean

  4. W przypadku wykrycia robaka narzędzie usunie go i wyświetli komunikat:
    Cabir has been removed. Please reboot

  5. Na koniec należy wyłączyć i włączyć urządzenie przenośne.


 2004-06-15  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych