- TOMPDA实名认证开始啦 HOT!!
- 下载带有 Google 工具栏的 Firefox
- 从 Google 下载相片软件
TOMPDA独家-5款手机杀毒软件横向评测
本次评测4例病毒体详细分析
第一例:【 Cabir.H 】
别名:SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus
概述:
Cabir.H 是一个使用蓝牙的蠕虫,运行于支持60系列平台的Symbian 手机。
Cabir.H 变种是原始Cabir的重编译版本,主要区别是Cabir.H有确定的复制规则,可以比之前的变种传播得更快。
Cabir.H通过蓝牙连接复制,作为包含蠕虫的velasco.sis文件到达手机收信箱。当用户点击velasco.sis并选择安装时,蠕虫激活并开始通过蓝牙寻找新的手机以感染。
当Cabir蠕虫发现另一个蓝牙手机时,只要目标手机在范围内,它就开始向其发送velasco.sis文件的拷贝。与 Cabir 之前的变种不同,Cabir.H 在第一个目标离开范围后,能够发现新目标。因此Cabir.H一旦失去控制,极有可能比之前的变种传播得更快。
注意Cabir.H蠕虫只能到达支持蓝牙并处于可发现模式的手机。
把你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。但是一旦手机被感染,即使用户试图从系统设定中关闭蓝牙功能,病毒仍将试图感染其他系统。
病毒详细描述:
复制
Cabir.H通过蓝牙复制velasco.sis文件,包含蠕虫主要可执行文件velasco.app,系统识别marcos.mdl和源文件velasco.rsc。SIS文件包括自启动设定,在SIS文件被安装后,将自动执velasco.app 。
velasco.sis 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。
当 Cabir.H 蠕虫被激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的velasco.sis文件。在第一个目标手机离开范围后,Cabir.H会继续寻找并感染其他手机。
这个复制机制的修改使 Cabir.H 一旦失去控制,更可能快速传播。
感染
当velasco.sis文件安装时,安装者会将蠕虫可执行文件复制到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
当velasco.app 执行时复制以下文件:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用户将应用程序安装到内存卡,避免用户试图通过卸载原始SIS文件杀掉蠕虫最可能发生。之后蠕虫会从蠕虫部分文件和velasco.app中的数据块重建velasco.sis文件。
重建 velasco.sis 文件后,蠕虫会开始寻找所有可见的蓝牙手机,并向其发送 SIS 文件。
第二例:【 Skulls.E 】
别名: SymbOS/Skulls.E 源自: 叙利亚
概述:
Skulls.E是Skulls SIS文件木马的一个新变种。它向手机释放稍有修改的Cabir.F,并使内置应用程序无法使用。
详细描述:
Skulls.E是一个SIS文件,替换与蓝牙控制相关的系统ROM二进制文件,向系统释放Cabir.F和其他应用程序,使第三方文件管理器无法使用。
传播
以 "ThNdRbRd !.sis" 形式
危害
用无法使用的版本替换内置和第三方应用程序,安装Cabir蠕虫。
第三例:【 Skulls.H 】
别名: SymbOS/Skulls.H
概述:
Skulls.H 是Skulls.D SIS 文件木马的另一個新变种, 它包含Cabir的几个蠕虫变形, 和几个Locknut.B木马拷贝。
传播
NokiaGuard.sis 和ScreenSaver.sis
危害
用non-functional来替换或者修改第三方应用, 安裝Cabir蠕虫, Locknut.B特洛伊人和开始显示闪动的骷髅头的动画
