Worm.SymbOS.Cabir.k

Вредоносная программа-червь для операционной системы Symbian OS. Червь представляет собой файл формата SIS, caribe.sis. Размер файла — 17596 байт.

Worm.SymbOS.Cabir.k («Лаборатория Касперского») также известен как: SymbOS/Mabir.a!app (McAfee), SymbOS.Mabir.A (Symantec), SYMBOS_MABIR.A (Trend Micro), SymbOS/Mabir.A (H+BEDV), SymbOS/Cabir.E (Grisoft), SymbOS.Mabir.A (SOFTWIN), SymbOS.Worm.Caribe.A (ClamAV), SymbOS/Cabir.J.worm (Panda), SymbOS/Cabir.K (Eset)

Вредоносная программа-червь для операционной системы Symbian OS.

Червь представляет собой файл формата SIS, caribe.sis. Размер файла — 17596 байт.

Данный файл содержит в себе несколько объектов:

* caribe.app — примерный размер 14440 байт

* caribe.rsc — размер 44 байта

* flo.mdl — примерный размер 2540 байт

Инсталляция

При запуске червь выводит на экран сообщение:

Caribe Version 2 - ValleZ/29a

Затем инсталлирует себя в различные каталоги:



с:\system\apps\caribe\caribe.app

с:\system\apps\caribe\flo.mdl

с:\system\apps\caribe\caribe.rsc


C:\SYSTEM\SYMBIANSECUREDATA\
CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\
CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\
CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\RECOGS\FLO.MDL

C:\SYSTEM\SYMBIANSECUREDATA\
CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\
CARIBESECURITYMANAGER\INFO.SIS
 

Каталог SYMBIANSECUREDATA, создаваемый червем, является скрытым и не виден пользователю зараженного телефона.

В случае удаления файлов червя из каталога APPS, червь будет продолжать свою работу в системе.

Размножение

При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл caribe.sis. В этом случае у пользователя принимающего телефона на экран выводится сообщение:

Install Caribe?

В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона, см. описание Worm.SymbOS.Cabir.a).

Кроме того, по сравнению с остальными модификациями Cabir, в версии «k» появилась новая функция саморазмножения — посредством MMS. В частности, на любое входящее СМС или ММС-сообщение червь автоматически отвечает MMS-сообщением с вложенной копией зараженного файла.

Прочее

Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.