Robak atakujący komórki coraz groźniejszy

W Stanach Zjednoczonych Cabira po raz pierwszy odnaleziono w miniony poniedziałek, 14 lutego, w telefonie komórkowym nabytym w sklepie komputerowym w Santa Monica (Kalifornia).

Dzień wcześniej infekcję wykryto w Rosji. W obu przypadkach robak zaatakował komórki firmy Nokia działające pod kontrolą systemu operacyjnego Symbian OS, wykorzystujące technologię łączności bezprzewodowej Bluetooth.

Odkryty w czerwcu ub.r. Cabir stworzony został przez międzynarodową grupę autorów wirusów 29a. Ekipa ta wydaje się specjalizować w tworzeniu "innowacyjnych insektów" - nieco wcześniej udało się jej wprowadzić do Sieci pierwszego robaka infekującego 64-bitową wersję systemu Windows.

Jak działa robak? Przede wszystkim wyświetla na ekranie okeślony tekst, następnie zaś uporczywie szuka w otoczeniu urządzeń działających w technologii Bluetooth. Ma to znaczący wpływ na stopień zużycia baterii telefonu.

Pionierski wirus komórkowy rozprzestrzenia się głównie przez bezprzewodowe połączenia internetowe i jest niebezpieczny dla użytkowników systemu Symbian OS (niektóre modele firm Nokia, Siemens i Sony Ericcson). Symantec szczegółowo opisuje 20 różnych mutacji tego robaka, oznaczonych literami od A do T.

W telefonie Cabir pojawia się zwykle - po zgodzeniu się przez użytkownika na przyjęcie transmisji Bluetooth - w postaci pliku caribe.sis, który automatycznie jest instalowany w katalogu apps.

Towarzyszy temu pojawienie się komunikatu na ekranie telefonu o treści: Caribe - VZ/29a.




W zależności od wersji nazwa infekującego pliku oraz wyświetlany komunikat mogą się różnić od podanych wyżej. Producenci oprogramowania antywirusowego zalecają nie pobierać, nie instalować plików pochodzących z nieznanych lub podejrzanych źródeł.

Inne możliwe nazwy pliku zawierającego robaka to:

velasco.sis
-sexy-.sis
mobile.sis
22207-.sis
crazy!.sis
fuyuan.sis
guan4u.sis
iLoveU.sis
free$8.sis
ni&ai-.sis
mytiti.sis
[yuan].sis
skulls.sis
tee222.sis

Należy też pamiętać, że infekcje telefonów występują przeważnie w gęsto zaludnionych miejscach publicznych, gdzie wiele osób jednocześnie korzysta ze swoich komórek.

"Aparaty wykorzystujące technologię Bluetooth powinny być użytkowane w trybie uniemożliwiającym wykrycie ich przez inne urządzenia tego typu" - przekonują analitycy z firmy Kaspersky Lab.

Jeśli już dojdzie do infekcji, aby pozbyć się robaka, należy usunąć z telefonu następujące pliki (dotyczy najbardziej rozpowszechnionej mutacji Cabira oznaczonej literą A):

\system\apps\caribe\caribe.app
\system\apps\caribe\caribe.rsc
\system\apps\caribe\flo.mdl
\system\symbiansecuredata\caribesecuritymanager\caribe.app
\system\symbiansecuredata\caribesecuritymanager\caribe.rsc
\system\symbiansecuredata\caribesecuritymanager\caribe.sis
\system\recogs\flo.mdl
\system\installs\caribe.sis

Firma Kaspersky Lab stworzyła też narzędzie służące do usuwania robaka z zainfekowanych urządzeń przenośnych. Plik decabir-1.0.sis można pobrać bezpośrednio ze strony WAP tej firmy: wap.kaspersky.com

Jeżeli urządzenie przenośne nie jest zainfekowane program wyświetli komunikat:

Device is clean

W przypadku wykrycia robaka narzędzie usunie go i wyświetli komunikat:

Cabir has been removed. Please reboot

Na koniec należy wyłączyć i ponownie włączyć komórkę. Narzędzie działa na następujących telefonach:

Nokia 3650
Nokia 6600
Nokia N-Gage
Siemens SX1
Sony Ericsson P900

Aktualną listę urządzeń przenośnych korzystających z systemu operacyjnego Symbian OS można znaleźć na stronie internetowej producenta:

orginal http://di.com.pl/n/?lp=9040&r=1

Ponieważ od dawna interesje się Bluetooth'em, to o tym sprytnym wirusiku już słyszałem jakiś czas temu. Mogę tylko jeszcze dodać iż nowsze wersje Cabir rozprzestrzeniają się na wiele telefonów podczas jednego uruchomienia zainfekowanej komórki (systemu). Pierwsza wersja przenosiła się tylko na jeden obcy telefon - konieczne było ponowne uruchomienie telefonu aby wirus mógł rozprzestrzenić się na następną komórkę. Samo włączenie opcji <Widoczny dla innych> nie jest na razie zagrożeniem, jedynie przyjęcie (przez człowieka) obcego nieznanego pliku powoduje to zagrożenie.
Ciekawe kiedy napiszą wersję która będzie sama włączać Bluetooth'a w telefonie i bez wiedzy ofiary, będzie instalować się na jej telefonie.
Chętnie był zobaczył kod źródłowy tego wirusa i szkoda że nie mam komórki z Symbianem. Było by nad czym posiedzieć i jako dodatek do magisterki też by się nadawało

Informacje - Wirusy komórkowe - kilka słów prawdy
1 marca 2005

Od pewnego czasu media informują nas ze wszystkich stron o nowej pladze - wirusach, atakujących telefony komórkowe, przy czym najpopularniejszą gwiazdą ostatnich dni jest Cabir.

Zadziwiające, że żaden z autorów artykułów nie pofatygował się nie tylko o samodzielne zweryfikowanie informacji w życiu, ale choćby o skonfrontowanie ich z danymi producentów oprogramowania antywirusowego.

Aby Cabir mógł zainfekować telefon, te musi spełniać kilka wymagań. Przypomnijmy: oprócz posiadania tzw. "smartphone" czyli telefonu wyposażonego w system operacyjny Symbian, oraz aktywnego połączenia Bluetooth musimy jeszcze kilkukrotnie potwierdzić chęć otrzymania i zainstalowania aplikacji.

Fakt 1: Połączenie Bluetooth jest standardowo wyłączone, a po jego uaktywnieniu nasz telefon domyślnie nie będzie się rozgłaszał, co oznacza, że nie będzie widoczny dla innych urządzeń, więc nie może otrzymać aplikacji z obcego źródła.

Fakt 2: Nawet jeżeli znajdziemy się z telefonem z włączonym łączem Bluetooth i uaktywnionym rozgłaszaniem w pobliżu zainfekowanego smartphone'u (szanse sa naprawdę nikłe), musielibyśmy - wciąż będąc w zasięgu zainfekowanego telefonu - zdążyć ręcznie zaakceptować transmisję pliku, a następnie chęć jego zainstalowania. Łącznie z zaakceptowaniem systemowego alarmu o nieznanym źródle pochodzenia pliku daje to konieczność nawet trzykrotnego potwierdzenia!

W praktyce, wirusy komórkowe rozprzestrzeniające się samoistnie nie mają więc (na razie) dużego pola do popisu. Skoro jednak udaje się przeżyć wirusom, które wymagają od użytkownika rozpakowania archiwum zaszyfrowanego hasłem, nie dziwi, że także Cabir znajduje sobie pojedyncze ofiary. Nie ma możliwości, by rozprzestrzeniał się on tak, jak internetowe robaki - infekując telefony leżące na wystawie z aparatów przechodniów i vice versa (scenariusz opisywany przez niektóre serwisy internetowe).

Źródło: www.cert.pl

robak zostal juz zmutowany nie wymaga sie potwierdzenia przyjeca aplikacji btw juz zaraza telefony na wystawach !!

Jeszcze troche i w salonach będzie telefonXXXX+pakiet antywirusowy za jedyne xxxx złotych

wlasnie mam tego robaka bylo czy chcesz odebrac od nokia 6600 caribe a moj kolega mial 6600 i teraz formata musze zrobic??

w servisie mialem juz kilka tlefonow z tym viruskiem caribe. wyslal w miedzy czasie przez bllu ten plik do innych telefonow. Nowe oprogramowanie pozwoliło usunąc robaka chodz w noki 7650 miałem z nim prolem. całe usuwanie straego softu i wgrywanie nowego przechodziło pozytywnie po czym jak zakończyło się wgrywanie nowego softu okazywało się że jest stary dopiero przy kilku probach udało się wgrać nowy.

a co do rozprzestrzeniania się robaka to nie jest to jakaś masowa rewola. naprawiałm tylko kilka tlefonów z robakiem przez okers 3miesięcy

Witam mam dosyc wazne pytanie...
Piszecie ze wirus przemieszcza sie przez Bluetooth jest to mozliwe ze w mms go dostałam ? mam samsunga J700... nie zauwarzylam ze sam wysyła mi mms ani uzywa Bluetooth...
jak radzicie mam z nim isc do seriwsu ?
w starym tel (motorola) pare razy dostalam takiego mms o roznych tresciach i nic sie nie dzialo...

J700 to nie telefon na symbianie więc ten wirus w twoim telefonie nie ma racji bytu.