|
VSantivirus No. 1441 Año 8, miércoles 16 de junio de 2004
SymbOS/Cabir.A. El primer gusano de teléfonos móviles
http://www.vsantivirus.com/epoc-cabir-a.htm
Nombre: SymbOS/Cabir.A
Nombre NOD32: SymbOS/Cabir.A
Tipo: Gusano
Alias: Cabir, EPOC/Cabir.A, EPOC.Cabir, EPOC.CABIR, EPOC.Cabir.A, EPOC.Cabir.B, EPOC/Cabir.A, Epoc/Cabir.A.worm, EPOC_CABIR, EPOC_CABIR.A, Symb/Cabir-A, Symbian/Cabir, Symbian/Cabir.a, Symbian/Cabir.b, Worm.Symbian.Cabir, Worm.Symbian.Cabir.a,
SymbOS/Cabir.A
Fecha: 15/jun/04
Plataforma: EPOC, Nokia Series 60
Tamaño: 15,092 bytes
Nombre anterior: EPOC/Cabir.A
Última modificación: 5/feb/05
Se trata de la "prueba de concepto" de un gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. Al ser solo una demostración, el gusano, aunque totalmente funcional, no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo). Tampoco existen reportes de que se esté propagando, y solo se ha distribuido una versión de laboratorio.
Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible.
Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano.
Algunos de los teléfonos móviles afectados:
Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1
Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior.
Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "caribe". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth".
Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias.
Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo.
El gusano llega como un archivo .SIS y se instala por si solo en la carpeta APPS (aplicaciones).
Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo:
Mensaje 1:
Receive
message via
Bluetooth from
Bluetooth device?
Mensaje 2:
Application is
untrusted and
may have problems.
Install only if you
trust provider.
Mensaje 3:
Install
caribe?
Aparece entonces el menú de instalación (Install).
Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "caribe":
Si el usuario cancela la instalación, aparece la bandeja de nuevo correo ("1 new message"). El mensaje contiene el archivo CARIBE.SIS.
El archivo CARIBE.SIS se instala a si mismo en la carpeta APPS.
La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones.
Estos son los archivos creados por el gusano:
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\apps\caribe\caribe.rsc
También crea las siguientes carpetas y archivos:
c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
c:\system \symbiansecuredata\caribesecuritymanager\caribe.rsc
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\caribe.sis
El gusano no puede catalogarse de un serio riesgo, por varias razones:
1. Una comunicación "Bluetooth" no está habilitada por defecto.
2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth".
3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso.
4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual.
Eliminación manual
Para eliminar el gusano de un dispositivo infectado, siga estos pasos:
1. Seleccione la opción "caribe" de la lista de aplicaciones.
2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes".
3. Borre los siguientes archivos utilizando el manejador de archivos (file manager):
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\apps\caribe\caribe.rsc
c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.app
c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.rsc
c:\system\Recogs\Flo.mdl
c:\system\Symbiansecuredata\Caribesecuritymanager\Caribe.sis
Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.
Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo.
Relacionados:
Primer gusano para teléfonos móviles
http://www.vsantivirus.com/ev-15-06-04.htm
Predicciones de seguridad y la naturaleza humana
http://www.vsantivirus.com/ev-predicciones.htm
EPOC/Cabir.B. El primer gusano de teléfonos móviles
http://www.vsantivirus.com/epoc-cabir-b.htm
Actualizaciones:
17/06/04 - 08:40 -0300 (Alias: EPOC.Cabir.A)
17/06/04 - 08:40 -0300 (Alias: EPOC.Cabir.B)
17/06/04 - 08:40 -0300 (Alias: EPOC_CABIR)
17/06/04 - 08:40 -0300 (Alias: Symb/Cabir-A)
17/06/04 - 08:40 -0300 (Alias: Symbian/Cabir)
17/06/04 - 08:40 -0300 (Alias: Symbian/Cabir.a)
17/06/04 - 08:40 -0300 (Alias: Symbian/Cabir.b)
17/06/04 - 08:40 -0300 (Alias: Worm.Symbian.Cabir)
05/02/05 - 04:30 -0300 (Cambio de nombre)
05/02/05 - 04:30 -0300 (Nombre NOD32)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|