| |
VSantivirus No. 1929 Año 9, martes 18 de octubre de 2005
Commwarrior.C. Utiliza bluetooth, SMS, MMS y MMC
http://www.vsantivirus.com/commwarrior-c.htm
Nombre: Commwarrior.C
Nombre NOD32: SymbOS/CommWarrior.C
Tipo: Gusano de dispositivo PDA
Alias: Comwarrior, Commwarrior.C, CWOUTCAST, SymbOS/Commwarrior.C,
Symb/Comwar-C
Fecha: 17/oct/05
Plataforma: SymbOS (EPOC), Nokia Series 60
Tamaño: variable
Este gusano puede infectar celulares que ejecuten el sistema operativo Symbian OS (Nokia, etc.).
Puede ser descargado de diferentes sitios de Internet, dentro de un archivo ZIP conteniendo el instalador con extensión .SIS (la extensión .SIS es utilizada por Symbian para las instalaciones de programas y aplicaciones).
Uno de los nombres con que este gusano se presenta es el siguiente (simula ser una versión pirata de la utilidad Symbian Commander):
SymCommander_1_06.sis
Puede propagarse por bluetooth, utilizando nombres de archivos al azar (bluetooth es la norma que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos).
Intenta enviarse además, mediante mensajes de texto cortos (SMS), y mensajes multimedia (MMS, Multimedia Messaging Service). Este último permite el envío de texto, imagen y/o video a los teléfonos de otros usuarios.
Esta versión también intenta propagarse a través de tarjetas de memoria MultiMediaCard (MMC memory card).
En algunos modelos de teléfonos, el gusano cambia el logo de la operadora telefónica, por uno propio con el siguiente texto:
Infected by Commwarrior
El gusano puede abrir una página Web con el navegador del celular, conteniendo el siguiente mensaje:
CommWarrior mobile virus
Made in Russia
CommWarrior virus
provide automatic
real-time protection against
harmful Anti-Virus content.
If you have no problems,
install CommWarrior and
life will be more interesting!
Para propagarse por bluetooth, utiliza un archivo con extensión .SIS y nombre al azar. Este archivo contiene el ejecutable del propio gusano con el siguiente nombre:
cwoutcast.exe
El archivo SIS es autoejecutable (ejecuta cwoutcast.exe).
Cuando se acepta la instalación, el gusano se copia en la siguiente ubicación:
c:\system\programs\cwoutcast.exe
Y se crean los siguientes archivos:
c:\system\apps\symcommander\cwoutcast.exe
c:\system\apps\symcommander\symcommander.rsc
c:\system\apps\symcommander\symcommander.aif
c:\system\apps\symcommander\symcommander.app
También crea las siguientes copias en C: y en todas las tarjetas MMC detectadas:
\system\bootdata\lib\cwoutcast.exe
\system\recogs\cworec.mdl
Para propagarse por MMS, primero envía mensajes a todos los teléfonos móviles de la agenda. El gusano busca constantemente nuevos teléfonos para infectar.
También intenta responder automáticamente a cualquier MMS o SMS recibido, enviando el archivo SIS infectado.
Finalmente, si el usuario envía algún mensaje MMS, inmediatamente después el gusano intentará enviarse a si mismo al mismo número.
El gusano detecta cualquier tarjeta MMC insertada en el móvil, y se copia en dichas tarjetas. Cuando estas tarjetas son insertadas en otros celulares, se produce la infección de los mismos.
Mientras esté ejecutándose, el gusano intentará ocultarse, no apareciendo en la lista de aplicaciones. También utiliza otras técnicas para autoprotegerse, de tal modo que su eliminación manual puede ser dificultosa.
Su código contiene el siguiente mensaje:
CommWarrior Outcast: The dark side of Symbian Force. CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. With best regards from Russia. OTMOP03KAM HET!
Eliminación manual
La forma de eliminar el gusano del sistema infectado, puede variar en cada modelo, siendo necesaria la mayoría de las veces, la intervención del servicio de mantenimiento del proveedor del teléfono móvil.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
