|
VSantivirus No. 1621 Año 8, martes 14 de diciembre de 2004
SymbOS/Cabir.C. Gusano de teléfonos móviles
http://www.vsantivirus.com/epoc-cabir-c.htm
Nombre: SymbOS/Cabir.C
Nombre NOD32: SymbOS/Cabir.A
Tipo: Gusano
Alias: Cabir.C, SymbOS/Cabir.c, EPOC/Cabir.c, Worm.Symbian.Cabir.c, MYTITI virus, EPOC.Cabir.C, Epoc/Cabir.C.worm, EPOC_CABIR.C, Symb/Cabir-C, Symbian/Cabir, Symbian/Cabir.c
Fecha: 9/dic/04
Plataforma: EPOC, Nokia Series 60
Tamaño: 15,092 bytes
Nombre anterior: EPOC/Cabir.C
Última modificación: 5/feb/05
Variante similar al Cabir.A. Solo cambian los mensajes que el gusano muestra al instalarse o ejecutarse.
Gusano capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian. El gusano no posee ninguna carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo).
Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible.
Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano.
Algunos de los teléfonos móviles afectados:
Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1
Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior.
Cuando se ejecuta, muestra en la pantalla del móvil el mensaje "Mytiti". Luego, inicia la búsqueda de otros dispositivos conectados, que usen la tecnología "Bluetooth".
Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre. No envía más copias.
Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo.
El gusano llega como un archivo .SIS y se instala por si solo en la carpeta APPS (aplicaciones). La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones.
Cuando ello sucede, se despliegan en la pantalla del teléfono móvil, una serie de mensajes. Estos mensajes advierten al usuario de la "posible naturaleza maliciosa" del archivo recibido, antes de instalarlo.
Una vez instalado y activo, puede ser visto desde la lista de aplicaciones con el nombre de "Caribe":
Estos son los archivos creados por el gusano:
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\apps\caribe\caribe.rsc
También crea las siguientes carpetas y archivos:
c:\system\symbiansecuredata\Mytitisecuritymanager\caribe.app
c:\system \symbiansecuredata\Mytitisecuritymanager\caribe.rsc
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\Mytitisecuritymanager\mytiti.sis
El gusano no puede catalogarse de un serio riesgo, por varias razones:
1. Una comunicación "Bluetooth" no está habilitada por defecto.
2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth".
3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso.
4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual.
Eliminación manual
Para eliminar el gusano de un dispositivo infectado, siga estos pasos:
1. Seleccione la opción "caribe" de la lista de aplicaciones.
2. Seleccione "Cancel" (Exit caribe?) y confirme con "Yes".
3. Borre los siguientes archivos utilizando el manejador de archivos (file manager):
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\apps\caribe\caribe.rsc
c:\system\Symbiansecuredata\Mytitisecuritymanager\Caribe.app
c:\system\Symbiansecuredata\Mytitisecuritymanager\Caribe.rsc
c:\system\Recogs\Flo.mdl
c:\system\symbiansecuredata\Mytitisecuritymanager\Mytiti.sis
Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.
Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo.
Actualizaciones:
05/02/05 - 04:30 -0300 (Cambio de nombre)
05/02/05 - 04:30 -0300 (Nombre NOD32)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|