Symbian.Locknut.A

2008-02-23 08:27:16来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

病毒名称: Symbian.Locknut.A 类别: Trojan 病毒资料: 别名: SymbOS/Locknut.A,Gavno.A, Gavno.B

概述: Locknut.A 是一个恶意 SIS 文件木马,伪装成 Symbian 60 系列手机的补丁。



安装时, Locknut.A 释放使系统关键部分崩溃的二进制文件,阻止手机中所有应用程序启动。因此有效地锁定了手机。



据说 Locknut 会使呼叫功能无法使用,以致用户不能用感染手机打电话。但我们没有在任何手机上达到这种效果。

Locknut.A 也只作用于 Symbian OS 7.0 或更新的手机,使用 Symbian OS 6.0 或 6.1 的手机不受影响。

Locknut 的目标是 Symbian 60 系列手机,但也有 70 系列手机,如 Nokia 7710 就易受 Locknut 攻击。但是当试图在 Nokia 7710 上安装 Skulls 木马时,用户会得到一个 SIS 文件与手机不兼容的警告,因此偶然感染的危险很小。

有些 AV 公司把这种木马叫做 Gavno ,但因为这个词在俄语中的意思相当粗俗。 AV 业界决定将其重命名为 Locknut 。

也有在同一 SIS 文件中包含 Cabir.B 的 Locknut 版本,有些公司称为 Gavno.B 。但因为实际的木马功能完全等同于 Locknut.A ,我们把两种样本都叫做 Locknut.A 。

Locknut.A 样本中包含的 Cabir.B 是无害的,因为 Locknut 杀死感染手机上的所有应用程序,包括从同一 SIS 文件安装的 Cabir.B 。

即使杀掉 Locknut.B , Cabir.B 仍不会启动,因为它被安装到了感染手机中错误的文件夹。

如果用户杀掉 locknut 后手动启动 Cabir.B , Cabir.B 会作为纯粹的 Cabir.B 传播,不会把 Locknut.A 传播到其他手机。


Locknut.A 是一个 SIS 文件,用无法使用的 stub 文件使系统关键 ROM 二进制文件崩溃。 Locknut.A sis 文件安装时,文件会安装到以下位置:
c:\system\apps\gavno\gavno.app
c:\system\apps\gavno\gavno.rsc
c:\system\apps\gavno\gavno_caption.rsc

Locknut.SIS 文件也包含复制到 C:\ 文件夹的自身拷贝。

传播

以 patch_v1.sis 和 patch_v2.sis 形式

危害

Locknut.A 的两个版本都替换系统关键二进制文件, patch_v2.sis 还释放不能在手机上启动的 Cabir.B
病毒的清除法: 使用光华反病毒软件 手机版,彻底删除。 病毒演示: 病毒FAQ: Symbian系统下的病毒。

发现日期: 2007-2-15

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Symbian.Hobbes.A

下一篇:Trojan.Win32.FlyStudio.e