Symbian.Locknut.A
2008-02-23 08:27:16来源:互联网 阅读 ()
概述: Locknut.A 是一个恶意 SIS 文件木马,伪装成 Symbian 60 系列手机的补丁。
安装时, Locknut.A 释放使系统关键部分崩溃的二进制文件,阻止手机中所有应用程序启动。因此有效地锁定了手机。
据说 Locknut 会使呼叫功能无法使用,以致用户不能用感染手机打电话。但我们没有在任何手机上达到这种效果。
Locknut.A 也只作用于 Symbian OS 7.0 或更新的手机,使用 Symbian OS 6.0 或 6.1 的手机不受影响。
Locknut 的目标是 Symbian 60 系列手机,但也有 70 系列手机,如 Nokia 7710 就易受 Locknut 攻击。但是当试图在 Nokia 7710 上安装 Skulls 木马时,用户会得到一个 SIS 文件与手机不兼容的警告,因此偶然感染的危险很小。
有些 AV 公司把这种木马叫做 Gavno ,但因为这个词在俄语中的意思相当粗俗。 AV 业界决定将其重命名为 Locknut 。
也有在同一 SIS 文件中包含 Cabir.B 的 Locknut 版本,有些公司称为 Gavno.B 。但因为实际的木马功能完全等同于 Locknut.A ,我们把两种样本都叫做 Locknut.A 。
Locknut.A 样本中包含的 Cabir.B 是无害的,因为 Locknut 杀死感染手机上的所有应用程序,包括从同一 SIS 文件安装的 Cabir.B 。
即使杀掉 Locknut.B , Cabir.B 仍不会启动,因为它被安装到了感染手机中错误的文件夹。
如果用户杀掉 locknut 后手动启动 Cabir.B , Cabir.B 会作为纯粹的 Cabir.B 传播,不会把 Locknut.A 传播到其他手机。
Locknut.A 是一个 SIS 文件,用无法使用的 stub 文件使系统关键 ROM 二进制文件崩溃。 Locknut.A sis 文件安装时,文件会安装到以下位置:
c:\system\apps\gavno\gavno.app
c:\system\apps\gavno\gavno.rsc
c:\system\apps\gavno\gavno_caption.rsc
Locknut.SIS 文件也包含复制到 C:\ 文件夹的自身拷贝。
传播
以 patch_v1.sis 和 patch_v2.sis 形式
危害
Locknut.A 的两个版本都替换系统关键二进制文件, patch_v2.sis 还释放不能在手机上启动的 Cabir.B
病毒的清除法: 使用光华反病毒软件 手机版,彻底删除。 病毒演示: 病毒FAQ: Symbian系统下的病毒。
发现日期: 2007-2-15
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash