Symbian.Cabir.H

2008-02-23 09:35:13来源：互联网阅读 ()

病毒名称: Symbian.Cabir.H 类别： Trojan 病毒资料：别名： SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus

概述： Cabir.H 是一个使用蓝牙的蠕虫，运行于支持 60 系列平台的 Symbian 手机。

Cabir.H 变种是原始 Cabir 的重编译版本，主要区别是 Cabir.H 有确定的复制规则，可以比之前的变种传播得更快。

Cabir.H 通过蓝牙连接复制，作为包含蠕虫的 velasco.sis 文件到达手机收信箱。当用户点击 velasco.sis 并选择安装时，蠕虫激活并开始通过蓝牙寻找新的手机以感染。

当 Cabir 蠕虫发现另一个蓝牙手机时，只要目标手机在范围内，它就开始向其发送 velasco.sis 文件的拷贝。与 Cabir 之前的变种不同， Cabir.H 在第一个目标离开范围后，能够发现新目标。因此 Cabir.H 一旦失去控制，极有可能比之前的变种传播得更快。

请注意 Cabir.H 蠕虫只能到达支持蓝牙并处于可发现模式的手机。

把你的手机设定为不可发现（隐藏）蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。

但是一旦手机被感染，即使用户试图从系统设定中关闭蓝牙功能，病毒仍将试图感染其他系统。

详细描述：

复制

Cabir.H 通过蓝牙复制 velasco.sis 文件，包含蠕虫主要可执行文件 velasco.app 、系统识别marcos.mdl 和源文件 velasco.rsc 。 SIS 文件包括自启动设定，在 SIS 文件被安装后，将自动执velasco.app 。

velasco.sis 文件不会自动到达目标手机，所以当感染手机仍在范围内时，用户需要对传输问题回答是。

当 Cabir.H 蠕虫被激活，它将开始寻找其他的蓝牙手机，并开始向找到的第一个手机发送被感染的 velasco.sis 文件。在第一个目标手机离开范围后， Cabir.H 会继续寻找并感染其他手机。

这个复制机制的修改使 Cabir.H 一旦失去控制，更可能快速传播。

感染

当 velasco.sis 文件安装时，安装者会将蠕虫可执行文件复制到以下位置：
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl

当 velasco.app 执行时复制以下文件：
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\

如果用户将应用程序安装到内存卡，避免用户试图通过卸载原始 SIS 文件杀掉蠕虫最可能发生。

之后蠕虫会从蠕虫部分文件和 velasco.app 中的数据块重建 velasco.sis 文件。

重建 velasco.sis 文件后，蠕虫会开始寻找所有可见的蓝牙手机，并向其发送 SIS 文件。
病毒的清除法：使用光华反病毒软件手机版，彻底删除。病毒演示：病毒FAQ： Symbian系统下的病毒。

发现日期： 2007-2-15

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有