Worm.SymbOS.Cabir.k

Worm.SymbOS.Cabir.k («Лаборатория Касперского») также известен как: SymbOS/Mabir.a!app (McAfee), SymbOS.Mabir.A (Symantec), SYMBOS_MABIR.A (Trend Micro), SymbOS/Mabir.A (H+BEDV), SymbOS/Cabir.E (Grisoft), SymbOS.Mabir.A (SOFTWIN), SymbOS.Worm.Caribe.A (ClamAV), SymbOS/Cabir.J.worm (Panda), SymbOS/Cabir.K (Eset)

Вредоносная программа-червь для операционной системы Symbian OS.

Червь представляет собой файл формата SIS, caribe.sis. Размер файла — 17596 байт.

Данный файл содержит в себе несколько объектов:

* caribe.app — примерный размер 14440 байт

* caribe.rsc — размер 44 байта

* flo.mdl — примерный размер 2540 байт

Инсталляция

При запуске червь выводит на экран сообщение:

Caribe Version 2 - ValleZ/29a

Затем инсталлирует себя в различные каталоги:

  
  
  с:\system\apps\caribe\caribe.app
  
  с:\system\apps\caribe\flo.mdl
  
  с:\system\apps\caribe\caribe.rsc
  
  
  C:\SYSTEM\SYMBIANSECUREDATA\
  CARIBESECURITYMANAGER\CARIBE.SIS
  C:\SYSTEM\SYMBIANSECUREDATA\
  CARIBESECURITYMANAGER\CARIBE.APP
  C:\SYSTEM\SYMBIANSECUREDATA\
  CARIBESECURITYMANAGER\CARIBE.RSC
  C:\SYSTEM\RECOGS\FLO.MDL
  
  C:\SYSTEM\SYMBIANSECUREDATA\
  CARIBESECURITYMANAGER\CARIBE.SIS
  C:\SYSTEM\SYMBIANSECUREDATA\
  CARIBESECURITYMANAGER\INFO.SIS
   

Каталог SYMBIANSECUREDATA, создаваемый червем, является скрытым и не виден пользователю зараженного телефона.

В случае удаления файлов червя из каталога APPS, червь будет продолжать свою работу в системе.

Размножение

При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл caribe.sis. В этом случае у пользователя принимающего телефона на экран выводится сообщение:

Install Caribe?

В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона, см. описание Worm.SymbOS.Cabir.a).

Кроме того, по сравнению с остальными модификациями Cabir, в версии «k» появилась новая функция саморазмножения — посредством MMS. В частности, на любое входящее СМС или ММС-сообщение червь автоматически отвечает MMS-сообщением с вложенной копией зараженного файла.

Прочее

Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.