S60手机病毒
今天因为在查询结存款额时发现无端端少了几元,加上“短讯发送中”的图标一直不断出现,我才怀疑是中了病毒。上网查询,虽然找到了解决方法,但.....发现这病毒时似乎已经太迟了,这可恶的病毒已经向我的朋友下毒手(唉...我也是受害者...)。这病毒可以随机发送病毒程式到通讯录中的电话号码,我朋友收到MMS就会立即感染病毒,然后他的手机又会从复同样的方法来继续散布。
目前这病毒只是感染Symbian手机(Nokia或SonyEricson的智能手机),所以用Symbian手机的朋友记得多多提防。
以下是从网上搜集得到的手机病毒资料,希望可以帮到大家~
S60 病毒症状:
在2004年6月首例S60概念型病毒出现到现在,已经多个新病毒相应的变种出现,传播途径主要是近距离的蓝牙传播。病毒的侵袭令系统操作崩溃!如果你们的手机出现以下症状,密切注意是否已中了病毒:
1。电量消耗过快,待机时间缩短很多倍:
2。习用反映明显迟缓,正常状态下易出现“内存不足”等类似提示:
3。手机蓝牙失去控制:
4。程序图标丢失或被更换(自己利用软件或主题更换的图标除外)。
病毒系列逐一看:
Cabir系列:
Cabir(卡比尔病毒)一般通过蓝牙近距离传播,当然也可包含在下一些下载的程序中。手机中此病毒后,
除了电力消耗很快,就没有明显的特征反应。Cabir会改写系统启动文件,让其自身随系统一起启动,然
后通过蓝牙不停搜索附近是否有配置为“可见”的S60蓝牙手机,一旦发现就会将自身发送出去,感染其他
设备。因为持续的搜索蓝牙设备,从而造成待机时间明显缩短,感染该病毒后蓝牙将不受控制。目前此病毒
的变种很多,主要是增强了传播功能,另外在安装时显示的名称由原来的“Cabire”变得越来越隐秘,吸引接收者运行;部分恶意代码还能替换第三方应用程序文件,并自我复制(如Cabir.Dropper),甚至能引起系统死机及不稳定(如Locknut变种)。
Skulls系列:
又称“骷髅头”病毒的特洛伊程序(Skull SIS File),一旦被执行会自我安装到手机的C盘,并提示玩家重启手机。重启后病毒会将所有应用程序图标都替换成骷髅头标志,而且图标也不再与应用程序关联。只能接打电话,其他功能全部丧失。此时只能通过同步软件手动查杀病毒或格式化手机,如果之前未对通讯录,简讯等备份,这些资料将会全部丢失。目前这个病毒已有两个变种出现,既是Skulls.A及Skulls.B。新变种还携带了Cabir,使其具备通过蓝牙自我传播的能力,还具有极强的隐蔽性,即使手动灭了Skulls,Cabir仍会在另外的角落静静潜伏着,一旦触发它,就会不停的搜索蓝牙,消耗手机电力。Skulls病毒的安装文件名一般为Extended theme.sis,不过也会有伪装成其他应用程序欺骗玩家安装。
Qdial系列:
传说“打蚊子”破解版游戏中携带的一个木马病毒,此病毒可自动向某个固定号码发送带有手机系统版本,IMEI号等的简讯,泄露手机的相关信息,并会给玩家造成国际简讯费用。病毒只能通过相互安装文件交叉感染其他玩家,不具备自动传播到其他手机设备的能力。不过现在此病毒也可以携带在其他S60游戏中,而且名字也不相同。
Lasco系列:
命名为“韦拉斯科(Win32.SIS.Velasco)”的病毒,是全球首例可同时在手机Symbian操作系统及电脑Windows系统上运行的病毒。Velasco是一种基于Cabir变种的病毒(Cabir.H),对手机的主要影响是通过蓝牙传播自己,从而造成手机电量耗尽,另外也可能引起手机系统不稳定。此病毒具有极强的传播能力,除自身可以利用蓝牙传播,一旦在手机上运行后,还会搜索手机内的所有SIS文件,并将自己附着之上,在接收或安装含有此类病毒程序时,病毒会夺取程序安装优先权,优先要求安装自己,从而造成大面积的感染。
Commwarrior病毒:
目前为止,传播能力最强的S60病毒仍是Commwarrior病毒,此病毒能通过多媒体简讯感染其他手机。玩家在收到感染此病毒的多媒体简讯后,病毒就会进驻手机内存,并随机选择通讯录中的电话发送包含自身的多媒体简讯;另外近距离内也可通过蓝牙感染其他手机,除了会不断耗尽手机电力,还会给玩家带来不菲的多媒体简讯费用。
病毒清除法:
太多的病毒出现,无可幸免的是一众手机持有人,唯有清楚知道如何消除这些烦恼的病毒,才是最佳上策。
Cabir系列:
对于Cabir病毒,玩家可以用SelectQ或Fileman文件管理器删除以下文件,手动清除病毒。
c: system apps caribe caribe.rsc
c: system apps caribe caribe.app
c: system apps caribe flo.mdl
c: system recogs flo.mdl
c: system symbiansecuredata cabiresecuritymanager cabire.rsc
c: system symbiansecuredata cabiresecuritymanager cabire.app
如果感染了Cabir.Dropper,最好格式化手机,格式化操作码为*#7370#,默认密码为12345。
Skulls系列:
感染Skulls病毒后会要求玩家重启手机,如果还没有重启,可按照以下方法消除病毒,基本上可保证手机资料的完整性。如果已经重启,就只能格式化手机了。处理方法如下:
用SelectQ或Fileman文件管理器删除 apps appinst目录下的 ppinst.aif及 Appinst.app两个文件。然后用手机或电脑登陆 http://mobile.f-secure.com ,下载Skulls专杀工具,安装到感染手机。
之后扫描系统,并删除病毒。
切换到程序管理器,御载Extended theme.sis程序。
Qdial系列:
对于Qdial木马程序,因为只受感染的游戏运行时才会运行,自身不具备复制感染其他文件的功能,所以仅需御载感染的游戏程序即可。
Lasco系列:
Lasco.A病毒一般被命名为velasco.sis。如果发现中了此病毒,千万不要激活它(御载或运行都可令其激活),一旦激活,它就会感染手机里的其他 sis文件。处理方法为:
1。在没激活的情况下,删除以下文件:
c: system apps velasco velasco.rcs
c: system apps velasco velasco.app
c: system apps velasco flo.mdl
2。如果病毒被激活,应删除以下文件:
c: system recogs flo.mdl
c:system symbiansecuredata velasco 所有文件
同时登陆 http://mobile.f-secure.com 下载 Lasco专杀工具,清除其他文件包里的病毒副本。
P/S:所有格式化手机均能清除,但Lasco系列病毒还必须清除其他被感染的sis文件,否则只要运行受感染程序,病毒仍然会被带入。
安全防护措施法:
1.当有来电时,手机显示别的字样或奇异符号时,不要接听。
2.在不使用蓝牙时最好将其设置设为关闭状态,或配置为不可见。
3.安装防病毒软件,目前比较专业的为 F-Secure,Mobile Anti-Virus。
Commwarrior病毒:
手动清除:
1、首先使用文件管理软件删除c:\system\recogs\commrec.mdl
2、重启手机
3、删除下列文件:
c:\system\updates\commrec.mdl
c:\system\updates\commw.sis
c:\system\updates\commrwarrior.exe
c:\system\apps\CommWarrior\commwarrior.exe
c:\system\apps\CommWarrior\commrec.mdl
如有存储卡路径类似默认盘符为E
病毒档案:Commwarrior.C
类型: Worm 平台: Symbian
别名:SymbOS/Commwarrior.C, Comwarrior, CWOUTCAST
源自:俄罗斯
概述:Commwarrior.C 是一个与 Commwarrior.B 相似的蠕虫,但也有新的功能。
Commwarrior.C 能够通过蓝牙、 MMS 和插入被感染手机的 MMC 卡传播。
当 Commwarrior.C 感染一个手机时,它试图将操作者的标识改为自己的。在 Nokia 6600 上已检测到这种行为,标识被换成 "Infected by Commwarrior" 。
当用户回复新的 SMS 或 MMS 信息时, Commwarrior.C 将使用手机浏览器启动一个网页。
Commwarrior 搜索其他通过蓝牙可达的手机,使用蓝牙传播向找到的所有手机发送被感染的 SIS 文件。
Comwarrior 发送的 SIS 文件被随机命名,因此无法警告用户避免任何已知文件名字的文件。
除了通过蓝牙传播, Comwarrior.C 也通过 MMS 信息传播。 Commwarrior.C 基于用户发信习惯发送被感染的 MMS 消息,以使所有发送到被感染手机的信息都得到感染的 MMS 作为响应。而且由感染手机的用户发送的 SMS 消息将跟随感染的 MMS 消息。
由 Commwarrior.C 发送的 MMS 消息中的文字包含存储在手机收信箱的文字,因此 Commwarrior.C 发送的消息是接收用户可能期望从发送方收到的文字。
MMS 消息是能够在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示, MMS 消息设计为只包含媒体内容,如图片、音频或视频,但它们能够包含一切,包括被感染的 Symbian 安装文件。
Commwarrior.C也通过 MMC 卡传播,将其自身复制到任何插入手机的卡中。如果这种卡被插入另一个手机,当卡插入时, Commwarrior.C 将自动启动。
Comwarrior 包含以下文字:
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it's original unmodified form.
With best regards from Russia .
OTMOP03KAM HET!
文字"OTMOP03KAM HET!"是俄语,大意是 "不要脑死亡" 。
Commwarrior.C 尚未完全分析,如得到更多确认的细节描述将更新。
详细描述:
感染
Comwarrior SIS 文件安装时,安装者将蠕虫可执行文件复制到 c:\system\programs\cwoutcast.exe 。
comwarrior.exe 执行时,将自己复制到 \system\bootdata\lib\cwoutcast.exe 并创建 \system\recogs\cworec.mdl 到 C :盘和找到的所有 MMC 卡。
与 Commwarrior.A 和 .B 不同, Commwarrior.C 的 SIS 文件不包括 MDL 识别器,识别器部分包含在可执行的蠕虫中。
复制自身后, Commwarrior.C 在执行 cwoutcast.exe 的文件夹内重建 SIS 文件。
隐藏自身进程
Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程,以使其在标准应用程序列表内不可见。
但是如果用户使用一个名为 CWOUTCAST 的第三方进程列表工具, Commwarrior.C 进程是可见的。
通过蓝牙复制
Comwarrior 通过蓝牙在随机命名的 SIS 文件中复制, SIS 文件包括蠕虫的主要可执行文件 woutcast.exe 。 SIS 文件包含自启动设定,会在 SIS 文件被安装后自动执行 cwoutcast.exe 。
Comwarrior 蠕虫被激活时,将开始寻找其他蓝牙手机,并试图向每个目标手机发送一次自身复制品。
如果目标手机离开范围或拒绝文件传输, commwarrior 将搜索另一个手机。
Comwarrior 的复制机制不同于 Cabir 。一旦一个手机在范围内, Cabir 蠕虫会锁定它,在失去连接或持续锁定后则取决于变种是否查看另一个变种。
Comwarrior 蠕虫会持续寻找新的目标,因此它能够连接范围的所有手机。
通过 MMS 复制
Commwarrior.C 使用三种策略通过 MMS 消息传播。
第一种当 Commwarrior.C 启动时,它开始搜索手机地址簿,向所有标记为手机的电话号码发送 MMS 消息。
Commwarrior.C 监听所有到达的 MMS 或 SMS 消息,向这些消息回复包含 Commwarrior.C SIS 文件的 MMS 消息。
蠕虫也监听所有由用户发送的 SMS 消息,在 SMS 消息之后向相同号码发送 MMS 消息。
复制到 MMC 卡
Commwarrior.C 监听所有插入感染手机的 MMC 卡,并向其复制自身。感染的卡包含 Commwarrior 可执行文件和 bootstrap 部分,以使另一个手机如果插入感染的卡也会感染。
保护自身不被杀毒
Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分, Commwarrior.C 的运行进程将在手机中重新创建它们。 Commwarrior.C 也设定保护它自己的进程,以使进程不能被轻易杀死。
评论
发表评论