Resumo

Descrição

Cabir é o primeiro worm que infecta celulares e outros dispositivos portáteis que rodam o sistema SymbianOS que suportam a plataforma da Série 60.

O Cabir se espalha via redes sem fio Bluetooth de um portátil para outro. O Worm aparecerá na caixa de entrada dos telefones como carible.sis. Se você executar o arquivo, aparecerá os procedimentos normais de instalação dos programas do Symbian. Ao terminar o processo, o worm já vai começar a infectar novos aparelhos.

Infecção

Se você possuir um aparelho rodando SymbianOS com o Bluetooth habilitado no modo de descobrimento, o arquivo caribe.sis pode ser enviado para a sua caixa de entrada caso exista um aparelho infectado por perto. Executando o caribe.sis, você será infectado pelo worm.

A única diferença é que você ainda terá a chance de abortar a infecção devido ao processo de instalação do worm.

Detalhes Técnicos

Ao executar o arquivo caribe.sis, será pedido para que instale o worm. Haverá um pequeno erro antes da instalação. Se o usuário clicar em sim, será então instalado o worm. O worm então se autoexecutará.

Os arquivos do Cabir serão copiados para:

• \system\apps\caribe\caribe.rsc
• \system\apps\caribe\caribe.app
• \system\apps\caribe\flo.mdl
• c:\system\recogs\flo.mdl
• c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
• c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc

O worm então recriará o caribe.sis para que este contenha todos os componentes necessários para o funcionamento do worm. Esse arquivo recriado será enviado para todos os aparelhos que o Cabir encontrar via Bluetooth.

Após infectar um aparelho, o worm travará sua execução até que o telefone seja desligado e ligado novamente.

Carga Maliciosa

Após instalado, Cabir vai apenas continuar procurando por mais aparelhos com o Bluetooth habilitado para infectar. Não existe qualquer carga maliciosa no worm.

Recomendações

Desabilitar o reconhecimento do aparelho via Bluetooth ou desabilitar o suporte completamente. Você deve simplesmente ignorar os caribe.sis que receber, caso esteja com bluetooth habilitado.

Alertas

Recentemente foi descoberta uma falha no Bluetooth que poderia permitir a instalação automática de um worm como esse. Cabir não é capaz de explorar essa falha.

Remoção

Ferramentas de Remoção

-

Remoção Manual

1. Instale um gerenciador de arquivos no celular
2. Ative a opção de ver arquivos do diretório system
3. Procure nos drives, de A a Y pelo diretório \system\apps\caribe
4. Delete os arquivos (dos diretórios \caribe\):
   • \system\apps\caribe\caribe.rsc
   • \system\apps\caribe\caribe.app
   • \system\apps\caribe\flo.mdl
5. Vá até o diretório C:\system\symbiansecuredata\caribesecuritymanager\
6. Delete os arquivos
   • caribe.sis
   • caribe.rsc
   • caribe.app
7. Vá até o diretório c:\system\recogs\
8. Delete o arquivo flo.mdl
9. Vá até o diretório c:\system\installs
10. Delete o arquivo caribe.sis

Você pode não conseguir remover alguns arquivos. Remova o que conseguir, desligue e lige o celular novamente e delete os que sobraram.

Links

• F-Secure
• Symantec

Compartilhar |  Imprimir

Worms