Descrizione Breve

Cabir è un worm bluetooth che si diffonde per mezzo dei telefoni con sistema operativo Symbian che supportano la piattaforma serie 60. Cabir si replica per mezzo di connessioni bluetooth e arriva come file caribe.sis nella phone messaging inbox. Quando l'utente esegue il file caribe.sis e sceglie di installarlo, il worm si attiva ed inizia a cercare nuove periferice bluetooth con le quali propagarsi.

Una volta che il telefono è stato infettato tenterà di infettare nuovi sistemi fino a quando l'utente non disabilita le periferiche bluetooth dai settig del sistema.

Quando l'utente clicca sul caribe.sis nella phone messaging inbox il telefono visualizza un messaggio di allerta

Se l'utente clicca yes il telefono mostra una normale conferma di installazione

Se l'utente clicca yes il worm Caribe viene attivato e mostra una finestra di dialogo che contiene il nome che l'autore ha voluto dare al worm, le iniziali dell'autore e le iniziali del gruppo 29 A

Descrizione dettagliata

Cabir si replica per mezzo di bluetooth nel file caribe.sis che contiene l'eseguibile pricipale caribe.app, il riconoscitore di sistema flo.mdl e il file caribe.rsc. Il file SIS contiene le configurazioni per l'autostart che automaticamente eseguono caribe.app dopo che il file SIS è stato installato.

Quando il file caribe.sis viene installato, l'installatore copierà i file eseguibili nelle seguenti directory:

c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl

Quando il file caribe.app viene eseguito copia i seguenti file:

flo.mdl in c:\system\recogs
caribe.app in c:\system\symbiansecuredata\caribesecuritymanager\
caribe.rsc in c:\system\symbiansecuredata\caribesecuritymanager\

Ciò è più probabile nel caso l'utente installi l'applicazione nella memory card

A questo punto il worm ricreerà il file caribe.sis dai file da cui è composto e dai blocchi di dati che sono in caribe.app.

Dopo la creazione del file caribe.sis il worm inizia a cercare dispositivi bluetooth visibili per tentare nuovamente l'infezione

Disinfezione

F-Secure Anti-Virus per la serie Symbian 60 trova il Cabir e cancella i componenti del worm. Dopo la cancellazione automatica dei file è consigliabile eliminare la directory c:\system\symbiansecuredata\caribesecuritymanager\

Oppure si può disinfettare il sistema manualmente cancellando i segunti file:

c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc

Rilevazione

Cabir è rilevato con gli aggiornamenti pubblicati ll 15 Giugno 2004:

[FSAV_Database_Version]
Version=2004-06-15_01

La rilevazione per F-Secure Anti-Virus for Symbian serie 60 è stata rilasciata il 15 Giugno, 2004 nella versione numero 7 del database delle impronte virali

Descrizione: Jarno Niemela,Sami Rautiainen, Katrin Tocheva, 15 Giugno 2004;

Dettagli tecnici: Jarno Niemela, Tero Jaasko 15 Giugno 2004;

Aggiornamento descrizione: Jarno Niemela 22 Giugno 2004;

F-Secure Corporation