Descrizione Breve

Lasco.A è un worm Bluetooth che si diffonde per mezzo dei telefoni con sistema operativo Symbian che supportano la piattaforma serie 60. Lasco.A si replica per mezzo di connessioni Bluetooth e arriva come file velasco.sis nella phone messaging inbox. Quando l'utente esegue il file caribe.sis il worm si attiva ed inizia a cercare nuove periferiche Bluetooth.

Quando Lasco.A trova un nuovo dispositivo Bluetooth comincia a copiare il file velasco.sis su di esso: l'operazione viene interrotta se l'obbiettivo esce dal raggio di ricerca del Bluetooth.

Oltre che inviarsi tramite Bluetooth, Lasco.A è anche capace di replicarsi inserendosi in altri file SIS trovati nel nuovo dispositivo. Se l'infezione avviene con successo, inizia l'installazione mostrando la prima maschera nella quale viene chiesto all'utente se vuole proseguire e installare Velasco

E' da notare che i file SIS infettatati da Lasco.A non saranno trasmessi automaticamente ad altri dispositivi ma dovranno essere copiati manualmente (tranne il file velasco.sis).

Lasco.A è stato scritto con lo stesso codice del worm Cabir.H, l'unica differenza tra i due worm è la procedura di infezione dei file SIS.

Il worm può raggiungere soltanto dispositivi che supportano il bluetooth impostato in discoverable mode.

Impostando il Bluetooth del vostro telefono in modalità non-discoverable proteggerete il dispostitivo dal worm Cabir.

Una volta che il telefono viene infettato, proverà a propagare il worm verso altri dispositivi anche quando l'utente tenterà di disattivare il Bluetooth dalle impostazioni.

Disinfezione

F-Secure Anti-Virus Mobile rileva Lasco.A e cancella automaticamente i componenti del worm: all'avvenuto completamento dell'operazione si consiglia di eliminare la directory c:\system\symbiansecuredata\velasco\

Se il telefono è infetto da Lasco.A non si può procedere con la copia manuale dei file ma bisogna scaricare direttamente F -Secure Mobile Anti-Virus sul proprio telefono seguendo le instruzioni di seguito:

1) Aprire il browser sul telefono.
2) Andare al seguente indirizzo http://mobile.f-secure.com
3)Selezionare il link download F -Secure Mobile Anti-Virus e scegliere il modello del telefono
4)Scaricare i file e selezionare di aprirli dopo il download
5)Procedere con l'installazione di F-Secure Mobile Anti-Virus
6)Andare nel menù applicazioni e attivare F-Secure Mobile Anti-Virus
7)Eseguire una scansione di tutti i file.

Descrizione Dettagliata

Replica tramite bluetooth

Lasco.A si replica per mezzo di Bluetooth nel file velasco.sis che contiene l'eseguibile pricipale velasco.app, il riconoscitore di sistema flo.mdl e il file velasco.rsc. Il file SIS contiene le configurazioni per l'autostart che automaticamente eseguono velasco.app dopo che il file SIS è stato installato

Se l'utente clicca sul file velasco.sis nella phone messaging inbox il telefono visualizzerà un messaggio di allerta, e sarà l'utente cliccando yes a continuare l' installazione.

Quando Lasco.A trova un nuovo dispositivo Bluetooth comincia a copiare il file velasco.sis su di esso, l'operazione verrà interrotta se l'obbiettivo esce dal raggio di ricerca del Bluetooth.

Questa modifica nel meccanismo di replica permette al worm di avere una diffusione più rapida.

Replica tramite infezione del file SIS

Lasco.A si replica tramite la ricerca nei dispositivi dei file SIS, una volta rilevati copia al loro interno il file velasco.sis

Lasco.A modificherà anche l'intestazione del file SIS in modo che il l'installazione del file velasco.sis parta automaticamente. Se l'infezione avviene con successo, viene lanciata l'installazione che mostra la prima maschera nella quale viene chiesto all'utente se vuole installare Velasco; l'utente viene anche avvertito dell'assenza della firma nei file SIS.

Infezione

Quando il file velasco.sis viene installato, l'installatore copia i file eseguibili nelle seguenti directory:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl

Quando il file velasco.app viene eseguito, copia i seguenti file:
flo.mdl in c:\system\recogs
velasco.app in c:\system\symbiansecuredata\velasco\
velasco.rsc in c:\system\symbiansecuredata\velasco\

La copia di questi file viene fatta in previsione che l'utente installi l'applicazione sulla memory-card o nel caso in cui l'utente provi a disinstallare il worm cancellando manualmente il file SIS originale.

Allora il worm ricreerà il file velasco.sis dai file del worm e i data block che sono all'interno del file velasco.app.

Dopo aver ricreato i file SIS il worm esegue sul dispositivo una ricerca di tutti i file SIS presenti modificando l'intestazione di questi file in modo che l'installazione dei file SIS venga eseguita automaticamente.

Rilevazione

La rilevazione di Lasco.A per F-Secure mobile Anti-Virus è stata rilasciata il 10 Gennaio 2005 nella versione numero 23 del database delle impronte virali

Descrizione tecnica: Jarno Niemela, 10 Gennaio 2005

F-Secure Corporation