Symbian平台操作系统手机病毒特征和查杀方法详细评介

Symbian平台操作系统手机病毒特征和查杀方法详细评介及扫描清除杀毒软件工具下载
作者：admin 文章来源：百科原创点击数：654 更新时间：2008-10-6目前发现的Symbian 平台操作系统的手机病毒主要有下列几种：
Commwarrior.C
Cardtrap.M
.Romride.D
.RommWar.B
RommWar.C
Doomboot.S
.RommWar.A
Appdisabler.K
Cardtrap.AF
Skulls.M
Skulls.N
.Skulls.Q
这里就这几种手机病毒的发作特征传播途径和杀毒方法一一做个详细评介：
先来介绍三款手机病毒扫描清除软件工具：点击下面链接下载
手机病毒扫描清除实时监控软件NetQin V2 for symbian
手机病毒扫描清除实时监控软件工具NetQinCleaner
网秦手机彩信病毒Commwarrior.C专杀工具软件nq_cwcML
一，Commwarrior.C
类型：Worm 平台：Symbian 发现时间：2005-10-13
别名：SymbOS/Commwarrior.C, Comwarrior, CWOUTCAST
源自：俄罗斯
概述：Commwarrior.C 是一个与Commwarrior.B 相似的蠕虫，但也有新的功能。

Commwarrior.C 能够通过蓝牙、MMS 和插入被感染手机的MMC 卡传播。

当Commwarrior.C 感染一个手机时，它试图将操作者的标识改为自己的。

在Nokia 6600 上已检测到这种行为，标识被换成"Infected by Commwarrior" 。

当用户回复新的SMS 或MMS 信息时，Commwarrior.C 将使用手机浏览器启动一个网页。

Commwarrior 搜索其他通过蓝牙可达的手机，使用蓝牙传播向找到的所有手机发送被感染的SIS 文件。

Comwarrior 发送的SIS 文件被随机命名，因此无法警告用户避免任何已知文件名字的文件。

除了通过蓝牙传播，Comwarrior.C 也通过MMS 信息传播。

Commwarrior.C 基于用户发信习惯发送被感染的MMS 消息，以使所有发送到被感染手机的信息都得到感染的MMS 作为响应。

而且由感染手机的用户发送的SMS 消息将跟随感染的MMS 消息。

由Commwarrior.C 发送的MMS 消息中的文字包含存储在手机收信箱的文字，因此Commwarrior.C 发送的消息是接收用户可能期望从发送方收到的文字。

MMS 消息是能够在Symbian 手机和其他支持MMS 信息的手机之间发送的多媒体信息。

正如名字所示，MMS 消息设计为只包含媒体内容，如图片、音频或视频，但它们能够包含一切，包括被感染的Symbian 安装文件。

Commwarrior.C 也通过MMC 卡传播，将其自身复制到任何插入手机的卡中。

如果这种卡被插入另一个手机，当卡插入时，Commwarrior.C 将自动启动。

Comwarrior 包含以下文字：
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it's original unmodified form.
With best regards from Russia .
OTMOP03KAM HET!
文字"OTMOP03KAM HET!" 是俄语，大意是" 不要脑死亡" 。

Commwarrior.C 尚未完全分析，如得到更多确认的细节描述将更新。

详细描述：
感染
Comwarrior SIS 文件安装时，安装者将蠕虫可执行文件复制到c:\system\programs\cwoutcast.exe 。

comwarrior.exe 执行时，将自己复制到\system\bootdata\lib\cwoutcast.exe 并创建\system\recogs\cworec.mdl 到C ：盘和找到的所有MMC 卡。

与Commwarrior.A 和.B 不同，Commwarrior.C 的SIS 文件不包括MDL 识别器，识别器部分包含在可执行的蠕虫中。

复制自身后，Commwarrior.C 在执行cwoutcast.exe 的文件夹内重建SIS 文件。

隐藏自身进程Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程，以使其在标准应用程序列表内不可见。

但是如果用户使用一个名为CWOUTCAST 的第三方进程列表工具，Commwarrior.C 进程是可见的。

通过蓝牙复制
Comwarrior 通过蓝牙在随机命名的SIS 文件中复制，SIS 文件包括蠕虫的主要可执行文件woutcast.exe 。

SIS 文件包含自启动设定，会在SIS 文件被安装后自动执行cwoutcast.exe 。

Comwarrior 蠕虫被激活时，将开始寻找其他蓝牙手机，并试图向每个目标手机发送一次自身复制品。

如果目标手机离开范围或拒绝文件传输，commwarrior 将搜索另一个手机。

Comwarrior 的复制机制不同于Cabir 。

一旦一个手机在范围内，Cabir 蠕虫会锁定它，在失去连接或持续锁定后则取决于变种是否查看另一个变种。

Comwarrior 蠕虫会持续寻找新的目标，因此它能够连接范围的所有手机。

通过MMS 复制
Commwarrior.C 使用三种策略通过MMS 消息传播。

第一种当Commwarrior.C 启动时，它开始搜索手机地址簿，向所有标记为手机的电话号码发送MMS 消息。

Commwarrior.C 监听所有到达的MMS 或SMS 消息，向这些消息回复包含Commwarrior.C SIS 文件的MMS 消息。

蠕虫也监听所有由用户发送的SMS 消息，在SMS 消息之后向相同号码发送MMS 消息。

复制到MMC 卡
Commwarrior.C 监听所有插入感染手机的MMC 卡，并向其复制自身。

感染的卡包含Commwarrior 可执行文件和bootstrap 部分，以使另一个手机如果插入感染的卡也会感染。

保护自身不被杀毒
Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。

如果用户试图删除Commwarrior 可执行文件或bootstrap 部分，Commwarrior.C 的运行进程将在手机中重新创建它们。

Commwarrior.C 也设定保护它自己的进程，以使进程不能被轻易杀死。

二，Cardtrap.M
类型：Trojan 平台：Symbian 发现时间：2005-12-08
别名：SymbOS/Cardtrap.M
概述：Cardtrap.M 病毒是一款Symbian 的木马程序。

该木马将损坏几个手机内置应用程序及手机杀毒软件。

并且向存储卡拷贝了几个PC 的蠕虫和木马。

安装到内存卡的Windows 病毒包括图标、批处理文件和快捷链接，试图欺骗用户在想要查看卡的内容时执行恶意文件。

复制和传播方式：
无
清除方法：
建议您不要接收陌生人发送的蓝牙消息，不要安装不知用途或来源不可靠的应用程序，因为这些途径都极有可能使您的手机中毒。

如果你能一不小心安装了含有恶意代码的程序，也不必慌张，按照如下步骤，就可以清除Cardtrap.M 病毒及其变种。

安装netqin 杀毒软件
执行全盘扫描：
扫描出来的病毒，执行删除操作。

如果有未成功提示也无妨：
除完毕后，退出netqin 杀毒软件。

并按照软件提示，重新启动手机：
机后重新执行netqin 杀毒软件，扫描，并删除残留的病毒（可能没有）：
程序管理器已经可以正常使用，进入程序管理器，删除安装的病毒文件。

三，Romride.D
类型：Trojan 平台：Symbian 发现时间：2006-06-01
概述：SymbOS/Romride.D是一个病毒SIS木马，向手机安装已损坏的系统配置组件，根据ROM软件版本的不同会引起不同的行为，包括重启失败到没有任何明显的现象。

在安装病毒软件Romride.D的过程中，会显示诺基亚的logo，并播放一段含有一个笑话的音频。

安装Romride.D后，手机会自动重启。

杀毒：
当手机已重启，但又启动失败时的方法
注意！这种方法将删除手机上的所有数据，包括日历和电话号码
1. 关机
2. 持续按住以下三个键"answer call" + "*" + "3"
3. 持续按住三个键，开机
4. 取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框
5. 你的手机现在被格式化，可以重新使用
详细描述：
更多详细信息请查看SymbOS/Romride.A
四，RommWar.B
类型：Trojan 平台：Symbian 发现时间：2006-05-09
别名：ROMSilly.A
概述：SymbOS/RommWar.B是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手机重启，并使手机重启后开机失败。

杀毒：
注意！这种方法将删除手机上的所有数据，包括日历和电话号码
1. 关机
2. 持续按住以下三个键"answer call" + "*" + "3"
3. 持续按住三个键，开机
4. 取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框
5. 你的手机现在被格式化，可以重新使用
详细描述：
安装到手机
SymbOS/RommWar.B向C盘安装已损坏的系统二进制代码作为引导组件。

手机上ROM软件的版本不同，导致的结果不同。

已被证实的现象包括重启手机，并使手机重启后开机失败。

危害
安装一个以损坏的系统二进制代码作为一个引导组件。

五，RommWar.C
类型：Trojan 平台：Symbian 发现时间：2006-05-09
别名：ROMSilly.B
概述：SymbOS/RommWar.C是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手机重启，并使手机重启后开机失败。

杀毒：
注意！这种方法将删除手机上的所有数据，包括日历和电话号码
1. 关机
2. 持续按住以下三个键"answer call" + "*" + "3"
3. 持续按住三个键，开机
4. 取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框
5. 你的手机现在被格式化，可以重新使用
详细描述：
安装到手机
SymbOS/RommWar.C向C盘安装已损坏的系统二进制代码作为引导组件。

手机上ROM软件的版本不同，导致的结果不同。

已被证实的现象包括重启手机，并使手机重启后开机失败。

危害
安装一个以损坏的系统二进制代码作为一个引导组件。

六，Doomboot.S
类型：Trojan 平台：Symbian 发现时间：2006-03-16
别名：Singlejump.K
概述：SymbOS.Doomboot.S 是一个木马，向中毒手机中安装已损坏的文件，以阻止手机正常重启。

详细描述：
传播
以Security - Application.sis 的形式。

危害
当用户点击SIS 文件的时候，手机的安装程序将显示一对话框，提示用户此应用程序来源不稳定，可能会产生问题。

如果用户点击yes ，手机提示用户安装如下程序：
Install
Security – Application
在安装过程中，同样显示如下信息：
Security - Application For Series 60 Copyright ? 2006 0ID500 Inc. All rights reserved *** 0ID500 TEAM ***
当SymbOS.Doomboot.S 执行以后，将进行如下操作：
1.释放如下文件：
.\SendSIS.sis (A copy of SymbOS.Cardblock.A)
[DRIVELETTER]\System\apps\AppInst\Appinst.aif
[DRIVELETTER]\System\apps\AppInst\Appinst.app
[DRIVELETTER]\System\apps\BtUi\BtUi.app
[DRIVELETTER]\System\apps\FSpreader\FSpreader.app (A copy of SymbOS.Sendtool.A) [DRIVELETTER]\System\apps\FSpreader\FSpreader.rsc
[DRIVELETTER]\System\apps\FSpreader\PATH.TXT
[DRIVELETTER]\System\apps\Mosquitos\Mosquitos.aif
[DRIVELETTER]\System\apps\Mosquitos\Mosquitos.app (A copy of Trojan.Mos) [DRIVELETTER]\System\apps\Mosquitos\Mosquitos.rsc
[DRIVELETTER]\System\apps\Mosquitos\Mosquitos_caption.rsc
[DRIVELETTER]\System\apps\Mosquitos\addon1.pcm
[DRIVELETTER]\System\apps\Mosquitos\addon21.pcm
[DRIVELETTER]\System\apps\Mosquitos\addon22.pcm
[DRIVELETTER]\System\apps\Mosquitos\audio.dat
[DRIVELETTER]\System\apps\Mosquitos\gameover.pcm
[DRIVELETTER]\System\apps\Mosquitos\menuswitch.pcm
[DRIVELETTER]\System\apps\Mosquitos\ragg.pcm
[DRIVELETTER]\System\apps\Mosquitos\raggc.pcm
[DRIVELETTER]\System\apps\Mosquitos\saugen.pcm
[DRIVELETTER]\System\apps\Mosquitos\shoot.pcm
[DRIVELETTER]\System\apps\Mosquitos\shoothit.pcm
[DRIVELETTER]\System\apps\Mosquitos\winken.pcm
[DRIVELETTER]\System\apps\OIDI500\OIDI500.aif
[DRIVELETTER]\System\apps\OIDI500\OIDI500.app (A copy of SymbOS.Cabir) [DRIVELETTER]\System\apps\OIDI500\OIDI500.mdl (A copy of SymbOS.Cabir) [DRIVELETTER]\System\apps\OIDI500\OIDI500.rsc
[DRIVELETTER]\System\apps\ProfiExplorer\ProfiExplorer.aif
[DRIVELETTER]\System\apps\ProfiExplorer\ProfiExplorer.app
[DRIVELETTER]\System\apps\ProfiExplorer\ProfiExplorer.rsc
[DRIVELETTER]\System\apps\Profimail\Data\Alert.mid
[DRIVELETTER]\System\apps\Profimail\Data\PM_S60.dta
[DRIVELETTER]\System\apps\Profimail\Data\config.bin
[DRIVELETTER]\System\apps\Profimail\Data\messages.bin
[DRIVELETTER]\System\apps\Profimail\Data\shop.txt
[DRIVELETTER]\System\apps\Profimail\ProfiMail.aif
[DRIVELETTER]\System\apps\Profimail\ProfiMail.app
[DRIVELETTER]\System\apps\Profimail\ProfiMail.rsc
[DRIVELETTER]\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP (A copy of SymbOS.Mabir.A )
[DRIVELETTER]\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC [DRIVELETTER]\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS (A copy o f SymbOS.Mabir.A )
[DRIVELETTER]\System\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\INFO.SIS (A copy of SymbOS.Mabir.A )
C:\ETel.dll
C:\System\Fonts\Kill sadam font.gdr (A cop y of SymbOS.Fontal.A )
C:\System\Fonts\Panic.gdr (A copy of SymbOS.Blankfont.A )
C:\System\install\PhoneBook.SIS (A copy of SymbOS.Pbstealer.A )
C:\System\install\autoexecdaemon.SIS (A copy of SymbOS.Cabir.C )
C:\System\install\commwarrior.SIS (A copy of mwarrior.A )
C:\System\recogs\flo.mdl (A copy of SymbOS.Mabir.A )
注意：如果手机重启，这些文件将被释放并使手机功能异常。

2.安装器将创建如下文件：
\system\install\Security - Application.sis
七，RommWar.A
类型：Trojan 平台：Symbian 发现时间：2006-04-04
概述：SymbOS/RommWar.A 是一个恶意的SIS 木马，会向手机安装一个无法使用的系统组
件，根据手机中ROM 软件版本的不同，会引起不同的行为。

产生的影响包括使手机死机并要求重启，使手机上的电源按键失灵，或者有时并没有什么明显的影响。

杀毒：
手动杀毒
根据SymbOS/RommWar.A 病毒产生的影响，可以通过应用程序管理器删除功能障碍的系统组件，并卸载包含SymbOS/RommWar.A 病毒的SIS 文件。

手机不能启动情况下的杀毒
注意！这种方法将删除手机上的所有数据，包括日历和电话号码：
•关机
•持续按住以下3 个按键："answer call" + "*" + "3"
•持续按下这3 个键并开机
•取决于型号，或出现文字"formatting" ，或询问初始手机设定的启动对话框
•您的手机已被格式化并可以重新使用。

详细描述：
安装到系统
SymbOS/RommWar.A 安装一段无法使用的系统二进制代码到手机的 C 盘和运行此二进制代码的引导组件。

根据手机中ROM 软件版本不同，产生的影响会不同, 包括使手机死机并要求重启，使手机上的电源按键失灵，或者有时根本没有什么明显的影响。

危害
安装一个已毁坏的系统二进制码和一个引导组件。

在手机感染了SymbOS/RommWar.A 病毒之后，出现死机的情况时，会显示一个与上图类似的通知消息。

当此通知消息被显示之后，手机上唯一可用的功能是关机选项。

•持续按下这3 个键并开机
•取决于型号，或出现文字"formatting" ，或询问初始手机设定的启动对话框
•您的手机已被格式化并可以重新使用。

详细描述：
安装到系统
SymbOS/RommWar.A 安装一段无法使用的系统二进制代码到手机的 C 盘和运行此二进制代码的引导组件。

根据手机中ROM 软件版本不同，产生的影响会不同, 包括使手机死机并要求重启，使手机上的电源按键失灵，或者有时根本没有什么明显的影响。

危害
安装一个已毁坏的系统二进制码和一个引导组件。

在手机感染了SymbOS/RommWar.A 病毒之后，出现死机的情况时，会显示一个与上图类似的通知消息。

当此通知消息被显示之后，手机上唯一可用的功能是关机选项。

八，Appdisabler.K
类型：Trojan 平台：Symbian 发现时间：2006-03-06
概述：Appdisabler.K 是一个恶意SIS 文件木马，试图使内置Symbian OS 及第三方应用程序无法使用。

详细描述：
传播
以EISymbian.SIS 形式
危害
使以下应用程序无法使用：
Appinst
Notepad
NpdViewer
九，Cardtrap.AF
类型：Trojan 平台：Symbian 发现时间：2006-04-18
概述：Cardtrap.AF 是损坏Symbian 系统应用程序的SIS 文件木马，试图损坏某些第三方应用程序并将Windows 蠕虫安装到存储卡。

详细描述：
传播
以“BlueSoft Hacking Pro.sis”的形式传播。

安装到手机
Cardtrap.AF 试图通过向系统内存安装一些已损坏的文件来破坏关键的系统应用程序和一些第三方应用程序。

Cardtrap.AF 安装来自以下Symbian 病毒的文件：
SymbOS/Blankfont.A
SymbOS/Singlejump.A
安装到MMC 卡
Cardtrap.AF 向手机的MMC 卡安装W32/Generic.worm!p2p 病毒。

此蠕虫病毒安装后带有文件名、图标和快捷方式连接，试图诱骗用户来点击它们。

十，Skulls.M
类型：Trojan 平台：Symbian 发现时间：2005-06-22
别名：SymbOS/Skulls.M
概述：Skulls.M 是SymbOS/Skulls.A 木马的一个变种，与Skulls.A 有相似的功能，但使用
不同的文件。

Skulls.M 是一个恶意SIS 文件木马，用无法使用的版本替换系统应用程序，使可以用于杀毒的第三方应用程序，如FExplorer 和System Explorer 无法使用。

像Skulls.A 一样，Skulls.M 用自己的骷髅图标替换应用程序图标，以致每个被替换的应用程序标题都是"Khalid" 。

如果安装了Skulls.M ，只有手机呼叫和应答可以使用。

所有需要某个系统应用程序的功能，如SMS 和MMS 信息、网页浏览和照相，都无法使用。

如果你已经安装Skulls.M ，最重要的是不要重启手机。

详细描述：
安装到系统
像Skulls.A 一样，Skulls.M 是一个SIS 文件，安装关键的系统ROM 二进制文件和Cabir.F 蠕虫到C ：盘。

系统ROM 文件以与ROM 驱动器中完全相同的名字和位置安装。

Symbian 操作系统有一个特征，导致任意C ：盘中的文件以相同的名字和位置替换ROM 驱动器中的文件。

传播
以X-Ray Full byDotSis.SIS 形式
危害
用无法使用的版本替换内置和第三方应用程序。

十一，Skulls.N
类型：Trojan 平台：Symbian 发现时间：2005-09-16
别名：SymbOS/Skulls.N
概述：Skulls.N 是Skulls.D SIS 文件木马的一个编辑版本，当被安装到手机上时，它使内置应用程序和第三方应用程序无法使用。

更多细节请参考Skulls.D的描述。

十二，Skulls.Q
类型：Trojan 平台：Symbian 发现时间：2005-09-27
别名：SymbOS/Skulls.Q
概述：Skulls.Q 是之前一些Skulls 变种的结合体。

Skulls.Q 包含其他变种Skulls.D 和Skulls.N 的部分文件。

Skulls.Q 也向手机释放SymbOS/Commwarrior.B 和一些Cabir 变种，以及SymbOS/Doomboot.A 木马的部分文件。

Doomboot 文件被释放到使其无法影响系统的文件夹内，因此即使手机感染了Skulls.Q 仍然可以正常启动。

Skulls.Q 也包含
SymbOS/Onehop.A 的蓝牙发送部分，但被安装的这部分不能自动启动而且用户不能执行它。

详细描述：
传播
以FireStorm_English_PATCH_by_SMPDA.sis 形式
十三，Skulls.F
类型：Trojan 平台：Symbian 发现时间：2005-03-22
别名：SymbOS/Skulls.F
概述：Skulls.F 是Skulls.D SIS 文件木马的一个编辑版本，它包含Cabir 蠕虫的一些变种，以及Locknut.B 木马的一些拷贝。

Skulls.F 仍在分析中，详细信息将在近期提供。

详细描述：
传播
以Simworks.SIS 和WMAcodec.sis 形式
危害
用无法使用的版本替换内置和第三方应用程序，安装Cabir 蠕虫变种、Locknut.B 木马，并开启显示闪烁骷髅的图像。

十四，Skulls.H
类型：Trojan 平台：Symbian 发现时间：2005-03-29
别名：SymbOS/Skulls.H
概述：Skulls.H 是Skulls.D SIS 文件木马的一个编辑版本，它包含Cabir 蠕虫的一些变种，和Locknut.B 木马的一些拷贝。

详细描述：
传播
以NokiaGuard.sis 和ScreenSaver.sis 形式
危害
用无法使用的版本替换内置和第三方应用程序，安装Cabir 蠕虫变种、Locknut.B 木马，并开启显示闪烁骷髅的图像。

十五，Skulls.L
类型：Trojan 平台：Symbian 发现时间：2005-06-09
别名：SymbOS/Skulls.L
概述：Skulls.L 是SymbOS/Skulls.C 木马的一个变种。

木马的组成文件与Skulls.C 几乎一致。

. Skulls.L 和Skulls.C 的主要区别是Skulls.L 伪装成盗版F-Secure 手机杀毒软件。

请注意虽然Skulls.L 原始文件名就是F-Secure 手机杀毒软件，Skulls.L 不包含可以使用的盗版手机杀毒软件。

Skulls.L 实际包含与F-Secure 手机杀毒软件同名的文件，但这些文件是真正文件的截短版本。

Skulls.L 是一个恶意SIS 文件木马，用无法使用的版本替换系统应用程序，向手机释放SymbOS/Cabir.F 和Cabir.G 蠕虫，并使可以用于杀毒的第三方应用程序，如FExplorer 和EFileman 无法使用。

已经检测到Skulls.L 释放的Cabir.F 和Cabir.G 蠕虫。

Skulls.L 通过将F-Secure 手机杀毒软件文件替换为无法使用的版本，以使其无法使用。

但是因为F-Secure 手机杀毒软件能够智能检测Skulls.L 。

杀毒软件会检测感染的SIS 文件，阻止其安装。

只要杀毒软件处于实时扫描模式就可以。

Skulls.L 释放的Cabir.F 和Cabir.G 不会自动激活，也不会在重启时激活。

释放的Cabir 蠕虫激活的唯一方式是如果用户点击释放的Cabir 文件的图标运行。

安装Skulls.L 时显示以下信息：
"F-Secure Antivirus protect you against the virus.
And don`t forget to update this!"
像Skulls.A 一样，Skulls.L 用自己的骷髅图标替换应用程序图标，以致每个替换应用程序都有标题"Skulls" 。

如果安装了Skulls.L ，只有手机呼叫和应答可以使用。

所有需要某个系统应用程序的功能，如SMS 和MMS 信息、网页浏览和照相，都无法使用。

如果你已经安装Skulls.L ，最重要的是不要重启手机。

详细描述：
安装到系统
像Skulls.A 一样，Skulls.L 是一个SIS 文件，安装关键的系统ROM 二进制文件、Cabir.F 和Cabir.G 蠕虫到C ：盘。

系统ROM 文件以与ROM 驱动器中完全相同的名字和位置安装。

Symbian 操作系统有一个特征，导致任意C ：盘中的文件以相同的名字和位置替换ROM 驱动器中的文件。

传播
以F-secure_Antivirus_OS7.sis 形式
危害
用无法使用的版本替换内置和第三方应用程序，安装Cabir.F 和Cabir.G 蠕虫。

十六，Mabir.A
类型：Worm 平台：Symbian 发现时间：2005-03-29
别名：SymbOS/Mabir.A
概述：Mabir 是针对Symbian 60 系列手机的蠕虫，Mabir 蠕虫能够通过蓝牙和MMS 信息传播。

当Mabir.A 感染手机时，它将开始寻找其他通过蓝牙可达的手机，并向发现的手机发送感染的SIS 文件。

Mabir.A 发送的SIS 文件总是拥有同样的文件名"caribe.sis" 。

请注意虽然Mabir.A 使用的SIS 文件名与原始Cabir 蠕虫相同，它仍是与cabir 不同的蠕虫。

除了通过蓝牙传播，Mabir.A 也监听所有到达感染手机的MMS 或SMS 消息。

并向这些消息回复包含"info.sis" 的Mabir 的MMS 消息。

Mabir 发送的MMS 消息不包含任何文字信息，只有info.sis 文件。

MMS 消息是可以在Symbian 手机和其他支持MMS 信息的手机之间发送的多媒体信息。

正如名字所示，设计的MMS 消息只包含媒体内容，如图片、音频或视频，但实际上它能够包含一切，包括被感染的Symbian 安装文件。

杀毒：
手机杀毒后，你可以到应用程序管理器删除留下的空文件夹，卸载Mabir.A 的SIS 文件(caribe.sis 或info.sis)
详细描述：
通过蓝牙复制
Mabir 通过蓝牙在总是命名为caribe.sis 的SIS 文件中复制，SIS 文件包括蠕虫的部分文件caribe.app ，caribe.rsc 和flo.mdl 。

SIS 文件包含自启动设定，会在SIS 文件被安装后自动执行caribe.app ，启动蠕虫。

当Mabir 蠕虫被激活，它将开始寻找其他蓝牙手机，并向发现的第一个手机发送自身。

如果目标手机离开范围或拒绝文件传输，它仍会试图向同一个手机发送消息。

通过MMS 复制
Mabir 通过MMS 向其它用户发送包含感染SIS 文件的MMS 消息来复制。

MMS 消息包
含文件名为info.sis 的Mabir SIS 文件。

MMS 发送由到达手机的MMS 或SMS 消息触发，导致Mabir 将自身作为MMS 消息发送到消息来源的号码。

因此Mabir 作为用户发送到感染手机上的信息的回复而发送，以此试图骗过接受者。

Mabir 蠕虫在其发送的MMS 消息中不使用任何文字。

感染
当Mabir SIS 文件安装时，安装者将蠕虫可执行文件复制到以下地址：
\system\apps\Caribe\Caribe.app
\system\apps\Caribe\Caribe.rsc
\system\apps\Caribe\flo.mdl
当Mabir.exe 执行时，复制以下文件：
\system\symbiansecuredata\caribesecuritymanager\Caribe.app
\system\symbiansecuredata\caribesecuritymanager\Caribe.rsc
并重建其SIS 文件到：
\system\symbiansecuredata\caribesecuritymanager\Info.sis
重建SIS 文件后，蠕虫开始寻找所有可见的蓝牙手机，并开始等待到达的SMS 或MMS 消息。

十七，Pbstealer.A
类型：Trojan 平台：Symbian 发现时间：2005-11-21
别名：SymbOS/Pbstealer.A
概述：SymbOS/Pbstealer.A 是一个运行于Symbian 60 系列平台的木马程序。

Pbstealer.A 伪装成压缩手机联系人数据库的应用软件。

Pbstealer.A 并不压缩信息，而是读取联系人信息数据库，并作为文本文件向其找到的第一个蓝牙设备发送其内容。

Pbstealer.A 是一个木马，并不自行传播，用户需下载Pbstealer.A 的SIS 安装包才会感染。

因此当Pbstealer.A 使用蓝牙发送手机电话簿数据时，这些数据只是文本，不会感染接收设备。

详细描述：
传播
以pbexplorer.SIS 形式
Pbstealer.A 以原命名为Pbexlorer.SIS 的SIS 文件形式传播，伪装成压缩手机联系人数据库的应用软件。

SIS 文件包括Pbstealer.A 程序文件和字符串源码，SIS 文件安装时Pbstealer.A 自动启动。

危害
启动时Pbstealer.A 显示文字：
Compacting your contact(s), step2
Please wait again
until done...
显示文字时，Pbstealer.A 读取手机中所有联系人信息，并将其复制到文件C:\SYSTEM\MAIL\PHONEBOOK.TXT 。

建立文本文件后，Pbstealer.A 寻找通过蓝牙找到的第一个设备，并通过蓝牙发送文本。

试图通过蓝牙发送文件时，Pbstealer.A 试图重复连接，以致如果用户回答不，就会马上得到第二个连接请求。

除了Pbstealer 会在一分钟后放弃尝试并退出之外，这个技术与Cabir 使用的策略相似
如果目标手记的用户接收蓝牙传输，他将收到一个文本文件，包含从感染手机联系人数据库复制的信息。

该文章转自[灵通] 原文链接：/sj/znpc/Symbian/200810/3927.html。