Назад в дневник Пишет Kiss
удаляем вирусыУдаление вируса "Carib"
Вот решил написать, как избавляться от этой дряни
Есть 2 способа:
1. Можно воспользоваться утилитой "decabir" от Касперского.
2. Удалить файлы из папок:
c:/system/symbiansecuredata/caribesecuritymanager;
c:/system/recogs
e:/system/Apps/caribe
(буквы диска могут зависить от того, куда был установлен Carib, в данном случае на карту памяти).
И помните: выключенный блютуз - гарантия вашей безопасности
А теперь об удалении вируса "Skulls".
Распространяется в программе "Extended Theme Manager" от компании "Tee-222".
Если вы пострадали от этого вируса, ни в коем случае не перезагружайте смарт, иначе это может привести к потере данных
Лечение:
Сначала нужно удалить файлы Appinst.aif и AppInst.app, а затем воспользоваться антивирусом от компании F-Secure.
И помните: Выключенный блютуз - гарантия вашей безопасности
Worm.SymbOS.Cabir.a
Другие названия Worm.SymbOS.Cabir.a («Лаборатория Касперского») также известен как:
SymbOS/Cabir.b (McAfee),
SymbOS.Cabir (Symantec),
Symb/Cabir-A (Sophos),
SymbOS_CABIR.A (Trend Micro),
Worm/Symbi.Cabir.A (H+BEDV),
SymbOS.Worm.Caribe.A (SOFTWIN),
SymbOS/Cabir.A.worm (Panda)
Описание опубликовано 15 июн 2004
Поведение Net-Worm, интернет-червь
Технические детали
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.
Из-за большого количества подобных телефонов различных производителей, пока не представляется возможным указать все подверженные заражению модели, однако с полной уверенностью можно говорить о Nokia 3650, 7650 и N-Gage.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian.
Вот список этих устройств (оригинал находится на сайте Symbian):
Телефоны
Уже выпущенные
Выпускаемые в ближайшем будущем
FOMA F2051
FOMA F2102V
FOMA F900i
Motorola A920
Motorola A925
Nokia 3650/3600
Nokia 3660/3620
Nokia 6600
Nokia 7610
Nokia 7650
Nokia 9210 Communicators
Nokia 9290 Communicator
Nokia N-Gage
Nokia N-Gage QD
Sendo X
Siemens SX1
Sony Ericsson P800
Sony Ericsson P900
BenQ P30
FOMA F900iT
Motorola A1000
Nokia 6260
Nokia 6620
Nokia 6630
Nokia 7700
Nokia 9500
Panasonic X700
Samsung SGH-D710
Смартфоны и коммуникаторы
Ericsson R380 World Smartphone
Ericsson R380e Smartphone
Ericsson R380sc Smartphone
Psion 618C and 618S
Psion Revo and Revo Plus
Psion Series 5mx
Psion Series 7 and netBook
В настоящий момент известны две версии данного червя, отличающиеся только наличием строчки "VZ/29a" в выводимом на экран тексте Window Alert.
Червь представляет собой файла формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт).
Данный файл содержит в себе несколько объектов:
caribe.app: размер 11932 байт (или 11944 байт)
flo.mdl: размер 2544 байт
caribe.rsc: размер 44 байта
Инсталляция
При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"):
И затем инсталлирует себя в различные каталоги:
с:\system\apps\caribe\caribe.app
с:\system\apps\caribe\flo.mdl
с:\system\apps\caribe\caribe.rsc
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC C:\SYSTEM\RECOGS\FLO.MDL
Каталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона.
В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе.
Размножение
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение:
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона):
Прочее
Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.
Удаление червя
"Лаборатория Касперского" разработала специальную утилиту для удаления Cabir.a с зараженного мобильного устройства под управлением ОС Symbian.
В настоящее время утилита работает с телефонами Nokia 3650, 6600 и Siemens SX1. Утилита также способна работать на Nokia N-Gage и Sony Ericsson P900, хотя тестирование на этих аппаратах не проводилось.
Чтобы воспользоваться утилитой, необходимо любым способом загрузить установочный файл decabir.sis на мобильный аппарат, и запустить его. Затем, выбрать иконку Decabir в главном меню телефона. Если червь на аппарате не обнаружен, утилита выдаст сообщение "Device is clean". В противном случае появится сообщение "Cabir has been removed. Please reboot", после которого необходимо перезапустить телефон (выключить и снова включить).
Утилита выложена на WAP-сайт wap.kaspersky.com и доступна для загрузки непосредственно со страниц WAP-сайта или же из WWW по ссылке wap.kaspersky.com/downloads/decabir.sis.
Если у вас остались вопросы, пишите мне их на
_kiss_@mail.ru с пометкой в теме "Я чайник"
smart.nokiazone.ru
Прислал Disconnect
