Symbian平台操作系统手机病毒特征和查杀方法详细评介.docx

《Symbian平台操作系统手机病毒特征和查杀方法详细评介.docx》由会员分享，可在线阅读，更多相关《Symbian平台操作系统手机病毒特征和查杀方法详细评介.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Symbian平台操作系统手机病毒特征和查杀方法详细评介及扫描清除杀毒软件工具下载作者：admin 文章来源：百科原创 点击数：654 更新时间：2008-10-6目前发现的Symbian 平台操作系统的手机病毒主要有下列几种：Commwarrior.C Cardtrap.M .Romride.D .RommWar.B RommWar.C Doomboot.S .RommWar.A Appdisabler.KCardtrap.AF Skulls.MSkulls.N.Skulls.Q这里就这几种手机病毒的发作特征传播途径和杀毒方法一一做个详细评介：先来介绍三款手机病毒扫描清除软件工具：点击下面链

2、接下载手机病毒扫描清除实时监控软件NetQin V2 for symbian手机病毒扫描清除实时监控软件工具NetQinCleaner网秦手机彩信病毒Commwarrior.C专杀工具软件nq_cwcML一，Commwarrior.C类型： Worm 平台： Symbian 发现时间： 2005-10-13 别名： SymbOS/Commwarrior.C, Comwarrior, CWOUTCAST 源自： 俄罗斯 概述： Commwarrior.C 是一个与 Commwarrior.B 相似的蠕虫，但也有新的功能。 Commwarrior.C 能够通过蓝牙、 MMS 和插入被感染手机的 M

3、MC 卡传播。 当 Commwarrior.C 感染一个手机时，它试图将操作者的标识改为自己的。在 Nokia 6600 上已检测到这种行为，标识被换成 Infected by Commwarrior 。 当用户回复新的 SMS 或 MMS 信息时， Commwarrior.C 将使用手机浏览器启动一个网页。Commwarrior 搜索其他通过蓝牙可达的手机，使用蓝牙传播向找到的所有手机发送被感染的 SIS 文件。Comwarrior 发送的 SIS 文件被随机命名，因此无法警告用户避免任何已知文件名字的文件。除了通过蓝牙传播， Comwarrior.C 也通过 MMS 信息传播。 Commw

4、arrior.C 基于用户发信习惯发送被感染的 MMS 消息，以使所有发送到被感染手机的信息都得到感染的 MMS 作为响应。而且由感染手机的用户发送的 SMS 消息将跟随感染的 MMS 消息。 由 Commwarrior.C 发送的 MMS 消息中的文字包含存储在手机收信箱的文字，因此 Commwarrior.C 发送的消息是接收用户可能期望从发送方收到的文字。 MMS 消息是能够在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示， MMS 消息设计为只包含媒体内容，如图片、音频或视频，但它们能够包含一切，包括被感染的 Symbian 安装文件。 Comm

5、warrior.C 也通过 MMC 卡传播，将其自身复制到任何插入手机的卡中。如果这种卡被插入另一个手机，当卡插入时， Commwarrior.C 将自动启动。Comwarrior 包含以下文字： CommWarrior Outcast: The dark side of Symbian Force. CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in its original unmodified form. Wi

6、th best regards from Russia . OTMOP03KAM HET! 文字 OTMOP03KAM HET! 是俄语，大意是 不要脑死亡 。 Commwarrior.C 尚未完全分析，如得到更多确认的细节描述将更新。 详细描述： 感染 Comwarrior SIS 文件安装时，安装者将蠕虫可执行文件复制到 c:systemprogramscwoutcast.exe 。 comwarrior.exe 执行时，将自己复制到 systembootdatalibcwoutcast.exe 并创建 systemrecogscworec.mdl 到 C ：盘和找到的所有 MMC 卡。

7、与 Commwarrior.A 和 .B 不同， Commwarrior.C 的 SIS 文件不包括 MDL 识别器，识别器部分包含在可执行的蠕虫中。 复制自身后， Commwarrior.C 在执行 cwoutcast.exe 的文件夹内重建 SIS 文件。 隐藏自身进程Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程，以使其在标准应用程序列表内不可见。 但是如果用户使用一个名为 CWOUTCAST 的第三方进程列表工具， Commwarrior.C 进程是可见的。通过蓝牙复制 Comwarrior 通过蓝牙在随机命名的 SIS 文件中复制， SIS 文件包括蠕虫的

8、主要可执行文件 woutcast.exe 。 SIS 文件包含自启动设定，会在 SIS 文件被安装后自动执行 cwoutcast.exe 。 Comwarrior 蠕虫被激活时，将开始寻找其他蓝牙手机，并试图向每个目标手机发送一次自身复制品。 如果目标手机离开范围或拒绝文件传输， commwarrior 将搜索另一个手机。 Comwarrior 的复制机制不同于 Cabir 。一旦一个手机在范围内， Cabir 蠕虫会锁定它，在失去连接或持续锁定后则取决于变种是否查看另一个变种。 Comwarrior 蠕虫会持续寻找新的目标，因此它能够连接范围的所有手机。 通过 MMS 复制 Commwarr

9、ior.C 使用三种策略通过 MMS 消息传播。 第一种当 Commwarrior.C 启动时，它开始搜索手机地址簿，向所有标记为手机的电话号码发送 MMS 消息。 Commwarrior.C 监听所有到达的 MMS 或 SMS 消息，向这些消息回复包含 Commwarrior.C SIS 文件的 MMS 消息。 蠕虫也监听所有由用户发送的 SMS 消息，在 SMS 消息之后向相同号码发送 MMS 消息。 复制到 MMC 卡 Commwarrior.C 监听所有插入感染手机的 MMC 卡，并向其复制自身。感染的卡包含 Commwarrior 可执行文件和 bootstrap 部分，以使另一个手

10、机如果插入感染的卡也会感染。 保护自身不被杀毒 Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分， Commwarrior.C 的运行进程将在手机中重新创建它们。 Commwarrior.C 也设定保护它自己的进程，以使进程不能被轻易杀死。二，Cardtrap.M类型： Trojan 平台： Symbian 发现时间： 2005-12-08 别名： SymbOS/Cardtrap.M 概述： Cardtrap.M 病毒是一款 Symbian 的木马程序。该木马将损坏几个手机内置应用程序及手机杀毒软

11、件。并且向存储卡拷贝了几个 PC 的蠕虫和木马。 安装到内存卡的 Windows 病毒包括图标、批处理文件和快捷链接，试图欺骗用户在想要查看卡的内容时执行恶意文件。 复制和传播方式： 无 清除方法： 建议您不要接收陌生人发送的蓝牙消息，不要安装不知用途或来源不可靠的应用程序，因为这些途径都极有可能使您的手机中毒。如果你能一不小心安装了含有恶意代码的程序，也不必慌张，按照如下步骤，就可以清除 Cardtrap.M 病毒及其变种。 安装 netqin 杀毒软件 执行全盘扫描：扫描出来的病毒，执行删除操作。如果有未成功提示也无妨：除完毕后，退出 netqin 杀毒软件。并按照软件提示，重新启动手机：

12、机后重新执行 netqin 杀毒软件，扫描，并删除残留的病毒（可能没有）：程序管理器已经可以正常使用，进入程序管理器，删除安装的病毒文件。三，Romride.D类型： Trojan 平台： Symbian 发现时间： 2006-06-01 概述： SymbOS/Romride.D是一个病毒SIS木马，向手机安装已损坏的系统配置组件，根据ROM软件版本的不同会引起不同的行为，包括重启失败到没有任何明显的现象。在安装病毒软件Romride.D的过程中，会显示诺基亚的logo，并播放一段含有一个笑话的音频。安装Romride.D后，手机会自动重启。杀毒： 当手机已重启，但又启动失败时的方法 注意！这

13、种方法将删除手机上的所有数据，包括日历和电话号码1. 关机2. 持续按住以下三个键answer call + * + 33. 持续按住三个键，开机4. 取决于型号，或出现文字formatting，或询问初始手机设定的启动对话框5. 你的手机现在被格式化，可以重新使用详细描述： 更多详细信息请查看SymbOS/Romride.A 四，RommWar.B类型： Trojan 平台： Symbian 发现时间： 2006-05-09 别名： ROMSilly.A概述： SymbOS/RommWar.B是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手机重启，并使手机重启后开机失败。杀毒： 注意

14、！这种方法将删除手机上的所有数据，包括日历和电话号码1. 关机2. 持续按住以下三个键answer call + * + 33. 持续按住三个键，开机4. 取决于型号，或出现文字formatting，或询问初始手机设定的启动对话框5. 你的手机现在被格式化，可以重新使用详细描述： 安装到手机SymbOS/RommWar.B向C盘安装已损坏的系统二进制代码作为引导组件。手机上ROM软件的版本不同，导致的结果不同。已被证实的现象包括重启手机，并使手机重启后开机失败。危害 安装一个以损坏的系统二进制代码作为一个引导组件。 五，RommWar.C类型： Trojan 平台： Symbian 发现时间：

15、 2006-05-09 别名： ROMSilly.B概述： SymbOS/RommWar.C是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手机重启，并使手机重启后开机失败。杀毒： 注意！这种方法将删除手机上的所有数据，包括日历和电话号码1. 关机2. 持续按住以下三个键answer call + * + 33. 持续按住三个键，开机4. 取决于型号，或出现文字formatting，或询问初始手机设定的启动对话框5. 你的手机现在被格式化，可以重新使用详细描述： 安装到手机SymbOS/RommWar.C向C盘安装已损坏的系统二进制代码作为引导组件。手机上ROM软件的版本不同，导致的结果

16、不同。已被证实的现象包括重启手机，并使手机重启后开机失败。 危害 安装一个以损坏的系统二进制代码作为一个引导组件。六，Doomboot.S类型： Trojan 平台： Symbian 发现时间： 2006-03-16别名： Singlejump.K 概述： SymbOS.Doomboot.S 是一个木马，向中毒手机中安装已损坏的文件，以阻止手机正常重启。 详细描述： 传播 以 Security - Application.sis 的形式。 危害 当用户点击 SIS 文件的时候，手机的安装程序将显示一对话框，提示用户此应用程序来源不稳定，可能会产生问题。如果用户点击 yes ，手机提示用户安装如

17、下程序： Install Security Application 在安装过程中，同样显示如下信息： Security - Application For Series 60 Copyright ? 2006 0ID500 Inc. All rights reserved * 0ID500 TEAM * 当 SymbOS.Doomboot.S 执行以后，将进行如下操作： 1.释放如下文件： .SendSIS.sis (A copy of SymbOS.Cardblock.A) DRIVELETTERSystemappsAppInstAppinst.aif DRIVELETTERSystemap

18、psAppInstAppinst.app DRIVELETTERSystemappsBtUiBtUi.app DRIVELETTERSystemappsFSpreaderFSpreader.app (A copy of SymbOS.Sendtool.A) DRIVELETTERSystemappsFSpreaderFSpreader.rsc DRIVELETTERSystemappsFSpreaderPATH.TXT DRIVELETTERSystemappsMosquitosMosquitos.aif DRIVELETTERSystemappsMosquitosMosquitos.app

19、(A copy of Trojan.Mos) DRIVELETTERSystemappsMosquitosMosquitos.rsc DRIVELETTERSystemappsMosquitosMosquitos_caption.rsc DRIVELETTERSystemappsMosquitosaddon1.pcm DRIVELETTERSystemappsMosquitosaddon21.pcm DRIVELETTERSystemappsMosquitosaddon22.pcm DRIVELETTERSystemappsMosquitosaudio.dat DRIVELETTERSyste

20、mappsMosquitosgameover.pcm DRIVELETTERSystemappsMosquitosmenuswitch.pcm DRIVELETTERSystemappsMosquitosragg.pcm DRIVELETTERSystemappsMosquitosraggc.pcm DRIVELETTERSystemappsMosquitossaugen.pcm DRIVELETTERSystemappsMosquitosshoot.pcm DRIVELETTERSystemappsMosquitosshoothit.pcm DRIVELETTERSystemappsMosq

21、uitoswinken.pcm DRIVELETTERSystemappsOIDI500OIDI500.aif DRIVELETTERSystemappsOIDI500OIDI500.app (A copy of SymbOS.Cabir) DRIVELETTERSystemappsOIDI500OIDI500.mdl (A copy of SymbOS.Cabir) DRIVELETTERSystemappsOIDI500OIDI500.rsc DRIVELETTERSystemappsProfiExplorerProfiExplorer.aif DRIVELETTERSystemappsP

22、rofiExplorerProfiExplorer.app DRIVELETTERSystemappsProfiExplorerProfiExplorer.rsc DRIVELETTERSystemappsProfimailDataAlert.mid DRIVELETTERSystemappsProfimailDataPM_S60.dta DRIVELETTERSystemappsProfimailDataconfig.bin DRIVELETTERSystemappsProfimailDatamessages.bin DRIVELETTERSystemappsProfimailDatasho

23、p.txt DRIVELETTERSystemappsProfimailProfiMail.aif DRIVELETTERSystemappsProfimailProfiMail.app DRIVELETTERSystemappsProfimailProfiMail.rsc DRIVELETTERSystemSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.APP (A copy of SymbOS.Mabir.A ) DRIVELETTERSystemSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.RSC DR

24、IVELETTERSystemSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.SIS (A copy o f SymbOS.Mabir.A ) DRIVELETTERSystemSYMBIANSECUREDATACARIBESECURITYMANAGERINFO.SIS (A copy of SymbOS.Mabir.A ) C:ETel.dll C:SystemFontsKill sadam font.gdr (A cop y of SymbOS.Fontal.A ) C:SystemFontsPanic.gdr (A copy of SymbOS.

25、Blankfont.A ) C:SysteminstallPhoneBook.SIS (A copy of SymbOS.Pbstealer.A ) C:Systeminstallautoexecdaemon.SIS (A copy of SymbOS.Cabir.C ) C:Systeminstallcommwarrior.SIS (A copy of SymbOS.Commwarrior.A ) C:Systemrecogsflo.mdl (A copy of SymbOS.Mabir.A ) 注意：如果手机重启，这些文件将被释放并使手机功能异常。 2.安装器将创建如下文件： system

26、installSecurity - Application.sis 七，RommWar.A类型： Trojan 平台： Symbian 发现时间： 2006-04-04 概述： SymbOS/RommWar.A 是一个恶意的 SIS 木马，会向手机安装一个无法使用的系统组件，根据手机中 ROM 软件版本的不同，会引起不同的行为。产生的影响包括使手机死机并要求重启，使手机上的电源按键失灵，或者有时并没有什么明显的影响。 杀毒： 手动杀毒 根据 SymbOS/RommWar.A 病毒产生的影响，可以通过应用程序管理器删除功能障碍的系统组件，并卸载包含 SymbOS/RommWar.A 病毒的 SI

27、S 文件。 手机不能启动情况下的杀毒 注意！这种方法将删除手机上的所有数据，包括日历和电话号码： 关机 持续按住以下 3 个按键： answer call + * + 3 持续按下这 3 个键并开机 取决于型号，或出现文字 formatting ，或询问初始手机设定的启动对话框 您的手机已被格式化并可以重新使用。 详细描述： 安装到系统 SymbOS/RommWar.A 安装一段无法使用的系统二进制代码到手机的 C 盘和运行此二进制代码的引导组件。根据手机中 ROM 软件版本不同，产生的影响会不同 , 包括使手机死机并要求重启，使手机上的电源按键失灵，或者有时根本没有什么明显的影响。危害 安装

28、一个已毁坏的系统二进制码和一个引导组件。 在手机感染了 SymbOS/RommWar.A 病毒之后，出现死机的情况时，会显示一个与上图类似的通知消息。当此通知消息被显示之后，手机上唯一可用的功能是关机选项。 持续按下这 3 个键并开机 取决于型号，或出现文字 formatting ，或询问初始手机设定的启动对话框 您的手机已被格式化并可以重新使用。 详细描述： 安装到系统 SymbOS/RommWar.A 安装一段无法使用的系统二进制代码到手机的 C 盘和运行此二进制代码的引导组件。根据手机中 ROM 软件版本不同，产生的影响会不同 , 包括使手机死机并要求重启，使手机上的电源按键失灵，或者有

29、时根本没有什么明显的影响。 危害 安装一个已毁坏的系统二进制码和一个引导组件。 在手机感染了 SymbOS/RommWar.A 病毒之后，出现死机的情况时，会显示一个与上图类似的通知消息。当此通知消息被显示之后，手机上唯一可用的功能是关机选项。 八，Appdisabler.K类型： Trojan 平台： Symbian 发现时间： 2006-03-06概述： Appdisabler.K 是一个恶意 SIS 文件木马，试图使内置 Symbian OS 及第三方应用程序无法使用。详细描述： 传播 以 EISymbian.SIS 形式 危害 使以下应用程序无法使用： Appinst Notepad

30、NpdViewer 九，Cardtrap.AF类型： Trojan 平台： Symbian 发现时间： 2006-04-18 概述： Cardtrap.AF 是损坏 Symbian 系统应用程序的 SIS 文件木马，试图损坏某些第三方应用程序并将 Windows 蠕虫安装到存储卡。 详细描述： 传播 以 “BlueSoft Hacking Pro.sis” 的形式传播。安装到手机 Cardtrap.AF 试图通过向系统内存安装一些已损坏的文件来破坏关键的系统应用程序和一些第三方应用程序。 Cardtrap.AF 安装来自以下 Symbian 病毒的文件： SymbOS/Blankfont.A

31、SymbOS/Singlejump.A 安装到 MMC 卡 Cardtrap.AF 向手机的 MMC 卡安装 W32/Generic.worm!p2p 病毒。此蠕虫病毒安装后带有文件名、图标和快捷方式连接，试图诱骗用户来点击它们。十，Skulls.M类型： Trojan 平台： Symbian 发现时间： 2005-06-22别名： SymbOS/Skulls.M 概述： Skulls.M 是 SymbOS/Skulls.A 木马的一个变种，与 Skulls.A 有相似的功能，但使用不同的文件。 Skulls.M 是一个恶意 SIS 文件木马，用无法使用的版本替换系统应用程序，使可以用于杀毒的

32、第三方应用程序，如 FExplorer 和 System Explorer 无法使用。 像 Skulls.A 一样， Skulls.M 用自己的骷髅图标替换应用程序图标，以致每个被替换的应用程序标题都是 Khalid 。 如果安装了 Skulls.M ，只有手机呼叫和应答可以使用。所有需要某个系统应用程序的功能，如 SMS 和 MMS 信息、网页浏览和照相，都无法使用。 如果你已经安装 Skulls.M ，最重要的是不要重启手机。 详细描述： 安装到系统 像 Skulls.A 一样， Skulls.M 是一个 SIS 文件，安装关键的系统 ROM 二进制文件和 Cabir.F 蠕虫到 C ：盘

33、。系统 ROM 文件以与 ROM 驱动器中完全相同的名字和位置安装。 Symbian 操作系统有一个特征，导致任意 C ：盘中的文件以相同的名字和位置替换 ROM 驱动器中的文件。 传播 以 X-Ray Full byDotSis.SIS 形式 危害 用无法使用的版本替换内置和第三方应用程序。十一，Skulls.N类型： Trojan 平台： Symbian 发现时间： 2005-09-16 别名： SymbOS/Skulls.N 概述： Skulls.N 是 Skulls.D SIS 文件木马的一个编辑版本，当被安装到手机上时，它使内置应用程序和第三方应用程序无法使用。 更多细节请参考Sku

34、lls.D的描述。 十二，Skulls.Q类型： Trojan 平台： Symbian 发现时间： 2005-09-27别名： SymbOS/Skulls.Q 概述： Skulls.Q 是之前一些 Skulls 变种的结合体。 Skulls.Q 包含其他变种 Skulls.D 和 Skulls.N 的部分文件。 Skulls.Q 也向手机释放 SymbOS/Commwarrior.B 和一些 Cabir 变种，以及 SymbOS/Doomboot.A 木马的部分文件。 Doomboot 文件被释放到使其无法影响系统的文件夹内，因此即使手机感染了 Skulls.Q 仍然可以正常启动。 Skull

35、s.Q 也包含 SymbOS/Onehop.A 的蓝牙发送部分，但被安装的这部分不能自动启动而且用户不能执行它。 详细描述： 传播 以 FireStorm_English_PATCH_by_SMPDA.sis 形式 十三，Skulls.F类型： Trojan 平台： Symbian 发现时间： 2005-03-22 别名： SymbOS/Skulls.F 概述： Skulls.F 是 Skulls.D SIS 文件木马的一个编辑版本，它包含 Cabir 蠕虫的一些变种，以及 Locknut.B 木马的一些拷贝。 Skulls.F 仍在分析中，详细信息将在近期提供。 详细描述： 传播 以 Sim

36、works.SIS 和 WMAcodec.sis 形式 危害 用无法使用的版本替换内置和第三方应用程序，安装 Cabir 蠕虫变种、 Locknut.B 木马，并开启显示闪烁骷髅的图像。 十四，Skulls.H类型： Trojan 平台： Symbian 发现时间： 2005-03-29 别名： SymbOS/Skulls.H 概述： Skulls.H 是 Skulls.D SIS 文件木马的一个编辑版本，它包含 Cabir 蠕虫的一些变种，和 Locknut.B 木马的一些拷贝。详细描述： 传播 以 NokiaGuard.sis 和 ScreenSaver.sis 形式 危害 用无法使用的版

37、本替换内置和第三方应用程序，安装 Cabir 蠕虫变种、 Locknut.B 木马，并开启显示闪烁骷髅的图像。十五，Skulls.L类型： Trojan 平台： Symbian 发现时间： 2005-06-09 别名： SymbOS/Skulls.L 概述： Skulls.L 是 SymbOS/Skulls.C 木马的一个变种。木马的组成文件与 Skulls.C 几乎一致。 . Skulls.L 和 Skulls.C 的主要区别是 Skulls.L 伪装成盗版 F-Secure 手机杀毒软件。 请注意虽然 Skulls.L 原始文件名就是 F-Secure 手机杀毒软件， Skulls.L 不

38、包含可以使用的盗版手机杀毒软件。 Skulls.L 实际包含与 F-Secure 手机杀毒软件同名的文件，但这些文件是真正文件的截短版本。Skulls.L 是一个恶意 SIS 文件木马，用无法使用的版本替换系统应用程序，向手机释放 SymbOS/Cabir.F 和 Cabir.G 蠕虫，并使可以用于杀毒的第三方应用程序，如 FExplorer 和 EFileman 无法使用。已经检测到 Skulls.L 释放的 Cabir.F 和 Cabir.G 蠕虫。 Skulls.L 通过将 F-Secure 手机杀毒软件文件替换为无法使用的版本，以使其无法使用。但是因为 F-Secure 手机杀毒软件能

39、够智能检测 Skulls.L 。杀毒软件会检测感染的 SIS 文件，阻止其安装。只要杀毒软件处于实时扫描模式就可以。 Skulls.L 释放的 Cabir.F 和 Cabir.G 不会自动激活，也不会在重启时激活。释放的 Cabir 蠕虫激活的唯一方式是如果用户点击释放的 Cabir 文件的图标运行。 安装 Skulls.L 时显示以下信息： F-Secure Antivirus protect you against the virus. And dont forget to update this! 像 Skulls.A 一样， Skulls.L 用自己的骷髅图标替换应用程序图标，以致每个

40、替换应用程序都有标题 Skulls 。如果安装了 Skulls.L ，只有手机呼叫和应答可以使用。所有需要某个系统应用程序的功能，如 SMS 和 MMS 信息、网页浏览和照相，都无法使用。 如果你已经安装 Skulls.L ，最重要的是不要重启手机。 详细描述： 安装到系统 像 Skulls.A 一样， Skulls.L 是一个 SIS 文件，安装关键的系统 ROM 二进制文件、 Cabir.F 和 Cabir.G 蠕虫到 C ：盘。系统 ROM 文件以与 ROM 驱动器中完全相同的名字和位置安装。 Symbian 操作系统有一个特征，导致任意 C ：盘中的文件以相同的名字和位置替换 ROM

41、驱动器中的文件。 传播 以 F-secure_Antivirus_OS7.sis 形式 危害 用无法使用的版本替换内置和第三方应用程序，安装 Cabir.F 和 Cabir.G 蠕虫。十六，Mabir.A类型： Worm 平台： Symbian 发现时间： 2005-03-29 别名： SymbOS/Mabir.A 概述： Mabir 是针对 Symbian 60 系列手机的蠕虫， Mabir 蠕虫能够通过蓝牙和 MMS 信息传播。 当 Mabir.A 感染手机时，它将开始寻找其他通过蓝牙可达的手机，并向发现的手机发送感染的 SIS 文件。Mabir.A 发送的 SIS 文件总是拥有同样的文件

42、名 caribe.sis 。请注意虽然 Mabir.A 使用的 SIS 文件名与原始 Cabir 蠕虫相同，它仍是与 cabir 不同的蠕虫。 除了通过蓝牙传播， Mabir.A 也监听所有到达感染手机的 MMS 或 SMS 消息。并向这些消息回复包含 info.sis 的 Mabir 的 MMS 消息。 Mabir 发送的 MMS 消息不包含任何文字信息，只有 info.sis 文件。 MMS 消息是可以在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示，设计的 MMS 消息只包含媒体内容，如图片、音频或视频，但实际上它能够包含一切，包括被感染的 Sym

43、bian 安装文件。 杀毒： 手机杀毒后，你可以到应用程序管理器删除留下的空文件夹，卸载 Mabir.A 的 SIS 文件 (caribe.sis 或 info.sis) 详细描述： 通过蓝牙复制 Mabir 通过蓝牙在总是命名为 caribe.sis 的 SIS 文件中复制， SIS 文件包括蠕虫的部分文件 caribe.app ， caribe.rsc 和 flo.mdl 。 SIS 文件包含自启动设定，会在 SIS 文件被安装后自动执行 caribe.app ，启动蠕虫。 当 Mabir 蠕虫被激活，它将开始寻找其他蓝牙手机，并向发现的第一个手机发送自身。如果目标手机离开范围或拒绝文件传

44、输，它仍会试图向同一个手机发送消息。通过 MMS 复制 Mabir 通过 MMS 向其它用户发送包含感染 SIS 文件的 MMS 消息来复制。 MMS 消息包含文件名为 info.sis 的 Mabir SIS 文件。 MMS 发送由到达手机的 MMS 或 SMS 消息触发，导致 Mabir 将自身作为 MMS 消息发送到消息来源的号码。因此 Mabir 作为用户发送到感染手机上的信息的回复而发送，以此试图骗过接受者。 Mabir 蠕虫在其发送的 MMS 消息中不使用任何文字。 感染 当 Mabir SIS 文件安装时，安装者将蠕虫可执行文件复制到以下地址： systemappsCaribeC

45、aribe.app systemappsCaribeCaribe.rsc systemappsCaribeflo.mdl 当 Mabir.exe 执行时，复制以下文件： systemsymbiansecuredatacaribesecuritymanagerCaribe.app systemsymbiansecuredatacaribesecuritymanagerCaribe.rsc 并重建其 SIS 文件到： systemsymbiansecuredatacaribesecuritymanagerInfo.sis 重建 SIS 文件后，蠕虫开始寻找所有可见的蓝牙手机，并开始等待到达的 SMS 或 MMS 消息。 十七，Pbstealer.A类型： Trojan 平台： Symbian 发现时间： 2005-11-21 别名： SymbOS/Pbstealer.A 概述： S