手机中毒纪事

时间:07-01-07 栏目:数码&时尚 作者:wukong 评论:0 点击: 1,172 次

今天一早发现我们的金mm又用回原来那个旧手机了,第一反应,手机又被偷了。一脸苦相,中毒了。以前只是听说过手机病毒,一直觉得离我很遥远,也对其放松了警惕所以手机上从来没装过杀毒软件........ 幸好我用treo650,中毒也不怕。

以下是何博客里的一篇资料:

新买的手机这几天频繁的重启,中国移动的字样被替换,发短信伴随着自动发送个彩信。且堆积了大量信息未发送纪录!开始以为是软件版本或硬件的bug(因为是刚买的水)软格、硬格,刷机全都不能解决........ 后来把存储卡换到我的手机上,也出现类似情形。这时才反应过来是“中标了!!www.2hand.cn

 纪录下解决经历供有同样遭遇的朋友参考(彩信病毒 commwarrior):

使用杀毒软件:
  1、瑞星杀毒软件手机版 (S60) 其他智能手机点这里。功能比较多样化,集成短信及来电防火墙,官方的是06年08月份,最近无更新。
  2、金山毒霸手机版(S60) 其他智能手机点这里。小巧而实用,官方的是05年11月份的最近无更新!
  3、网秦手机杀毒软件 米用过不清楚,还有几款国外,貌似更新也不太勤快www.2hand.cn

手动清除:
  1、首先使用文件管理软件删除www.2hand.cn c:systemrecogscommrec.mdl
  2、重启手机
  3、删除下列文件:
    c:systemupdatescommrec.mdl
    c:systemupdatescommw.sis
    c:systemupdatescommrwarrior.exe
    c:systemappsCommWarriorcommwarrior.exe
    c:systemappsCommWarriorcommrec.mdl

如有存储卡路径类似默认盘符为E

病毒档案:Commwarrior.C
类型: Worm 平台: Symbian
别名: SymbOS/Commwarrior.C, Comwarrior, CWOUTCAST
源自: 俄罗斯
概述: Commwarrior.C 是一个与 Commwarrior.B 相似的蠕虫,但也有新的功能。
Commwarrior.C 能够通过蓝牙、 MMS 和插入被感染手机的 MMC 卡传播。
当 Commwarrior.C 感染一个手机时,它试图将操作者的标识改为自己的。在 Nokia 6600 上已检测到这种行为,标识被换成 "Infected by Commwarrior" 。

当用户回复新的 SMS 或 MMS 信息时, Commwarrior.C 将使用手机浏览器启动一个网页。
Commwarrior 搜索其他通过蓝牙可达的手机,使用蓝牙传播向找到的所有手机发送被感染的 SIS 文件。
Comwarrior 发送的 SIS 文件被随机命名,因此无法警告用户避免任何已知文件名字的文件。

除了通过蓝牙传播, Comwarrior.C 也通过 MMS 信息传播。 Commwarrior.C 基于用户发信习惯发送被感染的 MMS 消息,以使所有发送到被感染手机的信息都得到感染的 MMS 作为响应。而且由感染手机的用户发送的 SMS 消息将跟随感染的 MMS 消息。

由 Commwarrior.C 发送的 MMS 消息中的文字包含存储在手机收信箱的文字,因此 Commwarrior.C 发送的消息是接收用户可能期望从发送方收到的文字。

MMS 消息是能够在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示, MMS 消息设计为只包含媒体内容,如图片、音频或视频,但它们能够包含一切,包括被感染的 Symbian 安装文件。
Commwarrior.C 也通过 MMC 卡传播,将其自身复制到任何插入手机的卡中。如果这种卡被插入另一个手机,当卡插入时, Commwarrior.C 将自动启动。
Comwarrior 包含以下文字:
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it's original unmodified form.
With best regards from Russia .
OTMOP03KAM HET
!

文字 "OTMOP03KAM HET!" 是俄语,大意是 " 不要脑死亡 " 。
Commwarrior.C 尚未完全分析,如得到更多确认的细节描述将更新。

详细描述:

 感染
Comwarrior SIS 文件安装时,安装者将蠕虫可执行文件复制到 c:systemprogramscwoutcast.exe 。
comwarrior.exe 执行时,将自己复制到 systembootdatalibcwoutcast.exe 并创建 systemrecogscworec.mdl 到 C :盘和找到的所有 MMC 卡。
与 Commwarrior.A 和 .B 不同, Commwarrior.C 的 SIS 文件不包括 MDL 识别器,识别器部分包含在可执行的蠕虫中。
复制自身后, Commwarrior.C 在执行 cwoutcast.exe 的文件夹内重建 SIS 文件。

 隐藏自身进程
Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程,以使其在标准应用程序列表内不可见。
但是如果用户使用一个名为 CWOUTCAST 的第三方进程列表工具, Commwarrior.C 进程是可见的。

 通过蓝牙复制
Comwarrior 通过蓝牙在随机命名的 SIS 文件中复制, SIS 文件包括蠕虫的主要可执行文件 woutcast.exe 。 SIS 文件包含自启动设定,会在 SIS 文件被安装后自动执行 cwoutcast.exe 。
Comwarrior 蠕虫被激活时,将开始寻找其他蓝牙手机,并试图向每个目标手机发送一次自身复制品。
如果目标手机离开范围或拒绝文件传输, commwarrior 将搜索另一个手机。
Comwarrior 的复制机制不同于 Cabir 。一旦一个手机在范围内, Cabir 蠕虫会锁定它,在失去连接或持续锁定后则取决于变种是否查看另一个变种。
Comwarrior 蠕虫会持续寻找新的目标,因此它能够连接范围的所有手机。

 通过 MMS 复制
Commwarrior.C 使用三种策略通过 MMS 消息传播。
第一种当 Commwarrior.C 启动时,它开始搜索手机地址簿,向所有标记为手机的电话号码发送 MMS 消息。
Commwarrior.C 监听所有到达的 MMS 或 SMS 消息,向这些消息回复包含 Commwarrior.C SIS 文件的 MMS 消息。
蠕虫也监听所有由用户发送的 SMS 消息,在 SMS 消息之后向相同号码发送 MMS 消息。

  复制到 MMC 卡
Commwarrior.C 监听所有插入感染手机的 MMC 卡,并向其复制自身。感染的卡包含 Commwarrior 可执行文件和 bootstrap 部分,以使另一个手机如果插入感染的卡也会感染。

 保护自身不被杀毒
Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分, Commwarrior.C 的运行进程将在手机中重新创建它们。 Commwarrior.C 也设定保护它自己的进程,以使进程不能被轻易杀死。

声明: 本文由( wukong )原创编译,转载请保留链接: 手机中毒纪事

手机中毒纪事:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!

------====== 本站公告 ======------
大家有任何疑问和建议,请到这里留言:点击留言板

读者排行