CommWarrior (análisis y eliminación)

Iniciado por ANTRAX, Febrero 23, 2010, 12:22:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 23, 2010, 12:22:31 PM Ultima modificación: Diciembre 14, 2015, 01:55:01 PM por Gabriela
SymbOS/Commwarrior.B. Se propaga por celulares
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nombre: SymbOS/Commwarrior.B
Nombre NOD32: SymbOS/CommWarrior.B
Tipo: Gusano
Alias: Commwarrior.B, Symb/Comwar-B, SymbOS.Commwarrior.B, SymbOS/Commwarrior.b, SymbOS/Commwarrior.B, SYMBOS_COMWAR.B
Fecha: 7/mar/05
Plataforma: Symbian OS Series 60
Tamaño: 32,768 bytes
Última modificación: 30/mar/05

Este gusano puede infectar celulares que ejecuten el sistema operativo Symbian OS.

Puede ser descargado de diferentes sitios de Internet, con el nombre de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, el cuál contiene el installador COMMWARRIOR.SIS (la extensión .SIS es utilizada por este sistema operativo para las instalaciones de programas y aplicaciones).

Se propaga por Bluetooth, utilizando nombres de archivos al azar. Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles y otros dispositivos.

También intenta enviarse mediante mensajes multimedia (MMS, Multimedia Messaging Service). Este tipo de mensaje permite el envío de texto, imagen y/o video a los teléfonos de otros usuarios. Esta rutina parece no funcionar correctamente.

El gusano afecta a teléfonos móviles que se ejecutan bajo el sistema operativo Symbian OS Series 60, como los siguientes:

    Nokia 3650, 3600
    Nokia 3660, 3620
    Nokia 6600
    Nokia 6620
    Nokia 7610
    Nokia 7650
    Nokia N-Gage
    Panasonic X700
    Sendo X
    Siemens SX1

Cuando el gusano llegue, el sistema puede mostrar el siguiente mensaje:

    Receive
    message via
    Bluetooth from
    7610-rd?
    [ Yes ]     [ No ]

Cuando se intente ejecutar el archivo .SIS enviado, el sistema mostrará el siguiente mensaje que advierte sobre la posible peligrosidad del archivo a instalar:

    Application is
    untrusted and
    may have problems.
    Install only if you
    trust provider.
    [ Yes ]     [ No ]

Si sea acepta la instalación, el gusano crea la carpeta "CommWarrior" en "C:\system\apps\", con los siguientes archivos en su interior:

    C:\system\apps\CommWarrior\commwarrior.exe
    C:\system\apps\CommWarrior\commrec.mdl

El gusano es visualizado en la lista de aplicaciones como "CommWarrior".

También intenta propagarse vía mensajes MMS, siendo el primer gusano con esta capacidad.

Luego, intenta crear un mensaje MMS conteniendo alguno de los siguientes mensajes:

    * *FREE* CheckDisk for SymbianOS released!MobiComm
    * 3DGame
    * 3DGame from me. It is FREE !
    * 3DNow!
    * 3DNow!(tm) mobile emulator for *GAMES*.
    * Audio driver
    * CheckDisk
    * Desktop manager
    * Display driver
    * Dr.Web
    * Free *SEX* software for you!
    * Free SEX!
    * Happy Birthday!
    * Happy Birthday! It is present for you!
    * Helps to *CRACK* WWW sites like No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    * Internet Accelerator
    * Internet Cracker
    * Internet accelerator, SSL security update #7.
    * It is *EASY* to *CRACK* provider accounts!
    * Live3D driver with polyphonic virtual speakers!
    * MS-DOS
    * MS-DOS emulator for SymbvianOS.
    * Nokia series 60 only. Try it!
    * Matrix has you. Remove matrix!
    * MatrixRemover
    * MobiComm, Mobile communications inspector. Try it!
    * New Dr.Web antivirus for Symbian OS. Try it!
    * Nokia RingtoneManager for all models.
    * Nokia ringtoner
    * Norton AntiVirus
    * OS service pack #1 from Symbian inc.
    * Official Symbian desctop manager.
    * PocketPC *REAL* emulator for Symbvian OS! Nokia only.
    * PocketPCemu
    * Porno images
    * Porno images collection with nice viewer!
    * PowerSave Inspector
    * Real True Color mobile display driver!
    * Released now for mobile, install it!
    * Save you battery and *MONEY*!
    * Security update #12
    * See security news at No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    * Significant security update. See No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
    * Symbian security update
    * SymbianOS update
    * Virtual SEX
    * Virtual SEX mobile engine from Russian hackers!
    * WWW Cracker

Esta rutina de envío de mensajes MMS parece fallar al intentar propagarse.

El gusano contiene las siguientes cadenas en su código:

    BAFL[10003a0f].DLL
    BLUETOOTH.DLL
    EFSRV[100039e4].DLL
    ESOCK[10003d3f].DLL
    EUSER[100039e5].DLL
    IROBEX[10003d57].DLL
    MSGS[10004e66].DLL
    PBKENG[101f4cce].DLL
    PLPVARIANT[10009b13].DLL
    SDPAGENT[10009222].DLL
    SDPDATABASE[10009220].DLL

El código también contiene el siguiente mensaje del probable autor del mismo:

    ommWarrior v1.0 (c) 2005 by e10d0r
    CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.
    OTMOP03KAM HET!


Eliminación manual

Para eliminar el gusano de un dispositivo infectado, siga estos pasos:

1. Seleccione la opción "CommWarrior" de la lista de aplicaciones.

2. Seleccione "Cancel" (Exit CommWarrior?) y confirme con "Yes".

3. Borre la carpeta "CommWarrior" utilizando el manejador de archivos (file manager):

    C:\system\apps\CommWarrior\

Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.

Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo.

Imprimir
Ir Arriba Páginas1
Acciones del Usuario