Resumo

Tipo Worm [Bluetooth]
Aliases
  • EPOC/Cabir (F-Secure, Computer Associates)
  • Symb/Cabir (Sophos)
  • SymbOS/Cabir (Symantec)
  • Worm.Symbian.Cabir (Kaspersky)
  • Symbian/Cabir (McAfee)
Sistemas Afetados
  • SymbianOS Série 60
Dano Baixo
Tamanho
  • caribe.sis – 15104 Bytes
  • caribe.app – 11944 Bytes
  • caribe.rsc – 44 Bytes
  • flo.mdl – 11498 Bytes
Remoção Fácil
Notas Cabir é uma Prova de Conceito

Descrição

Cabir é o primeiro worm que infecta celulares e outros dispositivos portáteis que rodam o sistema SymbianOS que suportam a plataforma da Série 60.

O Cabir se espalha via redes sem fio Bluetooth de um portátil para outro. O Worm aparecerá na caixa de entrada dos telefones como carible.sis. Se você executar o arquivo, aparecerá os procedimentos normais de instalação dos programas do Symbian. Ao terminar o processo, o worm já vai começar a infectar novos aparelhos.

Infecção

Se você possuir um aparelho rodando SymbianOS com o Bluetooth habilitado no modo de descobrimento, o arquivo caribe.sis pode ser enviado para a sua caixa de entrada caso exista um aparelho infectado por perto. Executando o caribe.sis, você será infectado pelo worm.

A única diferença é que você ainda terá a chance de abortar a infecção devido ao processo de instalação do worm.

Detalhes Técnicos

Ao executar o arquivo caribe.sis, será pedido para que instale o worm. Haverá um pequeno erro antes da instalação. Se o usuário clicar em sim, será então instalado o worm. O worm então se autoexecutará.

Os arquivos do Cabir serão copiados para:

  • systemappscaribecaribe.rsc
  • systemappscaribecaribe.app
  • systemappscaribeflo.mdl
  • c:systemrecogsflo.mdl
  • c:systemsymbiansecuredatacaribesecuritymanagercaribe.app
  • c:systemsymbiansecuredatacaribesecuritymanagercaribe.rsc

O worm então recriará o caribe.sis para que este contenha todos os componentes necessários para o funcionamento do worm. Esse arquivo recriado será enviado para todos os aparelhos que o Cabir encontrar via Bluetooth.

Após infectar um aparelho, o worm travará sua execução até que o telefone seja desligado e ligado novamente.

Carga Maliciosa

Após instalado, Cabir vai apenas continuar procurando por mais aparelhos com o Bluetooth habilitado para infectar. Não existe qualquer carga maliciosa no worm.

Recomendações

Desabilitar o reconhecimento do aparelho via Bluetooth ou desabilitar o suporte completamente. Você deve simplesmente ignorar os caribe.sis que receber, caso esteja com bluetooth habilitado.

Alertas

Recentemente foi descoberta uma falha no Bluetooth que poderia permitir a instalação automática de um worm como esse. Cabir não é capaz de explorar essa falha.

Remoção

Ferramentas de Remoção

Remoção Manual

  1. Instale um gerenciador de arquivos no celular
  2. Ative a opção de ver arquivos do diretório system
  3. Procure nos drives, de A a Y pelo diretório systemappscaribe
  4. Delete os arquivos (dos diretórios caribe):
    • systemappscaribecaribe.rsc
    • systemappscaribecaribe.app
    • systemappscaribeflo.mdl
  5. Vá até o diretório C:systemsymbiansecuredatacaribesecuritymanager
  6. Delete os arquivos
    • caribe.sis
    • caribe.rsc
    • caribe.app
  7. Vá até o diretório c:systemrecogs
  8. Delete o arquivo flo.mdl
  9. Vá até o diretório c:systeminstalls
  10. Delete o arquivo caribe.sis

Você pode não conseguir remover alguns arquivos. Remova o que conseguir, desligue e lige o celular novamente e delete os que sobraram.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website