Cabir - Le premier ver capable d'infecter des téléphones mobiles

Par K-OTik Security © (Cellule Anti-Virus) - Kaspersky Labs a détecté Cabir, le premier ver/virus informatique capable de se propager via des réseaux téléphoniques mobiles. Il infecte les téléphones portables utilisant le système d'exploitation Symbian OS.

Il semblerait que ce ver ait été écrit par "Vallez", un des membres du groupe 29a spécialisé dans la conception de virus proof-of-concept (preuve de faisabilité - 29a sont les auteurs du ver Rugrat, le premier virus Windows 64bits). Les analyses préliminaires du code ont montré que Cabir se transmettait en tant que fichier SIS (Symbian distribution file), en prenant l'apparence d'un outil de gestion de sécurité Caribe (Caribe Security Manager utility).

 

Une fois le fichier exécuté, l'écran du téléphone affichera le message "Caribe". Le ver s'installera ensuite dans le système et s'activera à chaque démarrage/allumage du mobile. Il scanne et recherche des mobiles en utilisant la technologie Bluetooth, puis envoie une copie de lui-même au premier téléphone identifié.

Cabir a été conçu pour fonctionner sous le système d'exploitation Symbian (pour Nokia Series 60). Toutefois, il est possible qu'il puisse fonctionner sous d'autres téléphones portables. Ce ver n'a aucune charge utile malveillante, il n'est donc pas dangereux ... pour le moment !

Détails Techniques :

Alias : Cabir
          Epoc.Cabir
          EPOC/Cabir.A
          Epoc/Cabir.A.worm
          EPOC_CABIR.A
          Symb/Cabir-A
          Symbian/Cabir
          Symbian/Cabir.b
          Worm.Symbian.Cabir
          Worm.Symbian.Cabir.a

Taille : 15104 octets (caribe.sis)
           11944 octets (caribe.app)
           11498 (flo.mdl), 44 (caribe.rsc)

Vulnérables :

Nokia Series 60 Developer Platform 2.0:

  • Nokia 7610
  • Nokia 6620
  • Nokia 6600
  • Panasonic X700

Nokia Series 60 Developer Platform 1.0:

  • Nokia 7650
  • Nokia 3650, 3600
  • Nokia 3660, 3620
  • Nokia N-Gage
  • Siemens SX1
  • Sendo X

Propagation :

Une fois Cabir exécuté :

1) il affiche le message "Caribe"



2) Il Crée les fichiers suivants :

  • \SYSTEM\APPS\CARIBE\CARIBE.APP
  • \SYSTEM\APPS\CARIBE\CARIBE.RSC
  • \SYSTEM\APPS\CARIBE\FLO.MDL
  • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
  • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
  • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
  • \SYSTEM\RECOGS\FLO.MDL
  • \SYSTEM\INSTALLS\CARIBE.SIS

3) Scanne et recherche des mobiles accessibles via la technologie Bluetooth, puis envoie une copie de lui-même au premier téléphone trouvé.


 4) il s'active à chaque démarrage/allumage du mobile

Changelog :
15 Juin 2004 (14h32) : Version Initiale
15 Juin 2004 (23h02) : Versions Vulnérables.
 

K-OTik Security © (Cellule Anti-Virus)
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits