資料來源:北京日月光華
類型: Worm 平台: Symbian
別名: SymbOS/Commwarrior.A
源自: 俄羅斯
概述: Commwarrior 是作用於 Symbian60 系列手機的蠕蟲,能夠通過藍牙和 MMS 訊息傳播。
Commwarrior 感染手機時,將開始尋找其他通過藍牙可達的手機,並向發現的手機傳送感染 SIS 檔案。
Comwarrior 傳送的 SIS 檔案隨機命名,因此無法警告用戶避免任何已知名字的檔案。
除了通過藍牙傳播, Comwarrior 也會讀取用戶本地手機號碼地址簿,並開始傳送包含 commwarrior SIS 檔案的 MMS 訊息。
MMS訊息是可以在 Symbian 手機和其他支持 MMS 信息的手機之間傳送的多媒體信息。正如名字所示,設計的 MMS 訊息只包含媒體內容,如圖片、音頻或視頻,但實際上它能夠包含一切,包括被感染的 Symbian 安裝檔案。
Comwarrior 包含以下文字:
CommWarrior v1.0 (c) 2005 by e10d0r
ATMOS03KAMA HEAT!
文字 "OTMOP03KAM het!" 是俄語,大意是 " 不要腦死亡 " 。
傳播方式:
通過藍牙複製
Comwarrior 通過藍牙在隨機命名的 SIS 檔案中複製, SIS 檔案包括蠕蟲主要執行檔 commwarrior.exe 和啟動部分 commrec.mdl 。
SIS 檔案包含自啟動設定,會在 SIS 檔案被安裝後自動執行 commwarrior.exe 。
當 Comwarrior 蠕蟲被激活,它將開始尋找其他藍牙手機,並一個接一個向每個手機傳送自身拷貝。如果目標手機離開範圍或拒絕檔案傳輸, Commwarrior 會尋找另一個手機。
Commwarrior 的複製機制不同於 Cabir 。只要手機在範圍內 Cabir 蠕蟲就會鎖定它,跟著變種或在失去連線後尋找另一個變種或者持續鎖定。
Comwarrior 蠕蟲在向第一個目標傳送自身後會尋找新的目標,因此它能夠連線範圍內的所有手機。傳播得可能比 Cabir 快。
Commwarrior 基於手機自身時鐘只從 08:00 到 23:59 通過藍牙複製。
通過 MMS 複製
Mabir 通過 MMS 向其它用戶傳送包含感染 SIS 檔案的 MMS 訊息來複製。 MMS 訊息包含可變文字信息和檔案名稱為 commw.sis 的 Comwarrior SIS 檔案。
與藍牙傳播 SIS 檔案名稱可變不同, SIS 檔案與藍牙傳播傳送的檔案相同。
從手機地址簿可讀到 Commwarrior 傳送 MMS 訊息的數量。
感染
當 Comwarrior SIS 檔案安裝時,安裝者將蠕蟲執行檔複製到以下地址:
\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
當 comwarrior.exe 執行時,複製以下檔案:
\system\updates\commrec.mdl
\system\updates\commwarrior.exe
並重建它的 SIS 檔案到:
\system\updates\commw.sis
重建 SIS 檔案後蠕蟲開始通過 MMS 傳播。
Commwarrior 基於手機自身時鐘只從 08:00 到 23:59 通過藍牙複製。
解決辦法:
如果手機已經感染該病毒,安裝專用手機防毒軟體進行清除,到應用程式管理器刪除留下的空資料夾,卸載 Comwarrior 的 SIS 檔案 (commw.sis 或隨機命名 )。
沒有防毒軟體的請格式化手機或者恢復到出廠設定(別忘了做好資料備份)。
注意!這種方法將刪除手機上的所有數據,包括日曆和電話號碼
1. 關機
2. 持續按住以下三個鍵"answer call" + "*" + "3"
3. 持續按住三個鍵,開機
4. 取決於型號,或出現文字"Formatting",或詢問初始手機設定的啟動對話框
5. 你的手機現在被格式化,可以重新使用
參考資料:http://www.m-virus.com/post/79.html
