病毒資料
別名: SymbOS/Lasco.A, EPOC/Lasco.A
病毒FAQ: Symbian系統下的病毒。
發現日期:2007-2-15
概述: Lasco.A 是一個使用藍牙傳播的蠕蟲和 SIS 檔案,感染病毒運行於支持 60 系列平台的 Symbian 手機。
Lasco.A 通過藍牙連線複製,作為包含蠕蟲的 velasco.sis 檔案到達手機收信箱。當用戶點擊velasco.sis 並選擇安裝時,蠕蟲激活並開始通過藍牙尋找新的手機以進行感染。
當 Lasco 蠕蟲發現另一個藍牙手機時,只要目標手機在範圍內,它就開始向其傳送 velasco.sis 檔案的拷貝。像 Cabir.H 一樣, Lasco.A 在第一個目標離開範圍後,能夠發現新目標。
除了通過藍牙傳送自身外, Lasco.A 也能夠通過將自身嵌入手機中發現的 SIS 檔案來複製。一個感染的 SIS 檔案被複製到另一個手機上, Lasco.A 安裝會在首次安裝任務內部開始,詢問用戶是否安裝 Velasco 。
請注意 Lasco.A 感染的 SIS 檔案不會自動傳送到其他手機。被感染檔案而非原始 Velasco.SIS 感染 Lasco.A 的唯一方法是手動複製並安裝到另一個手機。
Lasco.A 與 Cabir.H 基於同一代碼,與其非常相似。 Cabir.H 和 Lasco.A 的主要區別是 SIS 檔案感染規則。
請注意 Lasco 蠕蟲只能到達支持藍牙並處於可發現模式的手機。
把你的手機設定為不可發現(隱藏)藍牙模式會保護你的手機不受 Lasco 蠕蟲侵害。
但是一旦手機被感染,即使用戶試圖從系統設定中關閉藍牙功能,病毒仍將試圖感染其他系統。
通過藍牙複製
Lasco.A 通過藍牙複製 velasco.sis 檔案,包含蠕蟲主要執行檔 velasco.app 、系統識別器 marcos.mdl 和源檔案 velasco.rsc 。 SIS 檔案包括自啟動設定,在 SIS 檔案被安裝後,將自動執行 velasco.app 。
velasco.app 檔案不會自動到達目標手機,所以當感染手機仍在範圍內時,用戶需要對傳輸問題回答是。
當 Lasco.A 蠕蟲被激活,它將開始尋找其他的藍牙手機,並開始向找到的第一個手機傳送被感染的 velasco.sis 檔案。在第一個目標手機離開範圍後, Lasco.A 會繼續尋找並感染其他手機。
這個複製機制的修改使 Lasco.A 一旦失去控制,更可能快速傳播。
通過感染 SIS 檔案複製
Lasco.A 也通過尋找感染手機所有 SIS 安裝檔案來複製。通過將 velasco.sis 安裝檔案作為 SIS 檔案中最後一個檔案加入來感染它們。
Lasco.A 也會修改感染 SIS 檔案頭,以致嵌入的 velasco SIS 安裝檔案會在主 SIS 檔案安裝後自動啟動。但當 Lasco.A 安裝自動啟動時,安裝順序仍然正常,用戶會被詢問是否想安裝 Velasco ,而且用戶會得到關於 SIS 檔案中缺失簽名的警告。
感染
當 velasco.sis 檔案安裝時,安裝者會將蠕蟲執行檔複製到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
當 velasco.app 執行時複製以下檔案:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用戶將應用程式安裝到記憶體卡,避免用戶試圖通過卸載原始 SIS 檔案殺掉蠕蟲是最可能發生的。
之後蠕蟲會從蠕虫部分檔案和 velasco.app 中的數據塊重建 velasco.sis 檔案。
重建 SIS 檔案後, Lasco.A 會尋找手機中所有的 SIS 檔案,將自身加入這些檔案並修改 SIS 檔案頭,以致在手機上安裝 SIS 檔案時,嵌入目標 SIS 檔案的 Lasco.A 會自動激活。
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5356
