病毒資料
別名:SymbOS/locknut.A,Gavno.A, Gavno.B
概述:Locknut.A 是一個惡意 SIS 檔案木馬,偽裝成 Symbian 60 系列手機的補丁。
病毒FAQ:Symbian系統下的病毒。
發現日期:2007-2-15
安裝時, Locknut.A 釋放使系統關鍵部分崩潰的二進制檔案,阻止手機中所有應用程式啟動。因此有效地鎖定了手機。
據說 Locknut 會使呼叫功能無法使用,以致用戶不能用感染手機打電話。但我們沒有在任何手機上達到這種效果。
Locknut.A 也只作用於 Symbian OS 7.0 或更新的手機,使用 Symbian OS 6.0 或 6.1 的手機不受影響。
Locknut 的目標是 Symbian 60 系列手機,但也有 70 系列手機,如 NOKIA 7710 就易受 Locknut 攻擊。但是當試圖在 Nokia 7710 上安裝 Skulls 木馬時,用戶會得到一個 SIS 檔案與手機不兼容的警告,因此偶然感染的危險很小。
有些 AV 公司把這種木馬叫做 Gavno ,但因為這個詞在俄語中的意思相當粗俗。 AV 業界決定將其重命名為 Locknut 。
也有在同一 SIS 檔案中包含 Cabir.B 的 Locknut 版本,有些公司稱為 Gavno.B 。但因為實際的木馬功能完全等同於 Locknut.A ,我們把兩種樣本都叫做 Locknut.A 。
Locknut.A 樣本中包含的 Cabir.B 是無害的,因為 Locknut 殺死感染手機上的所有應用程式,包括從同一 SIS 檔案安裝的 Cabir.B 。
即使殺掉 Locknut.B , Cabir.B 仍不會啟動,因為它被安裝到了感染手機中錯誤的資料夾。
如果用戶殺掉 locknut 後手動啟動 Cabir.B , Cabir.B 會作為純粹的 Cabir.B 傳播,不會把 Locknut.A 傳播到其他手機。
Locknut.A 是一個 SIS 檔案,用無法使用的 stub 檔案使系統關鍵 ROM 二進制檔案崩潰。 Locknut.A sis 檔案安裝時,檔案會安裝到以下位置:
c:\system\apps\gavno\gavno.app
c:\system\apps\gavno\gavno.rsc
c:\system\apps\gavno\gavno_caption.rsc
Locknut.SIS 檔案也包含複製到 C:\ 資料夾的自身拷貝。
傳播:
以 patch_v1.sis 和 patch_v2.sis 形式
危害:
Locknut.A 的兩個版本都替換系統關鍵二進制檔案, patch_v2.sis 還釋放不能在手機上啟動的 Cabir.B
參考資料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=5357
