CommwarriorQ: Το χρονικό μιας μόλυνσης (F.A.Q.)

[GloBy]

Ο ιός Commwarrior.Q δεν αποτελεί μια απλή παραλλαγή του Commwarrior.B, όπως οι περισσότεροι τύποι ιών που έχουν λάβει οι ερευνητές στα εργαστήρια της F-Secure (από όπου και προέρχεται η πλειοψηφία των πληροφοριών του παρόντος κειμένου). Πρόκειται για ένα νέο σκουλήκι (worm), βασισμένο στον ιό Commwarrior C, με τις ίδιες ιδιότητες αλλά και πολλές νέες δυνατότητες.

 

Όνομα: Commwarrior.Q

Άλλες ονομασίες: SymbOS/Commwarrior.Q, CommWarrior worm v3.0, CW3

Τύπος: Σκουλήκι (Worm)

Κατηγορία: Ιός (Virus)

Πλατφόρμα: Symbian OS (Symbian Operating System) εκδόσεις 8.1 και παλαιότερες

Χώρα προέλευσης: Ρωσία

Ημερομηνία ανακάλυψης: Αυγούστου 01, 2006

 

 

1. Ποια λειτουργικά συστήματα / κινητά τηλέφωνα επηρεάζει;

 

Ο Commwarrior.Q επηρεάζει μόνο τις συσκευές κινητής τηλεφωνίας Symbian Series 60 που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 8.1 ή παλαιότερη. Αυτό σημαίνει πως το τελευταίο μοντέλο κινητών τηλεφώνων που θα επηρεαστεί είναι το Nokia N72. Συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 9.0, όπως τα Nokia E70 και Nokia 3250 δεν θα επηρεαστούν από τον ιό.

 

2. Το χρονικό μιας μόλυνσης: Πως μεταδίδεται, πως μολύνει, πως εγκαθίσταται;

 

Αν και μεταδίδεται αυτοματοποιημένα, ο Commwarrior.Q δεν μπορεί να μολύνει άλλες συσκευές κινητής τηλεφωνίας. Στην οθόνη του χρήστη θα εμφανιστεί μήνυμα που θα του ζητήσει την αποδοχή του μολυσμένου SIS αρχείου. Την αποδοχή θα ακολουθήσει ένα νέο μήνυμα ασφαλείας. Όταν ο χρήστης απαντήσει θετικά σε αυτό, ο Commwarrior.Q θα ξεκινήσει να εκτελείται. Ας δούμε όμως αναλυτικά πως δρα ο ιός.

 

2.1 Δημιουργία SIS αρχείων εγκατάστασης προς αποστολή σε άλλες συσκευές

 

Ο Commwarrior.Q αναπαράγει τον εαυτό του σε SIS πακέτα εγκατάστασης που αποστέλλει σε άλλες συσκευές μέσω ασύρματης σύνδεσης Bluetooth ή μηνυμάτων πολυμέσων (MMS), με τον ίδιο τρόπο που χρησιμοποιούσαν οι προηγούμενες παραλλαγές του. Τα SIS αρχεία που δημιουργούνται φέρουν τυχαία ονόματα, όπως για παράδειγμα: anyrah5y.sis ή xyr88b0muh7.sis. Αυτά τα αρχεία περιέχουν το «σώμα» του worm, έχουν μέγεθος που κυμαίνεται από 32100 έως 32200 bytes και συνήθως θα τα βρείτε στη διαδρομή C:\ ή σε κάποιο κατάλογο με τυχαίο όνομα.

 

Σε αντίθεση με τις προηγούμενες παραλλαγές του Commwarrior, η «Έκδοση Q» δεν χρησιμοποιεί κάποιο σταθερό όνομα προϊόντος, όνομα το οποίο εμφανίζεται κατά την διάρκεια της εγκατάστασης. Περιέχει μια σειρά στοιχείων για την παραγωγή τυχαίων πλην όμως αληθοφανών ονομάτων αρχείων. Επιλέγοντας από τις ακόλουθες τρεις σειρές στοιχείων, η ταυτοποίηση / αναγνώριση γίνεται ακόμη πιο δύσκολη:

 

• smart, nokia, symbian, nice, fatal, cool, c00l, virtual, final, safe, abstract, static, zend, jedi, trend, micro, mega, hard, nice, good, lost.
  
  
• www, web, wap, e-mail, mail, game, graphics, java, hood, sex, max, audio, memory, RAM, ROM, HDD, WinAmp, jedi, hardware, display, keyboard, key.
  
  
• antivirus, anti-virus, guard, ****er, hacker, *****er, checker, driver, manager, uninstaller, remover, engine, tool, machine ,box, stuff, videoplayer, player ,trust, ringtone, explorer, timer, game, AppMan, recorder, dictaphone, team, images, calculator, objects, documents, clips, docs.
  
  

 

2.2 Μετάδοση μέσω Bluetooth

 

Ο Commwarrior.Q αναπαράγει και αποστέλλει τον εαυτό του κάνοντας χρήση ασύρματης σύνδεσης Bluetooth σε αρχεία SIS που φέρουν τυχαία ονόματα. Όταν σε μια μολυσμένη συσκευή το worm είναι ενεργό, ξεκινά την αναζήτηση άλλων συσκευών με ενεργοποιημένη σύνδεση Bluetooth και αποστέλλει ταυτόχρονα, σε κάθε μια συσκευή που ανιχνεύσει, αντίγραφο του εαυτού του που εμπεριέχει εντολές και ρυθμίσεις αυτόματης εκκίνησης για αυτοματοποιημένη εγκατάσταση. Εάν η συσκευή-στόχος βρεθεί εκτός εμβέλειας ή δεν αποδεχθεί το αρχείο, o Commwarrior.Q θα ψάξει για νέες συσκευές. Ο μηχανισμός αναπαραγωγής και μετάδοσης του Commwarrior.Q διαφέρει από το μηχανισμό του Cabir καθώς εκείνος κλειδώνει τον στόχο σε μία συσκευή-θύμα.

 

2.3 Μετάδοση μέσω MMS (Μηνύματα Πολυμέσων)

 

Ο Commwarrior.Q διαθέτει και χρησιμοποιεί τρεις διαφορετικές στρατηγικές στην προσπάθειά του να εξαπλωθεί μέσω μηνυμάτων MMS:

 

• Όταν ο Commwarrior.Q ξεκινήσει, επισκέπτεται το βιβλίο διευθύνσεων της συσκευής και αποστέλλει μηνύματα πολυμέσων σε κάθε αριθμό που εντοπίζει και είναι χαρακτηρισμένος ως αριθμός κινητού τηλεφώνου.
  
  
• Ο Commwarrior.Q παρακολουθεί σιωπηλά κάθε εισερχόμενο MMS και SMS και απαντά σε κάθε ένα από αυτά με ένα μήνυμα πολυμέσων που εμπεριέχει το Commwarrior.Q SIS αρχείο.
  
  
• Ο Commwarrior.Q παρακολουθεί σιωπηλά κάθε εξερχόμενο SMS και, αμέσως μετά την αποστολή του, αποστέλλει ένα μήνυμα πολυμέσων.
  
  

 

Τα κείμενα που αποστέλλει ο Commwarrior.Q στα MMS μηνύματα είναι κείμενα που ήδη υπάρχουνε στον φάκελο εισερχομένων της συσκευής. Με αυτό τον τρόπο, οι παραλήπτες των μηνυμάτων λαμβάνουν μηνύματα που ενδέχεται να περιμένουν από τον αποστολέα.

 

2.4 Μετάδοση και αντιγραφή σε MMC κάρτες

 

Ο Commwarrior.Q παρακολουθεί για τυχόν εισαγωγή MMC καρτών μνήμης στην συσκευή ώστε να αντιγράψει τον εαυτό του στην κάρτα. Η μολυσμένη πλέον κάρτα θα περιέχει τόσο το εκτελέσιμο αρχείο του worm όσο και το συστατικό με τις εντολές για την αυτόματη φόρτωση του προγράμματος έτσι ώστε να μολυνθεί και η επόμενη συσκευή στην οποία θα εισαχθεί η κάρτα μνήμης.

 

2.5 Μετάδοση με μόλυνση άλλων SIS αρχείων

 

O Commwarrior ψάχνει το δίσκο C: της συσκευής και τυχόν κάρτες μνήμες για SIS αρχεία εγκατάστασης τα οποία μολύνει μόλις τα εντοπίσει. Όταν ο κάτοχος της συσκευής προσπαθήσει να εγκαταστήσει τα μολυσμένα πλέον αρχεία SIS, πρώτα θα εγκαταστήσει τον Commwarrior και αμέσως μετά την αρχική εφαρμογή. Τα μολυσμένα αρχεία διατηρούν το αρχικό όνομα προϊόντος έτσι ο χρήστης δεν είναι σε θέση να διαπιστώσει την μόλυνση.

 

2.6 Μόλυνση

 

Όταν το αρχείο SIS του Commwarrior.Q εγκατασταθεί, θα αφήσει το εκτελέσιμο αρχείο του με τυχαίο όνομα, για παράδειγμα 5k8jb1fo.exe, είτε στην διαδρομή C:\ είτε σε έναν κατάλογο που φέρει τυχαία ονομασία όπως C:\uqxo5dh7xtyc5.

 

2.7 Εγκατάσταση

 

Όταν το εκτελέσιμο αρχείο του Commwarrior.Q εκτελεστεί θα αντιγράψει τον εαυτό του στην διαδρομή C:\System\Libs\cw.exe και θα δημιουργήσει ένα αρχείο με τις εντολές για τη φόρτωση του προγράμματος στη διαδρομή C:\System\Recogs\cw3rec.mdl. Εάν στην συσκευή βρίσκεται ενσωματωμένη μια κάρτα μνήμης, τότε τα ίδια αρχεία δημιουργούνται και σε αυτήν.

 

 

3. Ποιες είναι οι συνέπειες του CommwarriorQ στη συσκευή μου;

 

3.1 Εμφάνιση html μηνύματος σε τυχαία χρονική στιγμή

 

Από τη στιγμή που ο Commwarrior.Q μολύνει τη συσκευή, μετά από τυχαίο χρονικό διάστημα καθυστέρησης, δημιουργεί μια HTML ιστοσελίδα η οποία θα εμφανιστεί στον χρήστη χρησιμοποιώντας τον προεπιλεγμένο browser της συσκευής. Η HTML σελίδα δημιουργείται στον κατάλογο C:\system\Libs\cwinfo.html και περιέχει το ακόλουθο μήνυμα στην αγγλική γλώσσα:

 

Introduction

Surprise! Your phone infected by CommWarrior worm v3.0. Matrix has you, CommWarrior inside. No panic please, is it very interesting to have mobile virus at own phone. This worm does not bring any harm to your phone and your significant data.

About CommWarrior

CommWarrior worm for Nokia Series60 provides automatic real-time protection against harmful Anti-Virus content. CommWarrior is free software and is distributed in the hope that it will be useful, without any warranty.

 

Thank you for using CommWarrior.

CommWarrior © 2005-2006 by e10d0r

 

 

3.2 Συνεχής αποστολή μηνυμάτων πολυμέσων

 

Στην προσπάθεια για διάδοση του, ο Commwarrior.Q αποστέλλει μεγάλο αριθμό μηνυμάτων MMS

 

3.3 Αντικατάσταση του λογότυπου του πάροχου υπηρεσιών (provider)

 

O Commwarrior.Q δημιουργεί ένα αρχείο εικόνας bitmap με ονομασία όμοια με αυτή που χρησιμοποιεί ο τρέχων πάροχος και το αποθηκεύει στη διαδρομή: C:\system\Apps\Phone\oplogo\. Το αρχείο bitmap εμφανίζεται στη θέση του λογότυπου του πάροχου υπηρεσιών κινητής τηλεφωνίας όταν η συσκευή βρίσκεται εντός δικτύου.

 

 

4. Πως μπορώ να αφαιρέσω από το κινητό μου τηλέφωνο τον Commwarrior.Q;

 

4.1 Οδηγίες τερματισμού διεργασίας

 

1. Εγκαταστήστε κάποιον File Explorer, όπως για παράδειγμα ο FExplorer.
   
   
2. Εκκινήστε την εφαρμογή.
   
   
3. Επιλέξτε και αντιγράψτε ένα τυχαίο αρχείο.
   
   
   • Περιηγηθείτε στα αρχεία συστήματος με το πλήκτρο πλοήγησης. Πιέστε προς τα δεξιά για να εισέλθετε στον κατάλογο, προς τα αριστερά για να αφήσετε τον κατάλογο.
     
     
   • Επιλέξτε C: και πιέστε προς τα δεξιά, επιλέξτε τον φάκελο System και πιέστε ξανά προς τα δεξιά.
     
     
   • Επιλέξτε ένα τυχαίο αρχείο από το φάκελο C:\System, όπως για παράδειγμα το backup.xml
     
     
   • Επιλέξτε Edit/Copy από το μενού.
     
     

[*]Αντιγράψτε το αρχείο στον φάκελο: E:\system\temp

• Πιέστε αριστερά έως ότου βρεθείτε στην κεντρική οθόνη επιλογής.
  
  
• Επιλέξτε Ε: και πιέστε προς τα δεξιά.
  
  
• Επιλέξτε System και πιέστε δεξιά, εν συνεχεία επιλέξτε temp και πιέστε ξανά προς τα δεξιά.
  
  
• Επιλέξτε Edit/Paste από το μενού.
  
  

[*]Μετονομάστε το αρχείο σε «noboot»

[*]Επιλέξτε File/Rename από το μενού.

[*]Αλλάξτε το όνομα του αντιγραμμένου αρχείο σε «noboot».

[*]Ξεκινήστε ξανά τη συσκευή σας (reboot).

 

4.2 Χρήση αntivirus εφαρμογής

 

Εν συνεχεία εγκαταστήστε κάποια antivirus εφαρμογή που να ανιχνεύει τον ιό, για να ολοκληρώσετε τη διαδικασία.

[21century]

Μαλλον οι Νοκιαδες ειμαστε απροστατευτοι...

[blackup]

Κατά την προσωπική μου άποψη ξεκινάει σιγά σιγά μια νέα εποχή στα κινητά τηλέφωνα, όπου η όλο και πιο μεγάλη πολυπλοκότητα που θα έχει το εκάστοτε λειτουργικό (βλ. πιο ανοιχτή πλατφόρμα) θα επιτρέψει να καταλάβουμε για τα καλά το νόημα της παραβίασης του προσωπικού απορρήτου και της απώλειας μερικές φορές και σημαντικών δεδομένων.

 

Ό,τι δηλαδή ζούμε χρόνια τώρα με τους υπολογιστές.

 

Και δεν είναι θέμα κατασκευαστή αυτό, όπως προανέφερε ο φίλος, αλλά καθαρά θέμα πλατφόρμας.

 

:cool:

[Savvasblue]

Πριν 2 ημερες ενω ειχα ανοιχτο το BT σε WinMobile 5 συσκευη (στην Ακτη Μιαουλη στον Πειραια) δεχθηκα ενα μηνυμα που με ρωτουσε αν δεχομαι καποιο αρχειο SIS απο αγνωστο αποστολεα. Ωντας υποψιασμενος απο τα οσα εχουν ακουστει για μεταδοση ιων μεσω ΒΤ απαντησα αρνητικα. Διαβαζοντας το αρθρο ειμαι σιγουρος οτι μαλλον επροκειτο για το συγκεκριμενο worm. Αν συνεβη σ' εμενα σε ενα μικρο κομματι του Πειραια, τι θα συμβαινει αραγε σε αεροδρομια και αλλα πολυσυχναστα μερη? Χαρας ευαγγελια για καθε ειδους απατεωνα που θελει να επιβουλευθει τα προσωπικα δεδομενα του καθε ανυποψιαστου χρηστη.

[rallistas]

Με αφορμη το post του φιλου Σαββα κι επειδη κι εγω εχω αναλογη εμπειρια με αρχειο .sis και WM2003 στο metro,αν πατησω accept,απο τη στιγμη που τα WM δεν συνεργαζονται με .sis αρχεια,τι μπορει να γινει?

[RaZoR333]

Με αφορμη το post του φιλου Σαββα κι επειδη κι εγω εχω αναλογη εμπειρια με αρχειο .sis και WM2003 στο metro,αν πατησω accept,απο τη στιγμη που τα WM δεν συνεργαζονται με .sis αρχεια,τι μπορει να γινει?

 

Τπτ δεν θα γινει, απλα θα αποθηκευτει στην μνημη του ppc/smartphone. ;)

[tax_opari91]

Και να δεχτειτε το αρχειο, πρεπει μετα να δεχτειτε και να εγκατασταθει. οποτε απλα μην εγκαθιστατε εφαρμογες που σας ερχονται, και εχετε το κεφαλι σας ησυχο

[Lefterian]

Και να δεχτειτε το αρχειο, πρεπει μετα να δεχτειτε και να εγκατασταθει. οποτε απλα μην εγκαθιστατε εφαρμογες που σας ερχονται, και εχετε το κεφαλι σας ησυχο

Akrivws! :)

[papathvas]

για όλους τους άλλους:

κρατήστε το αρχειάκι που σας σταλθηκε και μετά στείλτε το σε φίλους (?) και όχι μόνο...:ninja: :devil:

[SIRHC]

για όλους τους άλλους:

κρατήστε το αρχειάκι που σας σταλθηκε και μετά στείλτε το σε φίλους (?) και όχι μόνο...:ninja: :devil:

Κακίες :p

[theka_2003]

Πολύ καλό το κείμενο αλλά έχει ενα λαθάκι :ninja: .

 

1. Ποια λειτουργικά συστήματα / κινητά τηλέφωνα επηρεάζει;

 

Ο Commwarrior.Q επηρεάζει μόνο τις συσκευές κινητής τηλεφωνίας Symbian Series 60 που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 8.1 ή παλαιότερη. Αυτό σημαίνει πως το τελευταίο μοντέλο κινητών τηλεφώνων που θα επηρεαστεί είναι το Nokia N73. Συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 9.0, όπως τα Nokia E70 και Nokia 3250 δεν θα επηρεαστούν από τον ιό.

 

Αυτό που έχω μαυρίσει πρέπει να αλλαχτεί σε n72. Το n73 ανήκει στα symbian os 9.0 :O

[TN97]

Πολύ καλό το κείμενο αλλά έχει ενα λαθάκι :ninja: .

 

1. Ποια λειτουργικά συστήματα / κινητά τηλέφωνα επηρεάζει;

 

Ο Commwarrior.Q επηρεάζει μόνο τις συσκευές κινητής τηλεφωνίας Symbian Series 60 που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 8.1 ή παλαιότερη. Αυτό σημαίνει πως το τελευταίο μοντέλο κινητών τηλεφώνων που θα επηρεαστεί είναι το Nokia N73. Συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 9.0, όπως τα Nokia E70 και Nokia 3250 δεν θα επηρεαστούν από τον ιό.

 

Αυτό που έχω μαυρίσει πρέπει να αλλαχτεί σε n72. Το n73 ανήκει στα symbian os 9.0 :O

 

Έχεις δίκιο, το λάθος διορθώθηκε. :)

[GloBy]

Πολύ καλό το κείμενο αλλά έχει ενα λαθάκι :ninja: .

Αυτό που έχω μαυρίσει πρέπει να αλλαχτεί σε n72. Το n73 ανήκει στα symbian os 9.0 :O

 

Theka, ευχαριστώ θερμά για την διόρθωση.

:)

[AGNOSTOS]

Και εγω στην Κηφησια δεχτηκα αρχειο μεσω ΒΤ και μαλιστα προσπαθουσε πολλες φορες να σταλει σε μενα με τυχαια ονοματα!! Δεχτηκα 2 απο αυτα τα μηνυματα και οντως μετα απο σκαναρισμα ειχαν τον Commwarrior στα σις τα οποια βεβαια δεν εγκατεστησα κ απλα απομονωσα με το FExplorer!!Οποτε καπου εκει εξω υπαρχουν μολυσμενα κινητα η καποιοι μλκς που στελνουν τετοια αρχεια...:!:

[manoletos]

Μήπως μπορεί να μου πει ποιο << antiwirus >> πρέπει να χρησιμοποιήσω και τι επειπτώσεις έχει αυτό το worm

 

Έχω ένα sony ericsson v630 υπάρχει περίπτωση να κωλήσει ο CommwarriorQ ή κάποιος άλλος ιός

[GloBy]

Μήπως μπορεί να μου πει ποιο << antiwirus >> πρέπει να χρησιμοποιήσω και τι επειπτώσεις έχει αυτό το worm

Έχω ένα sony ericsson v630 υπάρχει περίπτωση να κωλήσει ο CommwarriorQ ή κάποιος άλλος ιός

 

 

Λιγάκι καθυστερημένη απάντηση: Αν δεν κάνω λάθος, η συσκευή δεν πληρεί τις προυποθέσεις για να είναι σε θέση να μολυνθεί απο τον ιό.

 

:)

[manoletos]

Για να καταλάβω κάτι μόνο οι συσκευές symbian μποροόυν να κολύσουν ιο

[GloBy]

Οχί μόνον οι Symbian, μα και οι Windows Mobile.

Γενικευμένα, όσες συσκευές τρέχουν πλήρες λειτουργικό σύστημα.