瑞星卡卡安全论坛

首页 » 技术交流区 » 硬件交流 » 【转贴自BWO】遭遇CARIBE(吃人鱼)病毒,及处理办法
正版瑞星 - 2006-5-19 16:59:00
英文名称:Caribe
出品公司:不详(恶意病毒)
病毒介绍:


  这段时间广东到处加汽油都是大问题,逼得实在没办法,坐公交去上班了。因为车程有约45分钟,闲来无事,当然是摆弄手机了。正在琢磨一个程序时,忽然接到一条提示:“经蓝牙从Caribe接收信息”?因为我平时是用蓝牙耳机的,所以手机的蓝牙一直是开着的,今天虽然没用蓝牙耳机,但忘了关掉。


点评: 
  所有的蓝牙病毒都是这样传播的,所以对于任何未知设备要求你接收信息的时候,千万记得要点“否”(右软键)。
  像我的手机今天这样的情况,没有连接任何设备开着蓝牙是不正确的,也是不安全的。



  这样的事情见多了,对于这种无赖式的蓝牙传送,一概选择不接收,于是点“否”。

  一般的蓝牙病毒,只要点击否,这个传送就被拒绝,也就相安无事了。可是这个病毒比较厉害……就算点了“否”,它马上来了第二个请求,再点“否”,马上是第三个……请求快到什么程度?快到根本没有办法按“功能表”调出菜单,也就是说,这个时候已经没有机会关闭蓝牙了。因为请求标签对话框是最上一层窗口,所有其它程序都成了后台运行。以它反复快速的弹出请求对话框来说,这时其它操作已经没有办法了。


点评: 
  对于一般的蓝牙病毒,点击“否”以后,立即进入功能表“连接功能”,把蓝牙赶紧关闭掉,这样就不会有问题了。(这个程序比较特殊,下面会讲到)



  接下来,我拼命地按右软键,根本不管用,弹出窗口一直弹出。恰好这时候来了个电话,还好,虽然病毒在攻击我的手机,但电话还是可以正常接~

  挂了电话以后,连接请求还是不断跳出,于是我关机,重启。结果手机在重启后,待机画面刚刚显示出来,连接请求就来了,看来这个病毒还真是厉害。

  于是一路上,我除了能看着那个对话框、可以接电话以外,什么事情也做不了。甚至打电话都不行,因为根本到不了待机画面,拨号操作也无法进行。

  直到最后我下了大巴,大巴开走好远一段,这个连接请求终于消停了。点击“否”,终于不再弹出让人讨厌的连接请求对话框了。


点评: 
  对于蓝牙病毒,总是有一个传染源的。只要你不接收它,离开传染源,就不会有事了。毕竟蓝牙的传输距离只有那么远,把握这一点,蓝牙病毒再厉害,其实也并不可怕。
  



  但在大巴上的时候,出于好奇,我倒是想研究一下这个病毒,怎么这么厉害呢?于是我选择了接受连接,也就两三秒的功夫,一个小东东传到我的手机里了,振铃提示我收到一条短信息。

  可是连接请求并没有因为你接收了这条请求以后就停止了,连接请求还是不断发送,手机还是什么也做不了……


  直到下了大巴,不再有连接请求时,我才有机会进入功能表,打开SmartFileManager,进入“信息收件箱”,找到里面的一个SIS文件,将其剪切到E盘里,然后打开信息收件箱,删除刚才收到的那条短信息“蓝牙 Caribe.sis”。


点评: 
  大家千万要注意,如果你真的不慎接受了连接请求(不像我这种故意的),一定不要在待机画面直接打开收到的短信息。而应在SmartFileManager里,进入“信息收件箱”(在程序中与C\D\E盘并列),将SIS(或EXE、App)文件删除后,再进入手机的信息收件箱删除此信息,否则一旦打开信息,就会安装程序(这是Nokia的一个贴心设计,即对于蓝牙接收的文件,打开时,会立即运行,或启用相关联的程序打开它,但正是这一个“贴心”设计,让病毒有了可乘之机)。
  



  经过研究,此程序安装后,会在\System\Apps\Caribe\下生成三个文件,分别是caribe.app、caribe.rsc、flo.mdl,运行后将flo.mdl传送至\System\recogs\下,并生成\System\SymbianSecureData\CaribeSecurityManager\文件夹,将Caribe.app、Caribe.rsc及原安装程序Caribe.sis传送至此文件夹。程序的运行过程,在安装时即进行,所以一旦安装,病毒即开始发作。

  这几个文件的作用分别是:
  Caribe.app 主程序,运行后寻找其它蓝牙手机,并不断试图将自身安装文件传送至其它手机。
  Caribe.rsc 主程序资源文件,本身并没有意义,但Series60框架要求有此文件。
  Flo.mdl   随机启动插件,使得手机关机后再开机时,立即运行此程序。
  Caribe.sis 病毒传播的目标文件,将其发送至其它手机并感染其它手机。


  病毒造成的危害:干扰手机正常使用、电池迅速费尽、干扰其它手机正常使用。
          (如果你的电池突然变得特别不经用,注意检查下是不是中了这个病毒)

  病毒杀灭办法:

  1、重命名文件夹。
   检查\System\Apps\Caribe\及\System\SymbianSecureData\CaribeSecurityManager\文件夹,将“\Caribe\”文件夹及“\CaribeSecurityManager\”文件夹改成任意文件夹名称,如“\AAAA\”。

  2、重新启动手机。

  3、删除文件。
   将上面两个文件夹下的所有文件删除。

  4、删除\System\recogs\下的flo.mdl文件。

  这样病毒就清除了。还有一个垃圾文件是用于程序管理中的卸载,直接在程序管理中做卸载操作,或删除\System\install\下的Caribe.sis文件即可。


注意: 
  以上所写的文件夹没有写盘符,意思是让大家把C盘和E盘的相关文件夹都检查一下。
  



  蓝牙病毒无论多厉害,最终它还是要经过蓝牙来传送,所以蓝牙病毒并不可怕,这里提几点大家注意一下,应该可以有效的防止蓝牙病毒:

  1、不要在公共场所打开手机蓝牙

   如果一定要打开,切记要在蓝牙设置中,把“本手机可见性”设置为“隐藏”,这样其它手机将检测不到你的手机,这样你的手机安全性将会提高很多。在已经连接了蓝牙设备的情况下(比如蓝牙耳机),因为手机蓝牙只允许一个连接,所以也是安全的。

   (我的手机之所以是全部可见,是因为前天要给别人传个东西,设置为全部可见忘了换回去,给我留下了很大的安全隐患。)

  2、不要接受其它人的连接请求。

   除非是你在跟别人交换文件,否则对于其它一切蓝牙连接请求,都要选择“否”(按右软键),以拒绝连接请求。

  3、不要打开收到的信息。

   如果不慎接收了别人传来的蓝牙信息,切记不要打开它,而应在SmartFileManager里,进入“信息收件箱”,找到里面SIS或EXE或APP文件,删除它以后再打开。(目前Series60上可以自运行的程序,只有这几种。)

  4、尽量少地设置“授权设备”。

   因为“授权设备”是不需要确认即可以发送文件的。尽管每一设备都有其内部机器代码(4字节十六进制代码),蓝牙将根据此代码区分不同设备,但如果万一某天你遇到个代码相同的病毒源(比如说与你同学的手机代码相同),后果将会相当严重(尽管此机率非常小,但还是要引以为戒)。

  5、当无法拒绝连接请求时,请远离该区域。

   蓝牙的传输距离毕竟有限,当确实遇到像Caribe病毒这样无赖的病毒时,自己走远点,打不起躲得起,远离病毒源,可以有效避免病毒。
梦想天时 - 2006-5-24 21:16:00
1
查看完整版本: 【转贴自BWO】遭遇CARIBE(吃人鱼)病毒,及处理办法