A Kaspersky Lab's értesítése alapján már írtam a "Cabir" nevű első
olyan féregről, mely "egyszerűen" adott alkalmazást futtató
mobiltelefon-hívásokkal terjed. Még leírni is "fantasztikus regénybe"
illik inkább, de el kell fogadnunk, hogy ez a valóság.
A hír a szakembereket sem hagyta hidegen: számtalan nyilatkozat, vélemény született. Vannak közöttük olyanok, melyek jelentéktelennek tartják mindezt, vannak olyanok, melyek ártalmatlannak, a reakciók egy része semleges, esetleg optimista, de találkoztam pesszimista reakcióval is: tegnap még ez szerepelt a
Symantec honlapján (ma már változott a lap tartalma): "Eltávolítás nincs, ötletek vannak a bluetooth-os kapcsolatok védelmére." Voltak cégek, amelyek teljesen reálisan látták a "Cabir-jelenség" veszélyeit: F-Secure; Sophos Plc.; Eset-NOD32 és az észlelő Kaspersky Lab's.
A reakciók, észrevételek tartalma jelen esetben jelentéktelen, a számuk a fontos. Ez egyértelműen azt mutatja, hogy a "vírustörténelem" - azzal, hogy megírták az első rádióhullámokon terjedő és mobiltelefonokat fertőző, szaporodni képes férget - új fejezetébe lépett. Ez a fejezet annyiban múlja felül a "bot" vírusok jelentőségét, hogy ezentúl nem csak a hálózaton lévő számítógépekről képesek bármilyen információt megszerezni, hanem a mobiltelefonokról is - legyen az beszéd- vagy adatátvitel (a legegyszerűbb: bankkártyaszám... stb.).Én eddig is a vírust először észlelő és analizáló cég információira támaszkodtam - engedtessék meg, hogy most is ezt tegyem. Nyilvánossá tették a malware-analízisük részletes
eredményét.
Worm.Symbian.Cabir.ACabir az első olyan hálózati féreg, mely képes arra, hogy a mobiltelefonok Bluetooth rövid távú vezetékmentes alkalmazását, funkcióját használja fel a telefonhálózaton való terjedésére, és megfertőzze azokat a telefonokat, melyeken Symbian OS (operációs rendszer) fut.
A telefonok igen széles körű választékában számos gyártó alkalmazza ezt a technológiát. Igen hosszú időt igényelne elkészíteni egy olyan listát a telefongyártmányokról és modellekről, melyek emiatt válnak a Cabir vagy egy (sajnos várható) hasonló vírus potenciálisan támadható célpontjaivá. Most az egyértelmű, hogy a Nokia 3650, 7650 és N-Gage telefonokat képes megfertőzni a Cabir.
Jelenleg két változata van a féregnek. Gyakorlatilag azonosak, csak abban különböznek (méretükön kívül), hogy a fertőzéskor a maroktelefon képernyőjén az egyi változat az ismert "carib" felirat után a következő szöveget is kiírja: "VZ/29a".
A féreg maga egy SIS formátumú fájl, neve: caribe.sis, a mérete az egyik változatban 15092 byt (a másik változat 15104 byt)A féreg fájl három eltérő méretű részből áll:caribe.app: 11932 byte/11944 byt
flo.mdl: 2544 byt
caribe.rsc: 44 byt
A fertőzés észlelése:Amikor a telefonra feljutott vírus aktiválódik, futása elindul, a telefon képernyőjén - attól függően, hogy melyik változat fertőzte meg - az alábbi szöveg jelenik meg: 'Caribe' vagy 'Caribe VZ/29a'.
Ezzel párhuzamosan a féreg az alábbi könyvtárakba telepíti magát:
A SYMBIANSECUREDATA elnevezésű könyvtár, melyet már a féreg hoz létre, rejtve marad, így a felhasználó sem tud arról, hogy a telefonja fertőzött. Ez egy bizonyos védelemnek is felfogható, mert amennyiben a féregfájlt törlik az APPS könyvtárból, a rejtett, férget tartalmazó mappa miatt nem szűnik meg a rendszeren a féreg aktivitása.Terjedés:Minden alkalommal amikor a fertőzött telefont bekapcsolják, használják, a féreg átvizsgálja az aktív Bluetooth vezetékmentes alkalmazás aktív kapcsolatainak listáját. A féreg kiválaszt egy aktív kapcsolatot, és megpróbálkozik átküldeni magát arra a készülékre, mint caribe.sis fájl. Ha a cél maroktelefon megkapta az állományt, az alábbi válik láthatóvá a kijelzőn:
Ha az üzenetet kapó felhasználója visszaigazolja az üzenetet, válaszol az alábbi kérdésre, a fertőzés akadálytalanul megtörtént, és a féregkód "elkezdheti tevékenységét" (a megjelenő üzenetek függhetnek a telefon típusától)
A féreg, eltekintve a terjedéstől - így a reprodukciótól - más káros tulajdonsággal nem rendelkezik (még). Azonban ne felejtsük el, hogy a fertőzés során, mint minden rezidens féreg bejut a memóriába, ahonnan aktívan nyomon követi a Bluetooth alkalmazást, annak kapcsolatait - és e miatt bármikor okozhat a fertőzött telefon működésében bizonytalan, eddig nem ismert változást.
A részletes "Cabir" ismertetésen túl a Kaspersky Lab's az alábbi sajtótájékoztatót tette közzé, ami a kiemelkedően higgadt, lényeglátó reagálások között is elsőként említendő:A tegnap már több helyen észlelt Worm.Symbian.Cabir.A vírus egyértelműen igazolta az új generációs mobiltelefonok biztonságának "törékenységét", sérthetőségét. A vírust nagy biztonsággal állíthatóan a "29a" nemzetközi vírusíró csoport írta, mely, mint már említettük előző közleményünkben, ilyen "kísérleti vírusok" írására specializálódott. Ezzel kialakult az a helyzet, hogy minden telefont veszélyeztetettnek kell minősíteni, amelyiken a Symbian OS fut. Ezt alkalmazza ma már számos gyártó, nevezetesen a Nokia is. Van tehát egy vírus, amelyik szaporodásra, reprodukcióra képes, és a fertőzéshez elég annyi, hogy bizonyos telefonokról felhívjunk valakit, akinek a telefonján hasonló rendszer fut.
Nagy mennyiségű vírust nem észleltek a "wild"-ben (az egész hálózaton), de igen sok felhasználó küldött névtelenül az antivírus-társaságoknak. Ez azzal magyarázható, hogy - mint említettük, a terjedésen és szaporodáson kívül - egyéb észrevehető káros tulajdonsága nincs - nem tudunk róla -, a felhasználó nem veszi észre, hogy fertőzött a telefonja, noha minden híváskor tudtán kívül küldi a fertőzött kódokat a Symbian OS-t futtató és Bluetooth vezetékmentes alkalmazást használó telefonokra - megfertőzve azokat, és egyben szaporítva a vírust.
A maroktelefon-vírusok a technológia megjelenése óra "izgatják" a vírusírók fantáziáját". Eddig csak olyan férgeket sikerült írni, amik a számítógépes hálózatokon terjedtek, és levéltömegekkel (SMS) árasztották el a telefonokat. Példaként említenénk a Timofonica. A férget, mely számítógépes rendszereken terjedt, és hatalmas mennyiségű levéllel, spammal árasztotta el a spanyol Timofonica hálózat felhasználóit, ügyfeleit. Egy megtévesztő üzenet (hoax), ami a vírus egy álfigyelmeztetése, ma is felbukkan még a rendszeren.
A japán DoCoMo társaságot is érintette egy biztonsági hiba (security flaw) kihasználása (2000/1), amikor felhasználók spam SMS üzenetek tömegét kapták, olyan mennyiségben, hogy a készülékeik használhatatlanná váltak, lefagytak - ennek ellenére önállóan hívni kezdték számtalan japán rendőrség központját.
Bár Kaspersky Lab's munkatársai nem hisznek abban, jelenleg valószínűtlennek tartják, hogy a Cabir jelentős endémiát (nagy kiterjedésű fertőzést), okozna, vagy nagyon gyorsan terjedne, ennek ellenére kiemelten fontosnak tartják a világ mobiltelefon-használóinak figyelmeztetését a potenciális veszélyre. Arra, hogy a Bluetooth technológia számos bizonyított sebezhetőséget rejt magában.
A Cabir bizonyíték arra, hogy már lehetőség van olyan mobiltelefon-vírus írására, ami szaporodik, telefonhálózaton terjed - igaz, hogy az első megírt víruskód ártalmas programot nem tartalmazott, ennek ellenére a közeljövő nem sok jót ígér.