Hogyan telepíthetjük telefonunkra az új Lasco.A nevű vírust?

Geza Papp, 2005. január 19. 10:14
A most felfedezett Lasco.A (SymbOS/Lasco.A, EPOC/Lasco.A) a terjedéséhez bluetooth kapcsolatot használ, és a vírus egy SIS fertőző állományként érkezik a Symbian rendszert használó Series 60 telefonokra. A Lasco.A bluetooth kapcsolaton érkezik a működő telefon beérkezett üzenetek mappájába, mint velasco.sis állomány.
A sis állomány tartalma a féreg, melyet felhasználói segédlettel lehet a telefonra telepíteni, megfertőzni azt. Az üzenetként történt megérkezése után a kijelzőn megjelenik egy kérdés, hogy a tulajdonos akarja-e telepíteni a velasco.sis állományt. Ha igen-re klikkel, abban a pillanatban megfertőzte készülékét, aktiválta a vírust, ami azonnal "élő" bluetooth kapcsolatokat keres, hogy azon át megfertőzhessen más készülékeket.

Amikor Lasco féreg másik bluetooth berendezést talál, azonnal elküldi arra saját másolatát, a velasco.sis állományt. Mindezt annyi telefonra küldi, ahánynak a bluetooth kapcsolatát aktívnak észleli. A Lasco.A hasonlóan a Cabir.H féreghez, képes az első fertőzések után mindig új célpontokat keresni. Ezen túl a Lasco.A féreg elküldve másolatát a fertőzött telefonon képes más SIS állományokat is megfertőzni. Ilyen esetben is a féreg telepítése a tulajdonos "dolga", mert a kijelzőn megjelenik a kérdés, hogy akarja - e installálni a Velasco-t.

Azt érdemes megjegyezni, hogy a Lasco.A féreg által fertőzött SIS állományok bluetooth kapcsolaton nem fertőznek már. Ezek ellentétben az eredeti velasco.sis állománnyal csak akkor fertőzik meg Lasco.A féreggel a másik telefont, ha kézzel másolja át a tulajdonos a fertőzött állományt, és telepíti azt.

A Lasco.A forrása tulajdonképpen ugyanaz, mint a Cabir.H féregé, a különbség mindössze annyi, hogy a Lasco.A SIS állományt fertőző rutinnal is bír.

Ezek a férgek csak akkor fertőznek, ha a Bluetooth kapcsolat engedélyezett. Annak tiltása, vagy elrejtése esetén, azon át fertőzés nem történhet meg. (non-discoverable (hidden) Bluetooth mode)

Bluetooth terjedés

A bluetooth kapcsolaton a Lasco.A velasco.sis állományként terjed. Ez tartalmazza a féreg futtatható állományát, a velasco.app fájlt, a, system recognizer állományt a marcos.mdl fájlt, és a forrás-állományt, a velasco.rsc -t. Az SIS állománynak van autostart beállítása, melyet a velasco.app elindít azonnal, amikor a SIS állományt a tulajdonos telepítette.

Azt most is ki kell emelni, hogy a fertőzött SIS fájl automatikusan nem fertőz - amikor a célkészülékre érkezne, annak "átvételét" a felhasználónak kell engednie.

Ha telepítette a felhasználó a férget, az azonnal élő bluetooth kapcsolatokat keres, és sorba küldi a fertőző velasco.sis másolatait. Az a módosítás a replikáció mechanizmusában, hogy nem csak egy berendezést fertőz meg, hanem sorban, amit alkalmasnak talál. Ez valószínűsíti, hogy a Lasco.A lesz az első mobilféreg, mely elterjedhet a rendszeren - in the wild (a vadonban)

Reprodukció .SIS állományok fertőzésével:


A Lasco.A féreg azon a berendezésen, melyet megfertőzött, melyre telepítették, reprodukálódni képes. A velasco.sis keresi a többi .sis állományt. Azokat oly módon fertőzi, hogy kapcsolódik, beágyazódik az állományok header (fej) részébe. Ezek utána automatikusan installálódnak már. De amíg ezek a Lasco által fertőzött állományok automatikusan képesek futni, települni, addig az egész folyamat kezdetéhez a felhasználó közreműködésére van szükség. A Lasco.A automatikusan nem installálódik a berendezésre, a tulajdonos mindig kap egy jelzést, egy figyelmeztetést a telepítés előtt - és vagy véletlenül, vagy azért, mert nem figyel oda elindítja a folyamatot.

Fertőzés


Amikor a velasco.sis állományt installálják annak "részei" a következő könyvtárakba települnek az alábbi módon:
C:systemappsvelascovelasco.rsc
C:systemappsvelascovelasco.app
C:systemappsvelascoflo.mdl

A velasco.app a következő másolatokat hozza létre:
flo.mdl -> c:systemrecogs
velasco.app -> c:systemsymbiansecuredatavelasco
velasco.rsc -> c:systemsymbiansecuredatavelasco

Feltehetően, amikor a felhasználó telepíti a férget, az alkalmazás megfertőzi a memóriakártyát is. Ez "védelmet" jelent a féregnek, arra az esetre, ha megpróbálják eltávolítani, uninstallálni. Ez esetben a féreg a memóriakártyáról frissül, úgy a velasco.sis állomány, mint annak összetevői, mint a velasco.app.

Ezután ismét a rendszerre jutva megfertőzi a leírt módon a .sis állományokat, melyek már automatikusan tovább fertőzik ismét a berendezést. Eltávolításához az F-Secure a Mobile Anti-Virus letöltését, és használatát javasolja. http://mobile.f-secure.com