网络安全 频道

诺基亚手机病毒查杀全攻略(上)

    【IT168 专稿】历史上最早的手机病毒出现在2000年,不过当时名为“Timofonica”只能算作短信炸弹。真正意义上的手机病毒直到2004年6月才出现,那就是“Cabir”蠕虫病毒,这种病毒通过诺基亚60系列手机复制,然后不断寻找安装了蓝牙的手机。随后,手机病毒开始泛滥,其中受到手机病毒最大的危害的是诺基亚的Symbian操作系统的手机。笔者归纳了十六种常见的诺基亚手机病毒以及解决方法,希望给有需要的用户一个参考。

    一、Cabir系列病毒

    病毒名称:Cabir(卡比尔)系列病毒,又称蓝牙恶霸,是一种蠕虫病毒。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:修改智能手机的系统设置,使用户每次开机都会先运行此病毒,还会在Symbian操作系统的系统目录下释放多个病毒体。

    病毒特征:Cabir病毒会在开机时显示“Caribe”字样,它是通过蓝牙传播复制病毒来感染Symbian s60平台手机的,它通过蓝牙连接,以短信形式发送cabir.sis手机的收件箱,这个文件含有蠕虫病毒。当用户点击cabir.sis并安装时,蠕虫病毒就被激活,并开始通过蓝牙寻找感染新的手机或其他设备。当它找到另外的蓝牙设备时,就可以发送cabir.sis。Cabir蠕虫病毒只能感染支持蓝牙手机。

    Cabir系列病毒分为Cabir.A、Cabir.B、Cabir.C、Cabir.D、Cabir.E、Cabir. Dropper、Cabir.H、Cabir.I、Cabir.J 、Cabir.K以及Cabir.L十一种类。它们都是不同的镜像,它们不同点是在开机后显示不同的文本。Cabir.A显示文本是“Caribe-VZ/29a”;Cabir.B显示的就是“Caribe”;Cabir.D显示的是[YUAN].SIS;Cabir.E显示的是Ni&Ai-.SIS;Cabir.Dropper是把Cabir.B, Cabir.C 和 Cabir.D都安装到手机的sis安装文件,让蓝牙失去控制;Cabir.H是以上Cabir病毒的重新组合,并且修改了复制路线,用户安装它时,文件名为velasco.sis;Cabir.I 和 Cabir.J 和 Cabir.K是Cabir.H的镜像,但使用了不用的编码编写;Cabir.L是Cabir.B的镜像,但是它和Cabir.B不同的是,安装时显示的名字是Skulls.SIS。

    解决方法:用seleq或fileman删除以下文件(如图所示):

    二、Skulls系列病毒

    病毒名称:Skulls系列病毒,又称手机恐怖分子。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:只能接打电话,上网,短信,彩信,照相等功能全部丧失。

    病毒特征:Skulls病毒可以替换系统应用程序,并使其不能应用,只能接打电话。Skulls的sis文件名是“Extended theme.SIS”。Skulls一旦被安装,所有应用程序图标都被替换为骷髅和交叉骨头的图标(如图所示),而且图标也不再和应用程序关联。

    解决方法:对于没有安装F-Secure杀毒软件的用户,并且手机没有重新启动。首先需要把手机c:\System\apps\appinst目录下删除Appinst.aif以及AppInst.app两个文件。然后再打开程序菜单查看并确认浏览器的图标没有被更换,接着登陆f-secure公司的网站下载杀毒软件到手机将病毒清除。

    三、Pbstealer病毒

    病毒名称:Pbstealer病毒,又俗称通讯录盗窃犯,属于Trojan类型。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:感染Pbstealer后,它会在短暂时间内盗取名片夹中联系人信息,然后将会把你的联系人、记事本以及日程表里的内容发送给你周围任何拥有蓝牙设备的人。

    病毒特征:Pbstealer伪装成压缩手机联系人数据库的应用软件。它并不自行传播,用户需下载 Pbstealer的SIS 安装包才会感染。SIS文件包括 Pbstealer.D 程序文件和字符串源码,SIS文件安装时Pbstealer自动启动。启动时Pbstealer显示文字:Compacting your contact(s)、step2 、Please wait again、until done...

    解决方法:通过杀毒软件删除。


     四、Commwarrior病毒 

    病毒名称:Commwarrior病毒又称彩信病毒,属于Trojan类型。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:Commwarrior感染手机时,即开始寻找其他通过蓝牙可达的手机,并向发现的手机发送感染了病毒的SIS文件。Comwarrior发送的SIS 文件将随机命名,这使得用户防不胜防。除了通过蓝牙传播,Comwarrior也会读取用户本地手机号码地址簿,并开始发送包含commwarrior SIS文件的MMS消息。

    病毒特征:当通过彩信传播时,Commwarrior病毒将使用诱惑性或欺骗性文字诱使用户打开彩信,如“Norton AntiVirus Released now for mobile, install it!”和“ bad! Free *SEX* software for you!”等。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分, Commwarrior.C 的运行进程将在手机中重新创建它们。

    解决方法:可以使用杀毒软件清除,如瑞星杀毒软件手机版 (S60)或者金山毒霸手机版(S60)。另外还可以下载并在手机上安装anticommwarrior.sis软件,执行anticommwarrior,选择选项中的Search and remove并执行,软件会提示你的手机是否中病毒,如中毒按确认执行杀毒操作。最后还可以手动清除,首先使用文件管理软件删除c:\system\recogs\commrec.mdl ,然后重启手机后删除下列文件(如图所示):

    五、Cardtrap病毒

    病毒名称:Cardtrap病毒,属于Trojan类型。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:Cardtrap是损坏 Symbian 系统应用程序的 SIS 文件木马,它试图损坏某些第三方应用程序并将 Windows 蠕虫安装到存储卡。

    病毒特征:Cardtrap向手机的 MMC 卡安装 W32/Generic.worm!p2p 病毒,此蠕虫病毒安装后带有文件名、图标和快捷方式连接,试图诱骗用户来点击它们。

    解决方法:安装 netqin 杀毒软件,执行全盘扫描,扫描出来的病毒,执行删除操作。如果有未成功提示时,退出 netqin 杀毒软件。并按照软件提示,重新启动手机,机后重新执行 netqin 杀毒软件,扫描,并删除残留的病毒,程序管理器已经可以正常使用,进入程序管理器,删除安装的病毒文件。


    六、RommWar病毒

    病毒名称:RommWa病毒,属于Trojan类型,它是一个恶意的 SIS 木马,会向手机安装一个无法使用的系统组件,根据手机中 ROM 软件版本的不同,会引起不同的行为。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:RommWar病毒产生的影响包括使手机死机并要求重启,使手机上的电源按键失灵,或者有时并没有什么明显的影响。
 
    病毒特征:手机感染了RommWar.A 病毒之后,出现死机的情况时,会显示一个类似的通知消息。当此通知消息被显示之后,手机上唯一可用的功能是关机选项。

    解决方法:手动杀毒,根据 RommWar病毒产生的影响,可以通过应用程序管理器删除功能障碍的系统组件,并卸载包含 SymbOS/RommWar 病毒的 SIS 文件。 在手机不能启动情况下进行格式化杀毒,程序:关机——持续按住以下 3 个按键: "answer call" + "*" + "3" ——持续按下这 3 个键并开机 ——或出现文字 “formatting”,或询问初始手机设定的启动对话框 (取决于手机型号)——您的手机已被格式化并可以重新使用。这种方法将删除手机上的所有数据,包括日历和电话号码等。

    七、Mabir病毒

    病毒名称:Mabir病毒,属于Worm类型。它是针对 Symbian 60 系列手机的蠕虫。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:当 Mabir.A 感染手机时,它将开始寻找其他通过蓝牙可达的手机,并向发现的手机发送感染的 SIS 文件。
 
    病毒特征:Mabir发送的 SIS 文件总是拥有同样的文件名 “caribe.sis” ,但是它不同于cabir病毒。 它除了能通过蓝牙传播,Mabir 也监听所有感染手机的 MMS 或 SMS 消息,并向这些消息回复包含 “info.sis"”的 MMS 消息。 Mabir 发送的 MMS 消息不包含任何文字信息,只有MMS 消息是可以在 Symbian 手机和其他支持 MMS 信息的手机之间发送的多媒体信息。正如名字所示,设计的 MMS 消息只包含媒体内容,如图片、音频或视频,但实际上它能够包含一切,包括被感染的 Symbian 安装文件。

    解决方法:手机杀毒后,你可以到应用程序管理器删除留下的空文件夹,卸载 Mabir.A 的 SIS 文件(caribe.sis 或 info.sis)。


    八、Doomboot.A病毒

    病毒名称:Doomboot.A病毒,属于Trojan类型,俗称电池杀手。

    危害对象:Symbian操作系统的诺基亚手机,代表机型包括诺基76503650/3660/6600/N-Gage/N-GageQD/7610/6260/6670/6630/6680/6681/3230/N70/N72/N90/Siemens SX1/PanasonicX700/X800/Samsung D700(708)/D720(728)/D730(738)等等。

    病毒危害:Doomboot.A是一个恶意 SIS 文件木马,它会向感染手机释放破损的十六进制文件,导致手机大部分应用程序无法使用,点击图标会使手机重启。另外,Doomboot.A除了恶意破坏数据外,还能利用蓝牙无线传播到其它移动设备,并且使手机电池在一小时之内完全耗尽。如果在这个过程中你强行重新启动手机或者关闭电源,该病毒将会自动将手机格式化,令用户的所有数据全部丢失。

    病毒特征:Doomboot..A会假冒破解版本的Symbian版的Doom 2游戏,当用户选择安装后,DoombootA将会被安装。其中Doomboot.A木马被运行后会释放Commwarrior.B和一个被破坏的系统文件。在整个木马安装过程,并没有任何明显的特征能够引起用户的警惕,同时Commwarrior.B也会在进程列表中。(如图所示)

    解决方法:立刻找到电源和充电器,给手机充电,同时安装运行专用工具查杀病毒。

    接下篇:诺基亚手机病毒查杀全攻略(下)

0
相关文章