製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス名危険度
Symbian/Cabir
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4367
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名EPOC.Cabir (NAV)
Worm.Symbian.Cabir (AVP)
情報掲載日04/06/16
発見日(米国日付)04/06/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

本ワームは、Symbian OSのSeries 60 を搭載した機器(携帯電話)で動作し、Bluetoothを介して感染します。本ワームは、システムの起動設定を変更し、電源投入時に毎回自身を起動するように設定します。動作中は、定期的(15〜20秒毎)にインストールイメージであるCARIBE.SISを他のBluetooth機器へ送信します。本ワームがターゲット機器へコピーされた場合、ユーザーが了解するだけでインストールと活性化が行われます。

本ワームはペイロードは含まれないようです。しかし、感染した機器は、他の機器へのBluetooth送信によりバッテリを著しく消耗します。

影響を受けるプラットフォーム
  • Symbian OSのSeries60 を搭載した機器
  • 影響を確認した機器
    • Nokia 3650
    • Nokia N-Gage
    • Nokia 6600
  • 現時点までの確認した日本の携帯電話機では、影響を受けるものはありません。
ペイロード
  • 感染した機器を含む、Bluetooth通信のサービス拒否
  • 急速なバッテリ消耗

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
ワームの動作
  1. ワームがインストールされると、自動的に実行されます。また、感染した機器が再起動したときに自動的にワームが起動するように、システムのブートシーケンスをフックします。
  2. 最初に発見したBluetooth機器へ、15〜20秒毎にCARIBE.SISを送信します。本ワームは、いつもRFCOMMの9番ポートへ接続するように書かれています。このポートはNokia社のSeries 60機器の "OBEX Object Push" プロファイルに対応します。ただしサービスの所在確認にSDPプロトコルを使っていないため、他社のBluetooth機器の場合、OBEX送信機能を持っているものでも、転送は成功しません。
インストールされるファイル

ファイル名サイズ内容
CARIBE.SISa - 15,104 bytes
b - 15,092 bytes
ワームのパッケージを含むSymbianのインストールファイルです。同一の動作をする2種類バージョン(a および b)が報告されています。
CARIBE.APPa - 11,944 bytes
b - 11,932 bytes
ワームのアプリケーション(Bluetoothのスキャナーと送信プログラム)
CARIBE.RSC44 bytesアプリケーションのリソースファイル
FLO.MDL2,544 bytesブート時にワームを自動実行するための認識ファイル
INSTALL\CARIBE.SIS572 bytesインストーラーのメタファイル

! :\SYSTEM\APPS\CARIBE\CARIBE.APP - ワームのアプリケーション
                 (Bluetoothのスキャナーと送信プログラム)
! :\SYSTEM\APPS\CARIBE\CARIBE.RSC - アプリケーションのリソースファイル
! :\SYSTEM\INSTALL\CARIBE.SIS - インストーラーのメタファイル

C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
             - ワームのパッケージを含むSymbianのインストールファイル
C:\SYSTEM\RECOGS\FLO.MDL - ブート時にワームを自動実行するための認識ファイル
(上記で' ! 'でとあるのは、ワームがインストールされた媒体のドライブ文字です)

感染方法TOPへ戻る
  • ワーム自身をSymbian OSのインストールイメージ (.sis) フォーマットで、最初に発見したBluetooth機器に送信しようとします。
  • Bluetoothデイバスに15〜20秒毎に接続を試みます。
  • CARIBE.SIS はinbox上に表示されます。
  • ワームの有効化には、CARIBE.SISのインストールが必要です。


図1. Cabirのインストールファイルは署名がありません。このため、感染した機器から送信された場合、確認のダイアログが表示されます。



図2.Cabirのインストール確認画面が表示されます



図3.ワームはインストール後、すぐに実行されます

駆除方法TOPへ戻る
駆除には、ワームがインストールされたシステムディレクトリにアクセス可能な、サードパーティー提供のファイルマネージャアプリケーションが必要です。
  1. ファイルマネージャで、C:\system\recogs\flo.mdl を削除します
  2. 機器を再起動します
  3. “Caribe”アプリケーションを削除します
  4. ファイルマネージャで、 C:\SYSTEM\SYMBIANSECUREDATA ディレクトリとその内容を全て削除します
なお、Nokia 6600( および他のSeries 60 2.x機器も)では、ブート時のワームの自動実行機能は動作しません。これらの機器ではリブート後、ワームのアプリケーションをアンインストールするだけで駆除可能です。感染したファイルは残りますが、この状態では実行されることはありません。