ウイルス情報

ウイルス名 危険度

Symbian/Cabir

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4367
対応定義ファイル
(現在必要とされるバージョン)
4367 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 EPOC.Cabir (NAV)
Worm.Symbian.Cabir (AVP)
情報掲載日 04/06/16
発見日(米国日付) 04/06/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

本ワームは、Symbian OSのSeries 60 を搭載した機器(携帯電話)で動作し、Bluetoothを介して感染します。本ワームは、システムの起動設定を変更し、電源投入時に毎回自身を起動するように設定します。動作中は、定期的(15〜20秒毎)にインストールイメージであるCARIBE.SISを他のBluetooth機器へ送信します。本ワームがターゲット機器へコピーされた場合、ユーザーが了解するだけでインストールと活性化が行われます。

本ワームはペイロードは含まれないようです。しかし、感染した機器は、他の機器へのBluetooth送信によりバッテリを著しく消耗します。

影響を受けるプラットフォーム
  • Symbian OSのSeries60 を搭載した機器
  • 影響を確認した機器
    • Nokia 3650
    • Nokia N-Gage
    • Nokia 6600
  • 現時点までの確認した日本の携帯電話機では、影響を受けるものはありません。
ペイロード
  • 感染した機器を含む、Bluetooth通信のサービス拒否
  • 急速なバッテリ消耗

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

ワームの動作
  1. ワームがインストールされると、自動的に実行されます。また、感染した機器が再起動したときに自動的にワームが起動するように、システムのブートシーケンスをフックします。
  2. 最初に発見したBluetooth機器へ、15〜20秒毎にCARIBE.SISを送信します。本ワームは、いつもRFCOMMの9番ポートへ接続するように書かれています。このポートはNokia社のSeries 60機器の "OBEX Object Push" プロファイルに対応します。ただしサービスの所在確認にSDPプロトコルを使っていないため、他社のBluetooth機器の場合、OBEX送信機能を持っているものでも、転送は成功しません。
インストールされるファイル

ファイル名サイズ内容
CARIBE.SISa - 15,104 bytes
b - 15,092 bytes
ワームのパッケージを含むSymbianのインストールファイルです。同一の動作をする2種類バージョン(a および b)が報告されています。
CARIBE.APPa - 11,944 bytes
b - 11,932 bytes
ワームのアプリケーション(Bluetoothのスキャナーと送信プログラム)
CARIBE.RSC44 bytesアプリケーションのリソースファイル
FLO.MDL2,544 bytesブート時にワームを自動実行するための認識ファイル
INSTALL\CARIBE.SIS572 bytesインストーラーのメタファイル

! :\SYSTEM\APPS\CARIBE\CARIBE.APP - ワームのアプリケーション
                 (Bluetoothのスキャナーと送信プログラム)
! :\SYSTEM\APPS\CARIBE\CARIBE.RSC - アプリケーションのリソースファイル
! :\SYSTEM\INSTALL\CARIBE.SIS - インストーラーのメタファイル

C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
             - ワームのパッケージを含むSymbianのインストールファイル
C:\SYSTEM\RECOGS\FLO.MDL - ブート時にワームを自動実行するための認識ファイル
(上記で' ! 'でとあるのは、ワームがインストールされた媒体のドライブ文字です)

TOPへ戻る

感染方法

  • ワーム自身をSymbian OSのインストールイメージ (.sis) フォーマットで、最初に発見したBluetooth機器に送信しようとします。
  • Bluetoothデイバスに15〜20秒毎に接続を試みます。
  • CARIBE.SIS はinbox上に表示されます。
  • ワームの有効化には、CARIBE.SISのインストールが必要です。


図1. Cabirのインストールファイルは署名がありません。このため、感染した機器から送信された場合、確認のダイアログが表示されます。



図2.Cabirのインストール確認画面が表示されます



図3.ワームはインストール後、すぐに実行されます

TOPへ戻る

駆除方法

駆除には、ワームがインストールされたシステムディレクトリにアクセス可能な、サードパーティー提供のファイルマネージャアプリケーションが必要です。
  1. ファイルマネージャで、C:\system\recogs\flo.mdl を削除します
  2. 機器を再起動します
  3. “Caribe”アプリケーションを削除します
  4. ファイルマネージャで、 C:\SYSTEM\SYMBIANSECUREDATA ディレクトリとその内容を全て削除します
なお、Nokia 6600( および他のSeries 60 2.x機器も)では、ブート時のワームの自動実行機能は動作しません。これらの機器ではリブート後、ワームのアプリケーションをアンインストールするだけで駆除可能です。感染したファイルは残りますが、この状態では実行されることはありません。

TOPへ戻る