McAfee for Small Businesses

ウイルスの特徴

TOPに戻る

・Symbian/Cabirはコンセプト立証のワームです。Bluetooth通信を利用して、Symbian SISパッケージの形で自身を送信します。 ・Symbian/Cabirは、Symbian OS 6.1以上がインストールされているSeries 60の携帯電話（Siemens、Samsung、Nokia、Sendo、Panasonic）で機能すると思われます。Nokia 6600および3650では実際に繁殖が確認されました。 ・以下の特徴を持つ2つの亜種が確認されています（サイズはバイト）。 a：CARIBE.SIS（15,104）、CARIBE.APP（11,944） b：CARIBE.SIS（15,092）、CARIBE.APP（11,932） ・これらの亜種の機能は同じで、サイズの小さい方の亜種からウイルス作成グループへの参照が削除されている点のみが異なります。 ・以下の理由から、Symbian/Caribの危険度は高くありません。 通常、Bluetooth通信はデフォルトでは有効に設定されていません（「undiscoverable（検出不可）」に設定）。 送信範囲が狭いため、繁殖規模が非常に限定されます。 標準的なBluetoothのペアリングの仕組みが適用されます（そのため、ペアリングされていないデバイスにアクセスするにはPINが必要になります）。 Bluetoothでの送信を許可するには、手動による確認が必要です。

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

・感染した携帯電話からBluetooth通信が定期的（15〜20秒間隔）で行われます。 ・悪質なペイロードはありません（Symbian/Cabirの活動により、バッテリーの寿命が大幅に短くなる点を除く）。 ・SISパッケージは以下のファイルをSYSTEM\APPS\CARIBEにインストールします。 CARIBE.APP CARIBE.RSC FLO.MDL ・Symbian/Cabirが起動すると、以下のファイルを隠しディレクトリであるSYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\にコピーします。 ・さらに2つのファイルがシステムに表示されます。 SYSTEM\INSTALL\CARIBE.SIS（SISインストーラのコピー） SYSTEM\RECOGS\FLO.MDL（ブートフック） ・Symbian/Cabirが動作している場合、アプリケーションキーを押し続けると、メモリに常駐していることを確認できます。

感染方法	TOPへ戻る
・Symbian/Cabirが（メモリカードではなく）携帯電話本体のメモリにインストールされた場合、システム起動時にフックし（「Recognizer（認識）」機能を利用）、携帯電話の電源を入れるたびに起動します。 ・Symbian/Cabirは自身を動作範囲にあるBluetoothが有効に設定されている携帯電話に送信します。複数の携帯電話が存在する場合、Symbian/Cabirは最初に検出された電話を利用します。送信が許可された場合（これには人が「OK」を押す必要があります）、CARIBE.SISパッケージがインストールされ、活動が開始されます。 ・ターゲットの携帯電話にはAVKON.LIB（Series 60専用のライブラリ）がインストールされている必要があります。

駆除方法	TOPへ戻る
ウイルスがメモリーカードにインストールされた場合 デバイスを再起動する “Caribe”アプリケーションを駆除するため、“マネジャー”アプリケーションを使用する。 ウイルスが内部ドライブにインストールされた場合、完全にウイルスを削除するため、Symbianファイルマネジャーが必要となります。 上記のウイルスをアンインストールする ブートフックを削除する。C:\SYSTEM\RECOGS\FLO.MDL デバイスを再起動する 下記からすべてのファイルを削除する C:\SYSTEM\SYMBIANSECUREDATA\　CARIBESECURITYMANAGER