製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
SymbOS/Zitmo.A
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6124
対応定義ファイル
(現在必要とされるバージョン)
6124 (現在7593)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2010/10/15
発見日(米国日付)2010/09/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・SymbOS/Zitmo.AはSMSメッセージを送信し、受信したSMSメッセージを攻撃者に転送するトロイの木馬です。C&C(コマンドアンドコントロール)の電話番号、ターゲットの電話番号をSMSを介して更新する機能も組み込まれています。

ウイルスの特徴TOPに戻る

・SymbOS/Zitmo.Aは「cert.sis」という名前のSISXファイルで配布されます。ファイルはNokiaからのアップデートを装っています。インストールパッケージは「Mobil Secway」から発行されており、Symbian CAの署名があります。

]

図1 - SymbOS/Zitmo.Aのインストール

・SymbOS/Zitmo.Aは実行ファイル「c:\sys\bin\nokiaupdate.exe」をインストールします。

・「nokiaupdate.exe」はインストール中および再起動後に自動的に稼働します。

・SymbOS/Zitmo.Aは「App installed ok」という本文を含むSMSメッセージを「+44[削除]5」に送信し、「1」を含む「c:\private\20022b8e\firststart.dat」を作成します。動作時に「firststart.dat」の存在を確認し、存在する場合はSMSメッセージを送信しません。

図2 - SMSメッセージの送信

・SymbOS/Zitmo.Aは、C&Cの電話番号からのコマンドがないか、受信するSMSメッセージを監視します。「+44[削除]5」がC&Cの初期の電話番号として設定されています。

・SymbOS/Zitmo.Aには以下のコマンドが組み込まれています。

 コマンド

 機能

 set admin
  •  C&Cの電話番号をコマンドの送信者の番号に変更します(メモリのみ)。
 SET ADMIN
  •  現在のC&Cの電話番号を「c:\private\20022b8e\Settings2.dat」に書き込みます。
 ON
  • 「SET SENDER」および「ADD SENDER」コマンドで登録された電話番号から受信したSMSメッセージのC&Cの電話番号への転送を開始します。
  • 転送のステータスが「Settings2.dat」で変更されます。
 OFF
  • SMSメッセージの転送を停止します。
  • 転送のステータスが「Settings2.dat」で変更されます。
 BLOCK ON
  • すべてのコマンドを無視するようにクライアントを設定するようです。ただし、コマンドは引き続きデバイスで受け入れられている可能性があります。
  • 「block」コマンドのステータスが「Settings2.dat」で変更されます。
 BLOCK OFF
  •  すべてのコマンドを受け入れるようにクライアントを設定するようです。ただし、コマンドはデバイスで無視されている可能性があります。
  • 「block」コマンドのステータスが「Settings2.dat」で変更されます。
 SET SENDER [number]
  • 番号は監視/転送されるSMSメッセージの電話番号です。
  • すべての電話番号を「c:\private\20022b8e\NumbersDB.db」から削除します。
  • 指定された番号を「NumbersDB.db」に書き込みます。
 ADD SENDER[番号1],[番号2],…,[番号n]
  •  番号は監視/転送されるSMSメッセージの電話番号です。
  • 指定された番号を「NumbersDB.db」に書き込みます。
 ADD SENDER ALL
  •  動作なし。
 REM SENDER <番号1>,<番号2>,…,<番号n>
  •  指定された番号を「NumbersDB.db」から削除します。
 REM SENDER ALL
  •  すべての電話番号を「NumbersDB.db」から削除します。

・SymbOS/Zitmo.Aは、先のSMSコマンドで設定された、登録されたターゲットの番号からのSMSメッセージをC&Cの電話番号に転送します。

図3 - 受信したSMSメッセージの転送

・「Settings2.dat」ファイルには以下の情報が格納されます。

  • 転送のステータス (ON:01, OFF:00)
  • 「block」コマンドのステータス (ON:01, OFF:00)
  • C&Cの電話番号
  • 以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 電話番号にSMSメッセージを送信します。
  • 受信したSMSメッセージをC&Cの電話番号に転送します。
  • C&C、ターゲットの電話番号をSMSを介して更新します。
  • 感染方法TOPへ戻る

    ・ユーザが故意に携帯電話にインストールしない限り、SymbOS/Zitmo.Aに感染することはありません。Symbianはデバイスへのインストールを防ぐため、証明書を失効させました。初期設定ではオンラインで証明書を確認しないように設定されているため、設定を調整する必要があります。

    ・証明書のオンラインチェックを有効にするには、

    1. Menu-> Applications->App. Manager->Online Certificate checkの順に進みます。

    2. 設定を「Must be passed」に変更します。

    ・これにより、署名入りのアプリケーションのインストールが受け付けられるたびにオンラインチェックが行われるようになります。証明書が失効されている場合、インストールは続行されません。

    駆除方法TOPへ戻る