Mi foto

Acerca de

Alguien dijo...

  • We will not walk in fear, one of another.
    Edward R. Murrow
    US broadcast journalist & newscaster (1908 - 1965)

Últimos comentarios

Archivos

Más...

Sindicar este sitio (XML)

Blamurais

« Un paseo por la prensa de los últimos días | Inicio | The Wisdom of the Crowds »

28/03/05

Caribe.SIS

Palazzo Pitti, Firenze, 14:05 pm.  Ring ring... En la pantalla del móvil aparece un mensaje parecido a éste: "¿Desea admitir una solicitud de comunicación por bluetooth de Nokia 7610?". Sonrío pensando - "vaya, un intento de bluejacking".  Miro a mi alrededor: a pesar de la hora, la explanada de entrada al Palacio está repleta de gente.  Personas procedentes de todas partes del mundo, con abundancia de asiáticos.  Decido hacer una cosa MUY estúpida - niños, no hagáis esto si no es bajo la supervisión de un adulto - y acepto la solicitud de conexión.  Inmediatamente suena la alerta de mensaje entrante.  El teléfono me pregunta si deseo leer el nuevo mensaje.  Acepto.  Apenas un segundo después observo cómo el instalador de aplicaciones del Symbian comienza a ejecutarse, experimento un subidón instantáneo de adrenalina y desconecto de inmediato el teléfono.  Acabo de sufrir mi primer intento de infección por parte de un virus diseñado específicamente para telefonía móvil: SymbOS/Cabir.

Caribesis Según he podido averiguar, SymbOS/Cabir o simplemente Cabir apareció por vez primera en junio de 2004.  Al parecer sólo afecta a teléfonos móviles de la Serie 60 debido al uso que hace de componentes específicos de la interfaz del usuario.  Cabir se transmite a través de bluetooth.  Llega a tu teléfono como un archivo .SIS, un paquete de instalación que contiene otros archivos y/o scripts y que es procesado por el gestor de instalaciones del sistema operativo Symbian.  Cuando el archivo es ejecutado - algo que no puede hacerse sin la intervención del usuario del teléfono -, el instalador extrae los archivos del gusano - CARIBE.APP, FLO.MDL, CARIBE.RSC- en el directorio \system\apps\caribe.  Asimismo, crea un archivo denominado CARIBE.SIS.

Una vez extraídos los archivos, el instalador ejecuta el archivo CARIBE.APP, que revela su presencia al usuario mediante un mensaje del tipo 'Caribe-VZ29/a'.  Después de que el usuario acepte, el gusano espera unos 10 segundos antes de actuar.

Lo que hace Cabir es tratar de infectar a cualquier otro dispositivo vulnerable en las inmediaciones del terminal atacado.  Para ello emprende una búsqueda de dispositivos cercanos con conectividad bluetooth - teléfonos, impresoras, ratones, manos libres, etc. Una vez localizados, intenta el envío del archivo CARIBE.SIS.  Por último, desconecta del dispositivo atacado.  Este ciclo se repite de forma continua sin que sea necesaria la intervención del usuario mientras la comunicación por bluetooth esté activada, lo que lleva a un agotamiento rápido de la batería del móvil.

Tened en cuenta que para que el Cabir infecte vuestro teléfono es necesario que se encuentre en modo "visible para todos".  Además, es necesario que aceptéis no sólo la solicitud de conexión entrante, sino también la instalación de la aplicación - lo que requiere de una doble confirmación.  Si conocéis de su existencia, es prácticamente imposible que el ataque tenga éxito.  Si desgraciadamente habéis sido infectados, no os preocupéis porque podéis resolverlo manualmente eliminando estos archivos - desconectad el bluetooth antes que nada!:

c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc

Alternativamente, podéis descargaros esto - es mejor que la penicilina.

Lo peor es que esto sólo es el principio...

Publicado por Mario López de Ávila Muñoz el 28/03/05 a las 7:00 en hey, mirad esto! |

TrackBack

URL del Trackback para esta entrada:
http://www.typepad.com/t/trackback/22264/2127640

Listados abajo están los enlaces de los weblogs que le referencian Caribe.SIS:

Comentarios

Roberto, si desinstalas manualmente el virus siguiendo las instrucciones que encontrarás en alguna de las referencias que te doy, podrás usar el bluetooh sin riesgos de infectar tu PC u otro equipo. O al menos eso es lo que me dice el sentido común ;-)

Publicado por: Mario | 21/04/05 a las 18:27

A mi me ha pasado exactamente lo mismo que a Mario. Pero tengo un gran problema que en ningun sitio consigo encontrar solución. La eliminación del gusano es sencilla. Pero que pasa para aquellas personas que tengan un Nokia 3650 como yo y solo tengan la unica posibilidad d comunicarse con el pc a través del bluetooh? Si queremos instalar un administrador de archivos para la eliminación de esos ficheros del sistema, no vamos a poder hacerlo porque el canal bluetooh siempre lo esta ocupando el puñetero gusano. Que puedo hacer?

Publicado por: roberto | 21/04/05 a las 13:28

Pos zí, ya ves... :-) Ahora que tengo el primero estoy pensando en hacer una colección de virus para móviles, ¿qué te parece? ;-)

Publicado por: Mario | 28/03/05 a las 23:31

Mario...!!!! ¿Cómo tú??? En fín, prefiero pensar que fuera el hecho de estar de vacaciones, que no estas acostumbrado, y claro! hasta las neuronas se te atontan....;)

Feliz vuelta! y no le des más sustos a tu adrenalina....

Publicado por: María | 28/03/05 a las 9:58

Publicar un comentario

Si tiene una cuenta en TypeKey o TypePad, por favor Iniciar sesión

Googlea este blog


Descargas a través de SafeCreative

Otro material para descargar

Estoy leyendo...

Asociado a...

Listas de correo

Open Access Journals

Creative Commons

Google Analytics


Blog powered by TypePad
Miembro desde 04/2004