SymbOS/Lasco.A Gusano de teléfonos móvilesNombre NOD32: SymbOS/Lasco.A
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: Lasco.A, Cabir.H, Caribe virus, EPOC/Cabir.H, SymbOS.Cabir, SymbOS.Lasco.A, SymbOS/Cabir.A, SymbOS/Cabir.H, SymbOS/Lasco.A, SYMBOS_VLASCO.B, Worm.Symbian.Cabir.H, Worm.SymbOS.Cabir.gen, Worm.SymbOS.Lasco.a, Worm/SymbOS.Cabir.f, SYMBOS_VLASCO.A, SymbOS/Lasco.A.worm, PE_VLASCO.A
Fecha: 10/ene/05
Plataforma: SymbOS (EPOC), Nokia Series 60
Tamaño: 14,226 bytes
Última modificación: 3/feb/05
Gusano similar a Cabir.H, capaz de propagarse por servicios Bluetooth, en dispositivos que utilicen el sistema operativo Symbian.
Cuando se ejecuta como aplicación para plataformas Windows 32-bit, el gusano busca archivos .SIS en todos los discos del sistema, e intenta infectarlos, insertando su código.
El gusano no posee ninguna otra carga destructiva (salvo el gasto de baterías por el constante uso que hace del equipo).
Bluetooth es una norma abierta que posibilita la conexión inalámbrica de corto alcance de voz y datos entre computadoras de escritorio y portátiles, agendas digitales personales, teléfonos móviles, impresoras, escáneres, cámaras digitales e incluso dispositivos domésticos, a través de una banda disponible a nivel global (2,4 Ghz) y mundialmente compatible.
Los síntomas de una infección son una actividad frecuente (cada 15 o 20 segundos), originada desde un móvil infectado por el gusano.
Algunos de los teléfonos móviles afectados:
Nokia 3650, 3600
Nokia 3660, 3620
Nokia 6600
Nokia 6620
Nokia 7610
Nokia 7650
Nokia N-Gage
Panasonic X700
Sendo X
Siemens SX1
Afecta productos de la Serie 60 v0.9, lo que abarca todos los dispositivos existentes de la serie 60, que usen Symbian OS 6.1 o superior.
Cuando se ejecuta bajo Symbian, inicia la búsqueda de otros dispositivos conectados que usen la tecnología "Bluetooth".
Si localiza alguno, se enviará a si mismo al primer dispositivo que encuentre.
Aunque también puede copiarse en dispositivos que empleen la tecnología Bluetooth, pero con otro sistema operativo, el gusano no se propagará desde dicho dispositivo.
El gusano llega al dispositivo como un archivo .SIS (velasco.sis), y se instala en la carpeta APPS (aplicaciones), si el usuario acepta la transferencia y ejecuta la instalación. La extensión .SIS es utilizada por el sistema operativo EPOC para las instalaciones.
El gusano consiste en los siguientes componentes:
VELASCO.SIS (15,750 bytes), contiene el código del virus propiamente ducho.
SISINFECT.EXE (69,632 bytes), es el infector que se ejecuta en Windows. Este archivo escanea todos los discos duros en busca de archivos .SIS y los infecta insertando su código.
MARCOS.SIS (1,579 bytes), contiene el módulo MARCO.MDL con el cuál instala VELASCO.SIS en el sistema de autoejecución de Symbian.
Al instalarse VELASCO.SIS, se copian los siguientes archivos:
c:\system\apps\velasco\marcos.mdl
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\velasco.rsc
El archivo VELASCO.SIS contiene instrucciones para ejecutar automáticamente al archivo del gusano (VELASCO.APP).
Cuando VELASCO.APP se ejecuta, se crean los siguientes archivos:
c:\system\symbiansecuredata\velasco\velasco.app
c:\system\symbiansecuredata\velasco\velasco.rsc
c:\system\symbiansecuredata\velasco\velasco.sis
El archivo de autoejecución, se copia en la siguiente ubicación:
c:\system\recogs\marcos.mdl
El gusano busca todos los archivos ".SIS" en el dispositivo y se agrega a ellos modificando el encabezado de los archivos encontrados, esto hace que cada vez que un archivo ".SIS" es ejecutado el gusano inicie su rutina de propagación y repita todo el proceso antes mencionado.
El gusano no puede catalogarse de un serio riesgo, por varias razones:
1. Una comunicación "Bluetooth" no está habilitada por defecto.
2. El rango de transmisión es corto en distancia, por la propia naturaleza del sistema "Bluetooth".
3. "Bluetooth" utiliza un mecanismo de comunicación entre pares. Dispositivos fuera de ese par, requieren un PIN para confirmar el acceso.
4. Aceptar una transmisión "Bluetooth", requiere una confirmación manual.
Eliminación manualPara eliminar este gusano, utilice algún administrador de archivos (debe tener habilitada la opción de ver los archivos en el directorio del sistema).
NOTA: El gusano puede suplantar el administrador de archivos original. Se sugiere descargar el "PC File Manager" correspondiente a su teléfono móvil desde el siguiente enlace:
http://www.epocware.com/company/productmap.htmlLuego, siga estos pasos:1. Seleccione la opción "velasco" de la lista de aplicaciones.
2. Seleccione "Cancel" (Exit velasco?) y confirme con "Yes".
3. Borre el siguiente archivo utilizando el manejador de archivos o por medio del "PC File Manager" descargado antes:
c:\system\recogs\marcos.mdl
4. Borre la carpeta "velasco" de las siguientes ubicaciones:
c:\system\apps\velasco\
c:\system\symbiansecuredata\velasco\
Aunque el sistema por defecto se instala en la unidad C, esto puede cambiar en algunos casos.
Si no puede borrar estos archivos, apague y vuelva a encender su dispositivo.
Publicado anteriormente:
VSantivirus No. 1655 Año 9, lunes 17 de enero de 2005
Actualizaciones:
03/02/05 - 02:54 -0200 (Modificación de la descripción)
03/02/05 - 03:10 -0200 (Alias: SYMBOS_VLASCO.A)
03/02/05 - 03:10 -0200 (Alias: SymbOS/Lasco.A.worm)
03/02/05 - 03:10 -0200 (Alias: PE_VLASCO.A)
Más información:
http://www.vsantivirus.com/symbos-lasco-a.htm
