SymbOS/Skulls.B. Suplanta aplicaciones de SmartPhoneNombre: SymbOS/Skulls.B
Tipo: Caballo de Troya de dispositivo PDA
Alias: Skulls.B, SymbOS/Skulls.B, SymbOS.Skulls.B, Troj/Skulls-B, SYMBOS_SKULLS.B, Trojan.SymbOS.Skuller.b
Plataforma: SymbOS (EPOC)
Este troyano se presenta con el nombre de "Icons.SIS", simulando ser un administrador de temas para los teléfonos Nokia 7610 SmartPhone (los programas para el sistema operativo Symbian, vienen generalmente empaquetados en un archivo .SIS que es creado por el desarrollador).
Cuando "Icons.SIS" se instala, reemplaza las aplicaciones del sistema por versiones no funcionales.
SmartPhone es el nombre dado a la nueva generación de teléfonos móviles que unen varias características en un solo dispositivo, tales como un ayudante personal digital (PDA), cámara y un teléfono móvil.
El archivo instalador "Icons.SIS", no contiene en si mismo ningún código malicioso, pero instala archivos críticos de la ROM del sistema en la unidad C:, con los mismos nombres y ubicaciones de los archivos originales.
En EPOC, los archivos ejecutables de la ROM se localizan en la unidad Z:. Al crearse directorios y archivos con el mismo nombre en la unidad C:, los mismos tendrán precedencia a los de la unidad Z:. De esta forma el troyano reemplaza todas las aplicaciones del sistema operativo por las suyas.
A diferencia del Skulls.A, esta versión no muestra ninguna ventana emergente ni pop-ups durante su instalación, a excepción del mensaje de advertencia del sistema, de que es imposible verificar el origen del software.
La parte maliciosa está en el archivo AIF (Application Info and icon), que viene con la aplicación. En vez del AIF correcto, el archivo SIS instalará el suyo.
El troyano se aprovecha de una característica del sistema operativo Symbian, que hace que cualquier archivo que esté en la unidad C: reemplace al archivo manejado por la ROM que tenga el mismo nombre y ubicación.
Si la instalación es exitosa, todos los iconos de las aplicaciones serán reemplazados por iconos genéricos (a diferencia de la versión A, que los suplanta por iconos que semejan calaveras y huesos cruzados).
Además, ya no funcionarán ninguna de las aplicaciones suplantadas, y solo se podrán enviar y recibir llamadas. No estarán disponibles ningunas de las otras funcionalidades del SmartPhone, tales como mensajería SMS y MMS messaging, navegación por el Web y cámara.
Adicionalmente, el troyano infecta el sistema con el EPOC/Cabir.B. Afortunadamente, este no puede activarse automáticamente (ver "EPOC/Cabir.B. El primer gusano de teléfonos móviles",
http://www.vsantivirus.com/epoc-cabir-b.htm).
El troyano instala los siguientes archivos:
C:\System\Apps\About\About.aif
C:\System\Apps\About\About.app
C:\System\Apps\AppInst\Appinst.aif
C:\System\Apps\AppInst\Appinst.app
C:\System\Apps\AppMngr\AppMngr.aif
C:\System\Apps\AppMngr\Appmngr.app
C:\System\Apps\Autolock\Autolock.aif
C:\System\Apps\Autolock\Autolock.app
C:\System\Apps\Browser\Browser.aif
C:\System\Apps\Browser\Browser.app
C:\System\Apps\BtUi\BtUi.aif
C:\System\Apps\BtUi\BtUi.app
C:\System\Apps\bva\bva.aif
C:\System\Apps\bva\bva.app
C:\System\Apps\Calcsoft\Calcsoft.aif
C:\System\Apps\Calcsoft\Calcsoft.app
C:\System\Apps\Calendar\Calendar.aif
C:\System\Apps\Calendar\Calendar.app
C:\System\Apps\Camcorder\Camcorder.aif
C:\System\Apps\Camcorder\Camcorder.app
C:\System\Apps\CamTimer\camtimer.app
C:\System\Apps\CamTimer\camtimer.rsc
C:\System\Apps\caribe\caribe.app
C:\System\Apps\caribe\caribe.rsc
C:\System\Apps\caribe\flo.mdl
C:\System\Apps\CbsUiApp\cbsuiapp.aif
C:\System\Apps\CbsUiApp\CbsUiApp.app
C:\System\Apps\CERTSAVER\CERTSAVER.AIF
C:\System\Apps\CERTSAVER\CERTSAVER.APP
C:\System\Apps\ClockApp\ClockApp.aif
C:\System\Apps\ClockApp\ClockApp.app
C:\System\Apps\CodViewer\CodViewer.aif
C:\System\Apps\CodViewer\CodViewer.app
C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.aif
C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.app
C:\System\Apps\Converter\Converter.aif
C:\System\Apps\Converter\converter.app
C:\System\Apps\cshelp\cshelp.aif
C:\System\Apps\cshelp\cshelp.app
C:\System\Apps\Chat\Chat.aif
C:\System\Apps\Chat\Chat.app
C:\System\Apps\DdViewer\DdViewer.aif
C:\System\Apps\DdViewer\DdViewer.app
C:\System\Apps\FileManager\FileManager.aif
C:\System\Apps\FileManager\FileManager.app
C:\System\Apps\GS\GS.aif
C:\System\Apps\GS\gs.app
C:\System\Apps\ImageViewer\ImageViewer.aif
C:\System\Apps\ImageViewer\ImageViewer.app
C:\System\Apps\location\location.aif
C:\System\Apps\location\location.app
C:\System\Apps\Logs\Logs.aif
C:\System\Apps\Logs\Logs.app
C:\System\Apps\mce\mce.aif
C:\System\Apps\mce\mce.app
C:\System\Apps\MediaGallery\MediaGallery.aif
C:\System\Apps\MediaGallery\MediaGallery.app
C:\System\Apps\MediaPlayer\MediaPlayer.aif
C:\System\Apps\MediaPlayer\MediaPlayer.app
C:\System\Apps\MediaSettings\MediaSettings.aif
C:\System\Apps\MediaSettings\MediaSettings.app
C:\System\Apps\Menu\Menu.aif
C:\System\Apps\Menu\Menu.app
C:\System\Apps\mmcapp\mmcapp.aif
C:\System\Apps\mmcapp\mmcapp.app
C:\System\Apps\MMM\Mmm.aif
C:\System\Apps\MMM\MMM.app
C:\System\Apps\MmsEditor\MmsEditor.aif
C:\System\Apps\MmsEditor\MmsEditor.app
C:\System\Apps\MmsViewer\MmsViewer.aif
C:\System\Apps\MmsViewer\MmsViewer.app
C:\System\Apps\MsgMailEditor\MsgMailEditor.aif
C:\System\Apps\MsgMailEditor\MsgMailEditor.app
C:\System\Apps\MsgMailViewer\MsgMailViewer.aif
C:\System\Apps\MsgMailViewer\MsgMailViewer.app
C:\System\Apps\MusicPlayer\MusicPlayer.aif
C:\System\Apps\MusicPlayer\MusicPlayer.app
C:\System\Apps\Notepad\notepad.aif
C:\System\Apps\Notepad\Notepad.app
C:\System\Apps\NpdViewer\NpdViewer.aif
C:\System\Apps\NpdViewer\NpdViewer.app
C:\System\Apps\NSmlDMSync\NSmlDMSync.aif
C:\System\Apps\NSmlDMSync\NSmlDMSync.app
C:\System\Apps\NSmlDSSync\NSmlDSSync.aif
C:\System\Apps\NSmlDSSync\NSmlDSSync.app
C:\System\Apps\Phone\Phone.aif
C:\System\Apps\Phone\Phone.app
C:\System\Apps\Phonebook\Phonebook.aif
C:\System\Apps\Phonebook\Phonebook.app
C:\System\Apps\Pinboard\Pinboard.aif
C:\System\Apps\Pinboard\Pinboard.app
C:\System\Apps\PRESENCE\PRESENCE.AIF
C:\System\Apps\PRESENCE\PRESENCE.APP
C:\System\Apps\ProfileApp\profileapp.aif
C:\System\Apps\ProfileApp\profileapp.app
C:\System\Apps\ProvisioningCx\ProvisioningCx.aif
C:\System\Apps\ProvisioningCx\ProvisioningCx.app
C:\System\Apps\PSLN\PSLN.aif
C:\System\Apps\PSLN\PSLN.app
C:\System\Apps\PushViewer\PushViewer.aif
C:\System\Apps\PushViewer\PushViewer.app
C:\System\Apps\Satui\Satui.aif
C:\System\Apps\Satui\Satui.app
C:\System\Apps\ScreenSaver\ScreenSaver.aif
C:\System\Apps\ScreenSaver\ScreenSaver.app
C:\System\Apps\SchemeApp\SchemeApp.aif
C:\System\Apps\SchemeApp\SchemeApp.app
C:\System\Apps\Sdn\Sdn.aif
C:\System\Apps\Sdn\Sdn.app
C:\System\Apps\SimDirectory\SimDirectory.aif
C:\System\Apps\SimDirectory\SimDirectory.app
C:\System\Apps\SmsEditor\SmsEditor.aif
C:\System\Apps\SmsEditor\SmsEditor.app
C:\System\Apps\SmsViewer\SmsViewer.aif
C:\System\Apps\SmsViewer\SmsViewer.app
C:\System\Apps\Speeddial\Speeddial.aif
C:\System\Apps\Speeddial\Speeddial.app
C:\System\Apps\Startup\Startup.aif
C:\System\Apps\Startup\Startup.app
C:\System\Apps\SysAp\SysAp.aif
C:\System\Apps\SysAp\SysAp.app
C:\System\Apps\ToDo\ToDo.aif
C:\System\Apps\ToDo\ToDo.app
C:\System\Apps\Ussd\Ussd.aif
C:\System\Apps\Ussd\Ussd.app
C:\System\Apps\VCommand\VCommand.aif
C:\System\Apps\VCommand\VCommand.app
C:\System\Apps\Vm\Vm.aif
C:\System\Apps\Vm\Vm.app
C:\System\Apps\Voicerecorder\Voicerecorder.aif
C:\System\Apps\Voicerecorder\Voicerecorder.app
C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.AIF
C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.APP
C:\System\Apps\WALLETAVOTA\WALLETAVOTA.AIF
C:\System\Apps\WALLETAVOTA\WALLETAVOTA.APP
C:\System\CARIBESECURITYMANAGER\CAMTIMER.sis
C:\System\CARIBESECURITYMANAGER\caribe.app
C:\System\CARIBESECURITYMANAGER\caribe.rsc
Eliminación manualPara eliminar este troyano, borre dichos archivos con algún administrador de archivos (debe tener habilitada la opción de ver los archivos en el directorio del sistema). Luego utilice el administrador de aplicaciones para desinstalar "Icons.SIS".
Más información:
http://www.vsantivirus.com/symbos-skulls-b.htm
