CommWarrior: Si diffonde il virus per Symbian
di Francesco Caccavella (f.caccavella@html.it)
mercoledì 25 maggio 2005
Si diffonde a macchia di leopardo l'infezione del virus
CommWarrior, progettato per attaccare cellulari equipaggiati con sistemi operativi Symbian serie 60. Sebbene l'infenzione non sia catalogabile come di massa, è uno dei primi esempi di virus per cellulari che lentamente si propaga da un paese ad un altro. Sinora il virus è stato rilevato in sei diverse nazioni: Irlanda, India, Oman, Italia, Filippine e Finlandia.
L'ultima segnalazione è dello scorso 19 maggio, pubblicata da F-Secure, la casa produttrice di antivirus che più i tutte è in prima linea per combattere il fenomeno dei virus per cellulari. Il virus intercettato è una leggera variante di CommWarrior.A ed è stato rilevato su un utente finlandese. L'analisi di F-Secure è avvenuta direttamente sul cellulare infettato.
CommWarrior è un virus per cellulari equipaggiati con sistemi Symbian che è in grado di replicarsi attraverso due diverse strade: sia come Bluetooth sia come MMS. Il funzionamento è quello tipico di un virus per personal computer. Una volta installato sul telefono, il virus comincia la scansione della rubrica per autoinviarsi attraverso un messaggio multimediale ad altri utenti. A differenza però dei messaggi di posta elettronica, i messaggi multimediali si pagano e il virus dunque può anche essere causa di un notevole danno pecuniario.
Per camuffare il suo fine nocivo, il virus viene inviato accompagnato da messaggi in lingua inglese che hanno il fine di spingere l'utente ad eseguire il file .SIS giunto attraverso i metodi di propagazione. Tra i messaggi troviamo quelli classici di un e-mail worm: "Norton AntiVirus Released now for mobile, install it! " ('Rilasciato Norton AntiVirus per cellulari, installalo!) oppure "Symbian security update See security news at www.symbian.com" ('Aggiornamento di sicurezza di Symbian'), oppure ancora "Free SEX! Free *SEX* software for you!" ('Sesso gratuito per te').
Il virus si propaga ad ore prestabilite, basandosi sull'orario del cellulare. Si autoinvia attraverso MMS solamente dalle 00.00 sino alle 06:59, mentre la funzione di replica attraverso Bluetooth è attiva dalle 08:00 sino alle 23:59. La scelta di inviare MMS solamente di notte è dettata probabilmente dalla volontà di nascondersi il più possibile: il traffico MMS infatti è facilmente rintracciabile verificando i costi di connessione del telefonino.
Una volta eseguito il file ricevuto, il cellulare mostra un messaggio con la scritta "Install Commwarrior?" e, se l'utente risponde affermativamente, il worm infetta il terminale. L'infezione non provoca particolari danni al sistema, se non quelli derivanti dall'attività di replica. Alla prima ora del 14 di ogni mese il virus è programmato per resettare il cellulare sul quale è installato.
Le prime avvisaglie in Italia risalgono alle prime settimane di maggio. Alcuni forum sono stati utilizzati per documentare l'avvenuta infezione. F-Secure sta cercando di bloccare la diffusione attraverso i gestori delle reti mobili che sono in grado, modificando i loro apparati di trasmissione, di intercettare e limitare la diffusione del worm.
Per eliminare il worm è consigliabile utilizzare il F-Secure Mobile Anti-Virus, scaricabile direttamente sul telefonino dal sito
http://mobile.f-secure.com. Una volta giunti sul sito si deve selezionare il link Download F-Secure Mobile Anti-Virus e successivamente il modello del cellulare da proteggere. L'applicazione sarà raggiungibile dal menu delle applicazione e, dopo essere stata esguita, cancellerà i riferimenti al worm.
Generale CSM
Mefisto ha scritto:
T. Colonnello
Cap.le Magg.
Maresciallo
