Commwarrior.C 病毒特征详细介绍
详细描述:
感染
Comwarrior SIS 文件安装时,安装者将蠕虫可执行文件复制到 c:\system\programs\cwoutcast.exe 。
comwarrior.exe 执行时,将自己复制到 \system\bootdata\lib\cwoutcast.exe 并创建 \system\recogs\cworec.mdl 到 C :盘和找到的所有 MMC 卡。
与 Commwarrior.A 和 .B 不同, Commwarrior.C 的 SIS 文件不包括 MDL 识别器,识别器部分包含在可执行的蠕虫中。
复制自身后, Commwarrior.C 在执行 cwoutcast.exe 的文件夹内重建 SIS 文件。
隐藏自身进程
Commwarrior.C 试图通过将进程类型设定为系统进程来隐藏它的进程,以使其在标准应用程序列表内不可见。
但是如果用户使用一个名为 CWOUTCAST 的第三方进程列表工具, Commwarrior.C 进程是可见的。
通过蓝牙复制
Comwarrior 通过蓝牙在随机命名的 SIS 文件中复制, SIS 文件包括蠕虫的主要可执行文件 woutcast.exe 。
SIS 文件包含自启动设定,会在 SIS 文件被安装后自动执行 cwoutcast.exe 。
Comwarrior 蠕虫被激活时,将开始寻找其他蓝牙手机,并试图向每个目标手机发送一次自身复制品。
如果目标手机离开范围或拒绝文件传输, commwarrior 将搜索另一个手机。
Comwarrior 的复制机制不同于 Cabir 。一旦一个手机在范围内, Cabir 蠕虫会锁定它,在失去连接或持续锁定后则取决于变种是否查看另一个变种。
Comwarrior 蠕虫会持续寻找新的目标,因此它能够连接范围的所有手机。
通过 MMS 复制
Commwarrior.C 使用三种策略通过 MMS 消息传播。
第一种当 Commwarrior.C 启动时,它开始搜索手机地址簿,向所有标记为手机的电话号码发送 MMS 消息。
Commwarrior.C 监听所有到达的 MMS 或 SMS 消息,向这些消息回复包含 Commwarrior.C SIS 文件的 MMS 消息。
蠕虫也监听所有由用户发送的 SMS 消息,在 SMS 消息之后向相同号码发送 MMS 消息。
复制到 MMC 卡
Commwarrior.C 监听所有插入感染手机的 MMC 卡,并向其复制自身。感染的卡包含 Commwarrior 可执行文件和 bootstrap 部分,以使另一个手机如果插入感染的卡也会感染。
保护自身不被杀毒
Commwarrior.C 保护自身免受使用文件管理器的手动杀毒。如果用户试图删除 Commwarrior 可执行文件或 bootstrap 部分, Commwarrior.C 的运行进程将在手机中重新创建它们。 Commwarrior.C 也设定保护它自己的进程,以使进程不能被轻易杀死。
