[HACK] Commwarrior
merce
merce at grn.es
Thu Mar 30 11:46:22 CEST 2006
22/03/06 17:36:29
UN VIRUS PARA MÓVILES SE EXTIENDE POR AEROPUERTOS Y BARES ESPAÑOLES
Mercè Molist
La Terminal 2 de Barajas, un centro de salud de Málaga, academias,
bares y restaurantes son algunos sitios donde la empresa Hispasec
Sistemas ha detectado lo que califica como "epidemia" de un gusano
que infecta teléfonos móviles: Commwarrior.
Este gusano se transmite sobre todo en lugares públicos, donde hay
mucha gente con móviles, porque salta de uno a otro mediante la
tecnología inalámbrica de corto alcance Bluetooth. La variante
descubierta infecta a aparatos con sistema operativo Symbian Serie
60 (diversos Nokia, Panasonic, Sendo y Siemens).
Commwarrior apareció en 2005 y sorprendió por su novedosa forma de
replicación: además de Bluetooth, viaja en los mensajes MMS
(Messaging Service Messages), que mandan imágenes, sonido y vídeo.
Cuando infecta un teléfono, se autoenvía mediante estos mensajes a
todos los números de la agenda. Si la víctima no los abre, no hay
peligro.
El problema, explica Bernardo Quintero, de Hispasec, es que "día a
día aumenta su caldo de cultivo, ya que el uso de Bluetooth se está
extendiendo, un ejemplo son los "kits" manos libres para utilizar el
móvil en el coche. Y, mientras los usuarios de PC han oído hablar de
antivirus o saben que deben tener precaución a la hora de abrir
adjuntos en el correo, pocos saben que sus móviles pueden ser
infectados al abrir un mensaje".
Por ello, explica Quintero, "la gente debería concienciarse de que
recibir en el móvil un archivo .SIS, adjunto en un mensaje, es
equivalente a un .EXE en el correo electrónico, las posibilidades de
que se trate de un gusano son muy altas, por lo que deben borrarlo
directamente, sin abrirlo".
Según el experto, "es complicado cuantificar su propagación, ya que
los métodos tradicionales usados para los virus de Internet no
sirven. La inmensa mayoría de usuarios infectados no son conscientes
de que tienen un gusano en su móvil y no lo reportan a ningún lado,
ni tienen instalados antivirus que puedan notificar las infecciones
a un servidor centralizado. Para detectar un caso, tienes que estar
cerca físicamente".
Por eso, sólo valen los testimonios personales, como el de Sergio
Hernando: "En la terminal 2 de Barajas recibí, en apenas 5 minutos,
10 mensajes con el virus. Especialmente llamativo era el continuo
sonido de "mensaje nuevo" que venía de otros móviles, muchos de
ellos gusanos con ganas de expandirse". Según Hernando, el problema
es que "cuando hay un aviso de nuevo mensaje, el teléfono no muestra
quién lo envía y es posible abrirlo de manera directa mediante una
pulsación". Ambos son graves riesgos para infectarse.
Núria también explica su experiencia, en el "blog" de Hispasec:
"Llevo tres semanas recibiendo el virus en Valencia, me infecté
creyendo que venía de algún compañero de trabajo y ahora, cuando
llego a casa, todos los móviles con Bluetooth suenan con el 'santo
gusano', que va de uno a otro". Otro caso es el de Xavier Sabat: "Me
infecté hace un año en Andorra y no sé como eliminarlo. Cada noche,
de las 0,00 a las 6,00 envía MMS a los teléfonos de mi guía". O el
de un anónimo que trabaja en una oficina cercana a una academia:
"Cada x minutos me mandan un virus".
El gusano puede borrarse manualmente, pero la forma más fácil es
instalar un antivirus en el móvil, que hará la limpieza de forma
autómatica. Para ello, hay que descargar el antivirus de Internet
mediante un ordenador con conexión de infrarrojos o Bluetooth y, por
esta vía, instalarlo en el teléfono.
La invasión de Commwarrior, inicialmente con textos en inglés y
creado probablemente en Rusia, ha venido acompañada de una variante
que envía los mensajes en español, con frases como "Quieres reirte",
"Valencia, ciudad de campeones" o insultos al Estatuto catalán y al
político Carod Rovira.
Epidemia de Commwarrior en España
http://blog.hispasec.com/laboratorio/111
Spanish translation of Commwarrior
http://www.f-secure.com/weblog/archives/archive-032006.html#00000831
Descripción de Commwarrior.A
http://www.vsantivirus.com/symbos-commwarrior-a.htm
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4812
Antivirus para eliminar Commwarrior
http://www.f-secure.com/tools/f-commwarrior.sis
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.
More information about the hacking
mailing list