SymbOS.Cabir は、Series 60 の携帯電話に自己複製を行うコンセプトを証明する目的で作成されたワームです。このワームは、発見した Bluetooth 対応デバイスに対し、そのデバイスの種類に関係なく、自分自身を繰返し送信します。例えば、Bluetooth 対応のプリンタさえも、受信範囲内に存在する場合は、攻撃対象となります。このワームは、APPS ディレクトリに自動インストールされる .SIS ファイルとして拡散します。

SymbOS.Cabir には、Buletooth 対応デバイスを絶え間なくスキャンすることが原因で電池寿命が顕著に短くなることを除いては、発病症状はありません。

別名: EPOC.Cabir, Worm.Symbian.Cabir.a [Kaspersky], Cabir [F-Secure], EPOC/Cabir.A [Computer Associates], Symb/Cabir-A [Sophos], EPOC_CABIR.A [Trend], Symbian/Cabir [McAfee]

種別: ワーム

感染サイズ: 15104 (caribe.sis), 11944 (caribe.app), 11498 (flo.mdl), 44 (caribe.rsc)

影響を受けるシステム: EPOC

影響を受けないシステム: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 2000, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

対応日(Intelligent Updater)* 2004/06/15(米国時間) 対応日(Live UpdateTM)** 2004/06/16(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 低 感染力: 低

ダメージ

• 発症のタイミング: n/a
  
• 発病症状: n/a
  
  • 大量メール送信: n/a
    
  • ファイル削除: n/a
    
  • ファイル改ざん: n/a
    
  • 秘密情報の漏洩: n/a
    
  • パフォーマンス低下: Bluetooth 対応デバイスのスキャンにより、デバイスの全体的なパフォーマンスに悪影響が生じる可能性がある。
    
  • システムの不安定化: n/a
    
  • 不正アクセス: n/a
    

感染力

• メール件名: n/a
  
• 添付ファイル: n/a
  
• 添付ファイルのタイムスタンプ: n/a
• 添付ファイルのサイズ: n/a
• ポート: n/a
  
• 共有ドライブ: n/a
  
• 感染対象: n/a
  

SymbOS.Cabir は、Bluetooth を通じて .SIS ファイルとして伝送されます。

SymbOS.Cabir が標的のデバイスに到達すると、次の現象が発生します。

1. そのデバイスが、特定のデバイスから発信されたメッセージを受け取るかどうかを尋ねる、次のようなメッセージを表示します。
   
   Recieve message via Bluetooth from <デバイス名>?
   
   
2. 新規メッセージの受信がユーザに通知されます。
   
   
3. 次のようなメッセージが表示されます。
   
   Application is untrusted and may have problems. Install only if you trust provider.
   
   
4. ユーザが [Yes] を選択すると、ワームをインストールするよう促す次のメッセージが表示されます。
   
   Install caribe?
   
   
5. ユーザが [Install] を選択すると、SymbOS.Cabir がインストールされて実行され、次のメッセージが表示されます。
   
   
   
   
6. このワームは、その電話上に次のファイルを作成します。
   
   • \SYSTEM\APPS\CARIBE\CARIBE.APP
     
   • \SYSTEM\APPS\CARIBE\CARIBE.RSC
     
   • \SYSTEM\APPS\CARIBE\FLO.MDL
     
   • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
     
   • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
     
   • \SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
     
   • \SYSTEM\RECOGS\FLO.MDL
     
   • \SYSTEM\INSTALLS\CARIBE.SIS
     
   
   
7. このワームは、デバイスの種類に関係なく、感染先の電話上で発見した他の Bluetooth 対応デバイスに自分自身を送信します。
   
   
8. このワームは、デバイスに電源が入るたびに毎回実行されます。
   

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

SymbOS.Cabir を駆除するには:

1. 電話に、ファイル管理プログラムをインストールします。
   
2. システムディレクトリ内のファイルを表示するオプションを有効にします。
   
3. A - Y ドライブ上で、\SYSTEM\APPS\CARIBE ディレクトリを検索します。
   
4. \CARIB ディレクトリから、CARIBE.APP、CARIBE.RSC、FLO.MDL ファイルを削除します。
   
5. C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER ディレクトリに移動します。
   
6. CARIBE.APP、CARIBE.RSC、CARIBE.SIS ファイルを削除します。
   
7. C:\SYSTEM\RECOGS に移動します。
   
8. FLO.MDL ファイルを削除します。
   
9. C:\SYSTEM\INSTALLS ディレクトリに移動します。
   
10. CARIBE.SIS ファイルを削除します。
    
    注意: プログラムが動作中に CARIBE.RSC ファイルを削除することはできません。
    
    ステップ 4 と ステップ 6 で CARIBE.RSC を削除できない場合には、削除できるファイルをすべて削除し、電話を再起動し、その後、 CARIBE.RSC ファイルを削除してください。
    

• 特に必要な場合を除き、Bluetooth 機能をオフにしておいてください。
  
• Bluetooth の使用が必要な場合は、そのデバイスの表示モードを [Hidden] に設定してください。これにより、他の Bluetooth 対応デバイスにスキャンされるのを防ぐことができます。
  
• デバイスのペアリング機能の使用は極力控えてください。ペアリングを使用する必要がある場合には、ペアリングする全デバイスを、[Unauthorized] に設定してください。これにより、接続の試みが発生するたびに、その接続要求に対し、ユーザの承認が必要とされるようになります。
  
• 署名されていない (電子署名がない) アプリケーションや、未知のソースから送信されたアプリケーションは絶対に受け付けないでください。アプリケーションを受信する際には、事前に必ず、その発信元を確認するよう心がけてください。