...:::ATENCION:::... Gusano Beselo (Ataca a dispositivos Symbian)

[kuzanagui]

...:::ATENCION:::... Gusano Beselo (Ataca a dispositivos Symbian)

Gusano que afecta a dispositivos móviles con el Sistema Operativo Symbian cuya propagación se realiza mediante el envío de mensajes multimedia (MMS) tanto a números incluidos en la libreta de contactos como a otros generados aleatoriamente.
También puede difundirse por Bluetooth a dispositivos cercanos que esten accesibles (bluetooth habilitado).

El gusano llega al dispositivo como un fichero con alguno de estos nombres: 'beauty.jpg', 'sex.mp3' o 'love.rm', que a pesar de la extensión, contienen archivos instalables en Symbian.

Solución

1. Instale un administrador de ficheros en el dispositivo móvil afectado.
2. Habilite la opción de ver ficheros en el sistema de directorios.
3. Elimine los siguientes ficheros maliciosos:
   • beauty.jpg
   • sex.mp3
   • love.rm
4. Navegue hasta los siguientes directorios:
   • csystem\data\
   • \system\install\
   y elimine el siguiente fichero:
   • [- 7 letras aleatorias -].exe
5. Salga del administrador de ficheros.

Datos Técnicos

Peligrosidad: 1 - Mínima

Difusión: Baja

Daño:Bajo

Dispersibilidad:Medio

Fecha de Alta:24-01-2008
Última Actualización:29-01-2008

Nombre completo: Worm.SYM/Beselo@MMS

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores

Plataforma: [SYM] - Sistema Operativo Symbian, utilizado en dispositivos móviles.

Mecanismo principal de difusión: [MMS] - Servicio de Mensajes Multimedia

Tamaño (bytes): 12288

AliasymbOS.Beselo.A (Symantec), SymbOS/Beselo (McAfee), SYMBOS_BESELO.A (Trend Micro), SymbOS/Beselo.A!worm (Otros), WormymbOS/Beselo (F-Secure), SymbOS.Worm.Beselo.A (Bit Defender), SymbOS.Worm.Beselo.B (Bit Defender)

Detalles


El gusano podría llegar al dispositivo móvil como un fichero con alguno de los siguientes nombres:

• beauty.jpg
• sex.mp3
• love.rm

Nota: Estos ficheros son 'SIS' (Symbian Installation Source) con un nombre de fichero ejecutable aleatorio.


Aunque estos archivos no tienen extensión '.sis', el instalador del teléfono puede reconocerlos como ficheros SIS (instalables de Symbian), en base a su contenido.

Cuando el usuario abre el fichero, el instalador del dispositivo móvil mostrará una ventana advirtiendo de la posibilidad de que el fichero provenga de una fuente poco fiable y que podría ser peligroso.

En caso de que el usuario acepte la instalación del fichero, se producen las siguientes acciones:

1. El dispositivo muestra el siguiente mensaje de instalación del fichero:
   Install[- 7 letras aleatorias -].exe
2. Una vez instalado, el gusano deja su fichero ejecutable en el siguiente directorio, y lo ejecuta:
   • csystem\data\
3. Cuando el fichero es ejecutado, se copia a sí mismo en el siguiente directorio:
   
   • csystem\apps
4. A continuación construye un fichero '.sis' que contiene su fichero ejecutable de nombre aleatorio y lo deja en el siguiente directorio:
   
   • csystem\apps
5. Busca dispositivos cercanos accesibles vía Bluetooth e intenta enviar una copia de sí mismo a todos los dispositivos que encuentra.
6. Worm.SYM/Beselo@MMS elige aleatoriamente números de teléfono de la lista de contactos del móvil y les envía un mensaje multimedia (MMS) con las siguientes características:

Cuerpo del mensaje: photo

Fichero anexo: - uno de los siguientes :

beauty.jpg

sex.mp3

love.rm

7. También se propaga al enviarse a través de MMS a números telefónicos generados aleatoriamente.

8. En caso de recibir mensajes SMS, podría responder al remitente con un mensaje MMS con una copia del gusano como anexo.

9. El instalador del dispositivo guarda una copia del gusano en el siguiente directorio:

• \system\install\[- 7 letras aleatorias -].exe

[erwin_raptor]

por fortuna no conozco a mucha gente que maneje symbian, y si lo manejan, son usuarios avanzados que no se creen todo lo que les llega por SMS. Creo que ya habian mencionado esos sintomas no? que se acaba tu saldo enviando mensajes.

Pienso que los virus son cosas muy sorprendentes (se requieren conocimientos muy avanzados para echar a jalar un troyano, gusano o virus), aunque siempre los que los probamos somos todos los demas, y regularmente voluntariamente a fuerzas.

Lo bueno es que solo son archivos que se borran y no pasa a mayores.
Infecta a toda la plataforma Symbian? o solo algunas versiones en especial?

Gracias por la Info.

[Omega]

thanks kuza por el pitazo , hay que tener cuidado, en el caso de que ya alguien se haya infectado, que administrador de ficheros recomiendas instalar?

Saludos.

[kuzanagui]

El FExplore y el X-plore dan muy buenos resultados.

Desafortunadamente afecta a casi toda la plataforma S60 creo que la 9.1 y 9.2 quedan excluidos ya que no hay forma de que un archivo SIS que funciona en symbian 6 y 7 sea compatible con symbian 9.

Aunque no debemos confiarnos. En si no es un virus si no una aplicación que manda MMS's para enviar una copia de si mismo, osea un WORM y solo hace eso, gastarse tu saldo.