Commwarrior имеет русские корни. Этот червь заражает Symbian Series 60 телефоны. Он может распространяться как через Bluetooth, так и посредствам MMS сообщений. В настоящее время существуют две версии вируса: Commwarrior.A и Commwarrior.B. Они практически идентичны. Единственное различие в том, что Commwarrior.A выбирает способ распространения в зависимости от системного времени. Commwarrior.B этого не делает. В первом часу 14 числа каждого месяца вирус перезагружает устройство.

После того, как Commwarrior заразит телефон, он начинает искать другие устройства, которые он может достать через Bluetooth и шлет им зараженные SIS файлы. В целях маскировки эти файлы имеют произвольные названия.

Помимо рассылки через Bluetooth, Commwarrior сканирует адресную книгу телефона и производит рассылку MMS сообщений со вложенными SIS файлами. MMS - это мультимедийные сообщения. Они могут содержать не только медиа контент (рисунки, видео, звуки), но и любой другой файл, включая зараженную SIS программу.

Дезинфекция

Использование антивируса для удаления червя Commwarrior

F-Secure Mobile Anti-Virus распознает и уничтожает оба варианта вируса. Если Commwarrior заразил Ваш телефон, и Вы не можете воспользоваться Bluetooth для загрузки антивируса, скачайте F-Secure Mobile Anti-Virus из сети прямо в телефон.

1. Откройте web браузер в телефоне.
2. Зайдите на сайт http://mobile.f-secure.com/.
3. Выберите ссылку "Download F-Secure Mobile Anti-Virus", а затем найдите модель своего телефона.
4. Закачайте файл на телефон, а затем откройте его.
5. Установите F-Secure Mobile Anti-Virus.
6. Найдите в менеджере приложений своего телефона Anti-Virus и запустите эту программу.
7. Активируйте антивирус и просканируйте телефон.

После очистки телефона, Вы можете удалить оставшиеся пустые каталоги. Запустите менеджер приложений и деинсталируйте SIS файл, который содержал червя.

Удаление червя вручную

Для удаления вируса вам понадобится какой-нибудь менеджер файлов.

1. Установите какой-нибудь менеджер файлов на свой телефон.
2. Разрешите просмотр системных файлов.
3. Выполните поиск на устройствах от A до Y папки \system\apps\commwarrior.
4. Удалите файлы commwarrior.exe и commrec.mdl.
5. Перейдите в каталог \system\updates\commwarrior.
6. Удалите файлы commwarrior.exe, commrec.mdl и commw.sis.
7. Перейдите в каталог \system\recogs.
8. Удалите файл commrec.mdl.

Детальное описание вируса

Распространение через bluetooth

Comwarrior распространяется через bluetooth, посылая жертвам SIS файлы с произвольным именем, содержащие выполняемый файл commwarrior.exe и компонент загрузки commrec.mdl.

После установки полученного SIS файла автоматически запускается commwarrior.exe.

когда червь Comwarrior будет активирован, он начинает искать другие bluetooth устройства и рассылает свои копии каждому найденному. Если жертва покинула радиус действия bluetooth адаптера, червь начинает поиск новой жертвы.

Механизм распространения, реализованный в Comwarrior, отличается от Cabir. Cabir заражает лишь один телефон из всех доступных. Переключение на новую жертву происходит только когда заражаемый телефон покинет радиус видимости или останется блокированным. Comwarrior стремится заразить все телефоны в радиусе досягаемости. Поэтому он распространяется намного быстрее чем Cabir.

Comwarrior.A рассылает свои копии через Bluetooth только с 08:00 до 23:59. Comwarrior.B активен постоянно.

Распространение через MMS

Червь производит рассылку MMS сообщений со вложенным зараженным файлам пользователям из адресной книги. MMS сообщения включают различный текст и файл commw.sis. В отличие от bluetooth, при распространении через MMS имя файла не меняется.

Comwarrior рассылает жертвам MMS со следующими сообщениями:

• Subject: Norton AntiVirus
  Message: Released now for mobile, install it!
• Subject: 3DGame
  Message: 3DGame from me. It is FREE !
• Subject: 3DNow!
  Message: 3DNow!(tm) mobile emulator for *GAMES*.
• Subject: Audio driver
  Message: Live3D driver with polyphonic virtual speakers!
• Subject: CheckDisk
  Message: *FREE* CheckDisk for SymbianOS released!MobiComm
• Subject: Desktop manager
  Message: Official Symbian desctop manager.
• Subject: Display driver
  Message: Real True Color mobile display driver!
• Subject: Dr.Web
  Message: New Dr.Web antivirus for Symbian OS. Try it!
• Subject: Free SEX!
  Message: Free *SEX* software for you!
• Subject: Happy Birthday!
  Message: Happy Birthday! It is present for you!
• Subject: Internet Accelerator
  Message: Internet accelerator, SSL security update #7.
• Subject: Internet Cracker
  Message: It is *EASY* to *CRACK* provider accounts!
• Subject: MS-DOS
  Message: MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
• Subject: MatrixRemover
  Message: Matrix has you. Remove matrix!
• Subject: Nokia ringtoner
  Message: Nokia RingtoneManager for all models.
• Subject: PocketPCemu
  Message: PocketPC *REAL* emulator for Symbvian OS! Nokia only.
• Subject: Porno images
  Message: Porno images collection with nice viewer!
• Subject: PowerSave Inspector
  Message: Save you battery and *MONEY*!
• Subject: Security update #12
  Message: Significant security update. See www.symbian.com
• Subject: Symbian security update
  Message: See security news at www.symbian.com
• Subject: SymbianOS update
  Message: OS service pack #1 from Symbian inc.
• Subject: Virtual SEX
  Message: Virtual SEX mobile engine from Russian hackers!
• Subject: WWW Cracker
  Message: Helps to *CRACK* WWW sites like hotmail.com
  
  

Заражение

После того, как содержащий Comwarrior SIS файл будет установлен, выполняемые файлы будут помещены в папку:

\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl

При выполнении comwarrior.exe копирует вирус в папки

\system\updates\commrec.mdl
\system\updates\commwarrior.exe
\system\updates\commw.sis

После создания файла \system\updates\commw.sis червь приступает к рассылке MMS сообщений.