怎样给手机杀毒

Symbian平台操作系统手机病毒特征和查杀方法详细评介及扫描清除杀毒软件工具下载

作者：admin文章来源：百科原创点击数：654更新时间：2008-10-6目前发现

的Symbian平台操作系统的手机病毒主要有下列几种：

Commwarrior.C

Cardtrap.M

.Romride.D

.RommWar.B

RommWar.C

Doomboot.S

.RommWar.A

Appdisabler.K

Skulls.M

Skulls.N

.Skulls.Q

这里就这几种手机病毒的发作特征传播途径和杀毒方法一一做个详细评介：

先来介绍三款手机病毒扫描清除软件工具：点击下面链接下载

手机病毒扫描清除实时监控软件NetQinV2forsymbian

手机病毒扫描清除实时监控软件工具NetQinCleaner

网秦手机彩信病毒Commwarrior.C专杀工具软件nq_cwcML

一，Commwarrior.C

类型：Worm平台：Symbian发现时间：2005-10-13

别名：SymbOS/Commwarrior.C,Comwarrior,CWOUTCAST

源自：俄罗斯

概述：Commwarrior.C是一个与Commwarrior.B相似的蠕虫，但也有新的功能。

Commwarrior.C能够通过蓝牙、MMS和插入被感染手机的MMC卡传播。

当Commwarrior.C感染一个手机时，它试图将操作者的标识改为自己的。在Nokia6600上

已检测到这种行为，标识被换成"InfectedbyCommwarrior"。

当用户回复新的SMS或MMS信息时，Commwarrior.C将使用手机浏览器启动一个网页。

Commwarrior搜索其他通过蓝牙可达的手机，使用蓝牙传播向找到的所有手机发送被感染

的SIS文件。

Comwarrior发送的SIS文件被随机命名，因此无法警告用户避免任何已知文件名字的文件。

除了通过蓝牙传播，Comwarrior.C也通过MMS信息传播。Commwarrior.C基于用户发信

习惯发送被感染的MMS消息，以使所有发送到被感染手机的信息都得到感染的MMS作

为响应。而且由感染手机的用户发送的SMS消息将跟随感染的MMS消息。

由Commwarrior.C发送的MMS消息中的文字包含存储在手机收信箱的文字，因此

Commwarrior.C发送的消息是接收用户可能期望从发送方收到的文字。

MMS消息是能够在Symbian手机和其他支持MMS信息的手机之间发送的多媒体信息。

正如名字所示，MMS消息设计为只包含媒体内容，如图片、音频或视频，但它们能够包

含一切，包括被感染的Symbian安装文件。

Commwarrior.C也通过MMC卡传播，将其自身复制到任何插入手机的卡中。如果这种卡被

插入另一个手机，当卡插入时，Commwarrior.C将自动启动。

Comwarrior包含以下文字：

CommWarriorOutcast:ThedarksideofSymbianForce.

ght(c)2005bye10d0r

freelydistributeit

init'soriginalunmodifiedform.

WithbestregardsfromRussia.

OTMOP03KAMHET!

文字"OTMOP03KAMHET!"是俄语，大意是"不要脑死亡"。

Commwarrior.C尚未完全分析，如得到更多确认的细节描述将更新。

详细描述：

感染

ComwarriorSIS文件安装时，安装者将蠕虫可执行文件复制到

c:。

执行时，将自己复制到并创建

到C：盘和找到的所有MMC卡。

与Commwarrior.A和.B不同，Commwarrior.C的SIS文件不包括MDL识别器，识别器

部分包含在可执行的蠕虫中。

复制自身后，Commwarrior.C在执行的文件夹内重建SIS文件。

隐藏自身进程Commwarrior.C试图通过将进程类型设定为系统进程来隐藏它的进程，以使

其在标准应用程序列表内不可见。但是如果用户使用一个名为CWOUTCAST的第三方进程

列表工具，Commwarrior.C进程是可见的。

通过蓝牙复制

Comwarrior通过蓝牙在随机命名的SIS文件中复制，SIS文件包括蠕虫的主要可执行文件

。

SIS文件包含自启动设定，会在SIS文件被安装后自动执行。

Comwarrior蠕虫被激活时，将开始寻找其他蓝牙手机，并试图向每个目标手机发送一次自

身复制品。

如果目标手机离开范围或拒绝文件传输，commwarrior将搜索另一个手机。

Comwarrior的复制机制不同于Cabir。一旦一个手机在范围内，Cabir蠕虫会锁定它，在

失去连接或持续锁定后则取决于变种是否查看另一个变种。

Comwarrior蠕虫会持续寻找新的目标，因此它能够连接范围的所有手机。

通过MMS复制

Commwarrior.C使用三种策略通过MMS消息传播。

第一种当Commwarrior.C启动时，它开始搜索手机地址簿，向所有标记为手机的电话号码

发送MMS消息。

Commwarrior.C监听所有到达的MMS或SMS消息，向这些消息回复包含Commwarrior.C

SIS文件的MMS消息。

蠕虫也监听所有由用户发送的SMS消息，在SMS消息之后向相同号码发送MMS消息。

复制到MMC卡

Commwarrior.C监听所有插入感染手机的MMC卡，并向其复制自身。感染的卡包含

Commwarrior可执行文件和bootstrap部分，以使另一个手机如果插入感染的卡也会感染。

保护自身不被杀毒

Commwarrior.C保护自身免受使用文件管理器的手动杀毒。如果用户试图删除Commwarrior

可执行文件或bootstrap部分，Commwarrior.C的运行进程将在手机中重新创建它们。

Commwarrior.C也设定保护它自己的进程，以使进程不能被轻易杀死。

二，Cardtrap.M

类型：Trojan平台：Symbian发现时间：2005-12-08

别名：SymbOS/Cardtrap.M

概述：Cardtrap.M病毒是一款Symbian的木马程序。该木马将损坏几个手机内置应用程

序及手机杀毒软件。并且向存储卡拷贝了几个PC的蠕虫和木马。

安装到内存卡的Windows病毒包括图标、批处理文件和快捷链接，试图欺骗用户在想要查

看卡的内容时执行恶意文件。

复制和传播方式：

无

清除方法：

建议您不要接收陌生人发送的蓝牙消息，不要安装不知用途或来源不可靠的应用程序，因为

这些途径都极有可能使您的手机中毒。如果你能一不小心安装了含有恶意代码的程序，也不

必慌张，按照如下步骤，就可以清除Cardtrap.M病毒及其变种。

安装netqin杀毒软件

执行全盘扫描：

扫描出来的病毒，执行删除操作。如果有未成功提示也无妨：

除完毕后，退出netqin杀毒软件。并按照软件提示，重新启动手机：

机后重新执行netqin杀毒软件，扫描，并删除残留的病毒（可能没有）：

程序管理器已经可以正常使用，进入程序管理器，删除安装的病毒文件。

三，Romride.D

类型：Trojan平台：Symbian发现时间：2006-06-01

概述：SymbOS/Romride.D是一个病毒SIS木马，向手机安装已损坏的系统配置组件，根据

ROM软件版本的不同会引起不同的行为，包括重启失败到没有任何明显的现象。在安装病

毒软件Romride.D的过程中，会显示诺基亚的logo，并播放一段含有一个笑话的音频。安装

Romride.D后，手机会自动重启。

杀毒：

当手机已重启，但又启动失败时的方法

注意！这种方法将删除手机上的所有数据，包括日历和电话号码

1.关机

2.持续按住以下三个键"answercall"+"*"+"3"

3.持续按住三个键，开机

4.取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框

5.你的手机现在被格式化，可以重新使用

详细描述：

更多详细信息请查看SymbOS/Romride.A

四，RommWar.B

类型：Trojan平台：Symbian发现时间：2006-05-09

别名：ROMSilly.A

概述：SymbOS/RommWar.B是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手

机重启，并使手机重启后开机失败。

杀毒：

注意！这种方法将删除手机上的所有数据，包括日历和电话号码

1.关机

2.持续按住以下三个键"answercall"+"*"+"3"

3.持续按住三个键，开机

4.取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框

5.你的手机现在被格式化，可以重新使用

详细描述：

安装到手机

SymbOS/RommWar.B向C盘安装已损坏的系统二进制代码作为引导组件。手机上ROM软件

的版本不同，导致的结果不同。已被证实的现象包括重启手机，并使手机重启后开机失败。

危害

安装一个以损坏的系统二进制代码作为一个引导组件。

五，RommWar.C

类型：Trojan平台：Symbian发现时间：2006-05-09

别名：ROMSilly.B

概述：SymbOS/RommWar.C是一个恶意的SIS木马，通过安装已损坏的系统组件，导致手

机重启，并使手机重启后开机失败。

杀毒：

注意！这种方法将删除手机上的所有数据，包括日历和电话号码

1.关机

2.持续按住以下三个键"answercall"+"*"+"3"

3.持续按住三个键，开机

4.取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框

5.你的手机现在被格式化，可以重新使用

详细描述：

安装到手机

SymbOS/RommWar.C向C盘安装已损坏的系统二进制代码作为引导组件。手机上ROM软件

的版本不同，导致的结果不同。已被证实的现象包括重启手机，并使手机重启后开机失败。

危害

安装一个以损坏的系统二进制代码作为一个引导组件。

六，Doomboot.S

类型：Trojan平台：Symbian发现时间：2006-03-16

别名：Singlejump.K

概述：ot.S是一个木马，向中毒手机中安装已损坏的文件，以阻止手机正

常重启。

详细描述：

传播

以的形式。

危害

当用户点击SIS文件的时候，手机的安装程序将显示一对话框，提示用户此应用程序来源

不稳定，可能会产生问题。如果用户点击yes，手机提示用户安装如下程序：

Install

Security–Application

在安装过程中，同样显示如下信息：

Security-ApplicationForSeries60Copyright?htsrerved***0ID500

TEAM***

当ot.S执行以后，将进行如下操作：

1.释放如下文件：

.(ock.A)

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER](ol.A)

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]()

[DRIVELETTER]

[DRIVELETTER]SystemappsMosquitosMosquitos_

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]()

[DRIVELETTER]()

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]SystemappsProfimailDataPM_

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER]

[DRIVELETTER](Acopy

.A)

[DRIVELETTER]

[DRIVELETTER](Acopyof

.A)

[DRIVELETTER](Acopyof

.A)

C:

C:(.A)

C:(ont.A)

C:(ler.A)

C:(.C)

C:(rrior.A)

C:(.A)

注意：如果手机重启，这些文件将被释放并使手机功能异常。

2.安装器将创建如下文件：

七，RommWar.A

类型：Trojan平台：Symbian发现时间：2006-04-04

概述：SymbOS/RommWar.A是一个恶意的SIS木马，会向手机安装一个无法使用的系统组

件，根据手机中ROM软件版本的不同，会引起不同的行为。产生的影响包括使手机死机并

要求重启，使手机上的电源按键失灵，或者有时并没有什么明显的影响。

杀毒：

手动杀毒

根据SymbOS/RommWar.A病毒产生的影响，可以通过应用程序管理器删除功能障碍的系统

组件，并卸载包含SymbOS/RommWar.A病毒的SIS文件。

手机不能启动情况下的杀毒

注意！这种方法将删除手机上的所有数据，包括日历和电话号码：

•关机

•持续按住以下3个按键："answercall"+"*"+"3"

•持续按下这3个键并开机

•取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框

•您的手机已被格式化并可以重新使用。

详细描述：

安装到系统

SymbOS/RommWar.A安装一段无法使用的系统二进制代码到手机的C盘和运行此二进制

代码的引导组件。根据手机中ROM软件版本不同，产生的影响会不同,包括使手机死机

并要求重启，使手机上的电源按键失灵，或者有时根本没有什么明显的影响。

危害

安装一个已毁坏的系统二进制码和一个引导组件。

在手机感染了SymbOS/RommWar.A病毒之后，出现死机的情况时，会显示一个与上图类似

的通知消息。当此通知消息被显示之后，手机上唯一可用的功能是关机选项。

•持续按下这3个键并开机

•取决于型号，或出现文字"formatting"，或询问初始手机设定的启动对话框

•您的手机已被格式化并可以重新使用。

详细描述：

安装到系统

SymbOS/RommWar.A安装一段无法使用的系统二进制代码到手机的C盘和运行此二进制

代码的引导组件。根据手机中ROM软件版本不同，产生的影响会不同,包括使手机死机

并要求重启，使手机上的电源按键失灵，或者有时根本没有什么明显的影响。

危害

安装一个已毁坏的系统二进制码和一个引导组件。

在手机感染了SymbOS/RommWar.A病毒之后，出现死机的情况时，会显示一个与上图类似

的通知消息。当此通知消息被显示之后，手机上唯一可用的功能是关机选项。

八，Appdisabler.K

类型：Trojan平台：Symbian发现时间：2006-03-06

概述：Appdisabler.K是一个恶意SIS文件木马，试图使内置SymbianOS及第三方应用程

序无法使用。

详细描述：

传播

以形式

危害

使以下应用程序无法使用：

Appinst

Notepad

NpdViewer

九，

类型：Trojan平台：Symbian发现时间：2006-04-18

概述：是损坏Symbian系统应用程序的SIS文件木马，试图损坏某些第三方

应用程序并将Windows蠕虫安装到存储卡。

详细描述：

传播

以“”的形式传播。

安装到手机

试图通过向系统内存安装一些已损坏的文件来破坏关键的系统应用程序和一些

第三方应用程序。

安装来自以下Symbian病毒的文件：

SymbOS/Blankfont.A

SymbOS/Singlejump.A

安装到MMC卡

向手机的MMC卡安装W32/!p2p病毒。此蠕虫病毒安装后带有

文件名、图标和快捷方式连接，试图诱骗用户来点击它们。

十，Skulls.M

类型：Trojan平台：Symbian发现时间：2005-06-22

别名：SymbOS/Skulls.M

概述：Skulls.M是SymbOS/Skulls.A木马的一个变种，与Skulls.A有相似的功能，但使用

不同的文件。

Skulls.M是一个恶意SIS文件木马，用无法使用的版本替换系统应用程序，使可以用于杀

毒的第三方应用程序，如FExplorer和SystemExplorer无法使用。

像Skulls.A一样，Skulls.M用自己的骷髅图标替换应用程序图标，以致每个被替换的应用

程序标题都是"Khalid"。

如果安装了Skulls.M，只有手机呼叫和应答可以使用。所有需要某个系统应用程序的功能，

如SMS和MMS信息、网页浏览和照相，都无法使用。

如果你已经安装Skulls.M，最重要的是不要重启手机。

详细描述：

安装到系统

像Skulls.A一样，Skulls.M是一个SIS文件，安装关键的系统ROM二进制文件和Cabir.F

蠕虫到C：盘。系统ROM文件以与ROM驱动器中完全相同的名字和位置安装。

Symbian操作系统有一个特征，导致任意C：盘中的文件以相同的名字和位置替换ROM驱

动器中的文件。

传播

以形式

危害

用无法使用的版本替换内置和第三方应用程序。

十一，Skulls.N

类型：Trojan平台：Symbian发现时间：2005-09-16

别名：SymbOS/Skulls.N

概述：Skulls.N是文件木马的一个编辑版本，当被安装到手机上时，它使内置

应用程序和第三方应用程序无法使用。

更多细节请参考Skulls.D的描述。

十二，Skulls.Q

类型：Trojan平台：Symbian发现时间：2005-09-27

别名：SymbOS/Skulls.Q

概述：Skulls.Q是之前一些Skulls变种的结合体。Skulls.Q包含其他变种Skulls.D和

Skulls.N的部分文件。

Skulls.Q也向手机释放SymbOS/Commwarrior.B和一些Cabir变种，以及

SymbOS/Doomboot.A木马的部分文件。Doomboot文件被释放到使其无法影响系统的文件

夹内，因此即使手机感染了Skulls.Q仍然可以正常启动。Skulls.Q也包含

SymbOS/Onehop.A的蓝牙发送部分，但被安装的这部分不能自动启动而且用户不能执行它。

详细描述：

传播

以FireStorm_English_PATCH_by_形式

十三，Skulls.F

类型：Trojan平台：Symbian发现时间：2005-03-22

别名：SymbOS/Skulls.F

概述：Skulls.F是文件木马的一个编辑版本，它包含Cabir蠕虫的一些变种，

以及Locknut.B木马的一些拷贝。

Skulls.F仍在分析中，详细信息将在近期提供。

详细描述：

传播

以和形式

危害

用无法使用的版本替换内置和第三方应用程序，安装Cabir蠕虫变种、Locknut.B木马，

并开启显示闪烁骷髅的图像。

十四，Skulls.H

类型：Trojan平台：Symbian发现时间：2005-03-29

别名：SymbOS/Skulls.H

概述：Skulls.H是文件木马的一个编辑版本，它包含Cabir蠕虫的一些变种，

和Locknut.B木马的一些拷贝。

详细描述：

传播

以和形式

危害

用无法使用的版本替换内置和第三方应用程序，安装Cabir蠕虫变种、Locknut.B木马，

并开启显示闪烁骷髅的图像。

十五，Skulls.L

类型：Trojan平台：Symbian发现时间：2005-06-09

别名：SymbOS/Skulls.L

概述：Skulls.L是SymbOS/Skulls.C木马的一个变种。木马的组成文件与Skulls.C几乎一

致。.Skulls.L和Skulls.C的主要区别是Skulls.L伪装成盗版F-Secure手机杀毒软件。

请注意虽然Skulls.L原始文件名就是F-Secure手机杀毒软件，Skulls.L不包含可以使用的

盗版手机杀毒软件。Skulls.L实际包含与F-Secure手机杀毒软件同名的文件，但这些文件

是真正文件的截短版本。

Skulls.L是一个恶意SIS文件木马，用无法使用的版本替换系统应用程序，向手机释放

SymbOS/Cabir.F和Cabir.G蠕虫，并使可以用于杀毒的第三方应用程序，如FExplorer和

EFileman无法使用。

已经检测到Skulls.L释放的Cabir.F和Cabir.G蠕虫。

Skulls.L通过将F-Secure手机杀毒软件文件替换为无法使用的版本，以使其无法使用。但是

因为F-Secure手机杀毒软件能够智能检测Skulls.L。杀毒软件会检测感染的SIS文件，阻

止其安装。只要杀毒软件处于实时扫描模式就可以。

Skulls.L释放的Cabir.F和Cabir.G不会自动激活，也不会在重启时激活。释放的Cabir蠕

虫激活的唯一方式是如果用户点击释放的Cabir文件的图标运行。

安装Skulls.L时显示以下信息：

"F-SecureAntivirusprotectyouagainstthevirus.

Anddon`tforgettoupdatethis!"

像Skulls.A一样，Skulls.L用自己的骷髅图标替换应用程序图标，以致每个替换应用程序

都有标题"Skulls"。

如果安装了Skulls.L，只有手机呼叫和应答可以使用。所有需要某个系统应用程序的功能，

如SMS和MMS信息、网页浏览和照相，都无法使用。如果你已经安装Skulls.L，最重

要的是不要重启手机。

详细描述：

安装到系统

像Skulls.A一样，Skulls.L是一个SIS文件，安装关键的系统ROM二进制文件、Cabir.F和

Cabir.G蠕虫到C：盘。系统ROM文件以与ROM驱动器中完全相同的名字和位置安装。

Symbian操作系统有一个特征，导致任意C：盘中的文件以相同的名字和位置替换ROM驱

动器中的文件。

传播

以F-cure_Antivirus_形式

危害

用无法使用的版本替换内置和第三方应用程序，安装Cabir.F和Cabir.G蠕虫。

十六，Mabir.A

类型：Worm平台：Symbian发现时间：2005-03-29

别名：SymbOS/Mabir.A

概述：Mabir是针对Symbian60系列手机的蠕虫，Mabir蠕虫能够通过蓝牙和MMS信

息传播。

当Mabir.A感染手机时，它将开始寻找其他通过蓝牙可达的手机，并向发现的手机发送感

染的SIS文件。Mabir.A发送的SIS文件总是拥有同样的文件名""。请注意虽然

Mabir.A使用的SIS文件名与原始Cabir蠕虫相同，它仍是与cabir不同的蠕虫。

除了通过蓝牙传播，Mabir.A也监听所有到达感染手机的MMS或SMS消息。并向这些

消息回复包含""的Mabir的MMS消息。

Mabir发送的MMS消息不包含任何文字信息，只有文件。MMS消息是可以在

Symbian手机和其他支持MMS信息的手机之间发送的多媒体信息。正如名字所示，设计

的MMS消息只包含媒体内容，如图片、音频或视频，但实际上它能够包含一切，包括被

感染的Symbian安装文件。

杀毒：

手机杀毒后，你可以到应用程序管理器删除留下的空文件夹，卸载Mabir.A的SIS文件

(或)

详细描述：

通过蓝牙复制

Mabir通过蓝牙在总是命名为的SIS文件中复制，SIS文件包括蠕虫的部分文件

，和。

SIS文件包含自启动设定，会在SIS文件被安装后自动执行，启动蠕虫。

当Mabir蠕虫被激活，它将开始寻找其他蓝牙手机，并向发现的第一个手机发送自身。如

果目标手机离开范围或拒绝文件传输，它仍会试图向同一个手机发送消息。

通过MMS复制

Mabir通过MMS向其它用户发送包含感染SIS文件的MMS消息来复制。MMS消息包

含文件名为的MabirSIS文件。

MMS发送由到达手机的MMS或SMS消息触发，导致Mabir将自身作为MMS消息发

送到消息来源的号码。因此Mabir作为用户发送到感染手机上的信息的回复而发送，以此

试图骗过接受者。

Mabir蠕虫在其发送的MMS消息中不使用任何文字。

感染

当MabirSIS文件安装时，安装者将蠕虫可执行文件复制到以下地址：

当执行时，复制以下文件：

并重建其SIS文件到：

重建SIS文件后，蠕虫开始寻找所有可见的蓝牙手机，并开始等待到达的SMS或MMS消

息。

十七，Pbstealer.A

类型：Trojan平台：Symbian发现时间：2005-11-21

别名：SymbOS/Pbstealer.A

概述：SymbOS/Pbstealer.A是一个运行于Symbian60系列平台的木马程序。Pbstealer.A伪

装成压缩手机联系人数据库的应用软件。Pbstealer.A并不压缩信息，而是读取联系人信息

数据库，并作为文本文件向其找到的第一个蓝牙设备发送其内容。

Pbstealer.A是一个木马，并不自行传播，用户需下载Pbstealer.A的SIS安装包才会感染。

因此当Pbstealer.A使用蓝牙发送手机电话簿数据时，这些数据只是文本，不会感染接收设

备。

详细描述：

传播

以形式

Pbstealer.A以原命名为的SIS文件形式传播，伪装成压缩手机联系人数据库

的应用软件。SIS文件包括Pbstealer.A程序文件和字符串源码，SIS文件安装时

Pbstealer.A自动启动。

危害

启动时Pbstealer.A显示文字：

Compactingyourcontact(s),step2

Pleawaitagain

untildone...

显示文字时，Pbstealer.A读取手机中所有联系人信息，并将其复制到文件

C:。建立文本文件后，Pbstealer.A寻找通过蓝牙找到的第

一个设备，并通过蓝牙发送文本。

试图通过蓝牙发送文件时，Pbstealer.A试图重复连接，以致如果用户回答不，就会马上得

到第二个连接请求。除了Pbstealer会在一分钟后放弃尝试并退出之外，这个技术与Cabir

使用的策略相似

如果目标手记的用户接收蓝牙传输，他将收到一个文本文件，包含从感染手机联系人数据库

复制的信息。

该文章转自[灵通]原文链接：

/sj/znpc/Symbian/200810/