Nombre: Commwarrior.C

Nombre NOD32: SymbOS/CommWarrior.C

Tipo: Gusano de dispositivo PDA

Alias: Comwarrior, Commwarrior.C, CWOUTCAST,

SymbOS/Commwarrior.C, Symb/Comwar-C

Fecha: 17/oct/05

Plataforma: SymbOS (EPOC), Nokia Series 60

Tamaño: variable

Este gusano puede infectar celulares que ejecuten el sistema
operativo Symbian OS (Nokia, etc.).

Puede ser descargado de diferentes sitios de Internet, dentro de un archivo ZIP conteniendo el instalador con extensión
.SIS (la extensión .SIS es utilizada por Symbian para las
instalaciones de programas y aplicaciones).

Uno de los nombres con que este gusano se presenta es el
siguiente (simula ser una versión pirata de la utilidad
Symbian Commander):
SymCommander_1_06.sis………….
Puede propagarse por bluetooth, utilizando nombres de
archivos al azar (bluetooth es la norma que posibilita la
conexión inalámbrica de corto alcance entre computadoras de

escritorio y portátiles, agendas digitales personales,
teléfonos móviles y otros dispositivos).

Intenta enviarse además, mediante mensajes de texto cortos
(SMS), y mensajes multimedia (MMS, Multimedia Messaging
Service). Este último permite el envío de texto, imagen y/o
video a los teléfonos de otros usuarios.

Esta versión también intenta propagarse a través de tarjetas
de memoria MultiMediaCard (MMC memory card).

En algunos modelos de teléfonos, el gusano cambia el logo de
la operadora telefónica, por uno propio con el siguiente
texto:

Infected by Commwarrior

El gusano puede abrir una página Web con el navegador del
celular, conteniendo el siguiente mensaje:

CommWarrior mobile virus
Made in Russia

CommWarrior virus
provide automatic
real-time protection against
harmful Anti-Virus content.

If you have no problems,
install CommWarrior and
life will be more interesting!

Para propagarse por bluetooth, utiliza un archivo con
extensión .SIS y nombre al azar. Este archivo contiene el
ejecutable del propio gusano con el siguiente nombre:

cwoutcast.exe

El archivo SIS es autoejecutable (ejecuta cwoutcast.exe).

Cuando se acepta la instalación, el gusano se copia en la
siguiente ubicación:

c:systemprogramscwoutcast.exe

Y se crean los siguientes archivos:

c:systemappssymcommandercwoutcast.exe

c:systemappssymcommandersymcommander.rsc

c:systemappssymcommandersymcommander.aif

c:systemappssymcommandersymcommander.app

También crea las siguientes copias en C: y en todas las
tarjetas MMC detectadas:

systemootdatalibcwoutcast.exe

system
ecogscworec.mdl

Para propagarse por MMS, primero envía mensajes a todos los
teléfonos móviles de la agenda. El gusano busca
constantemente nuevos teléfonos para infectar.

También intenta responder automáticamente a cualquier MMS o
SMS recibido, enviando el archivo SIS infectado.

Finalmente, si el usuario envía algún mensaje MMS,
inmediatamente después el gusano intentará enviarse a si
mismo al mismo número.

El gusano detecta cualquier tarjeta MMC insertada en el
móvil, y se copia en dichas tarjetas. Cuando estas tarjetas
son insertadas en otros celulares, se produce la infección de

los mismos.

Mientras esté ejecutándose, el gusano intentará ocultarse, no
apareciendo en la lista de aplicaciones. También utiliza
otras técnicas para autoprotegerse, de tal modo que su

eliminación manual puede ser dificultosa.

Su código contiene el siguiente mensaje:

CommWarrior Outcast: The dark side of Symbian Force.

CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r

CommWarrior is freeware product. You may freely

distribute it in it