Cabir, premier virus pour téléphone portable se propageant par réseau

La particularité de ce ver est de se propager en recherchant les téléphones accessibles par connexion Bluetooth. Il s'envoie alors au premier portable trouvé si ce dernier est en mode « découverte ». En raison de la très faible portée de ce type de connexion il faut, pour être contaminée, passer à proximité d'un téléphone lui-même contaminé.

Symptômes

Le ver apparaît dans le menu d'installation avec le texte suivant :
Installation security warning.
Unable to verify supplier.
Continue anyway?

Autrement dit le programme n'étant pas signé, on a une alerte qui demande si on confirme l'installation. Si on clique sur Yes, l'affichage demande
Install Caribe

Si on est assez naïf pour continuer à ce stade, le ver s'installe et on a dans la boîte de réceptionréception :
Caribe-VZ/29a.

Dans l'état actuel des connaissances c'est la seule manifestation du ver, et celui-ci ne semble contenir aucun code nocif. Toutefois comme il active Bluetooth à pleine puissance, il vide assez rapidement la batterie.
Le fait d'effacer le message contenu dans la boîte de réception ne supprime pas le ver car plusieurs fichiers sont créés dans divers répertoires du système d'exploitation.

D'où vient ce ver ?

La signature VZ/29a semble indiquer que ce programme a été écrit par 29a, un groupe international de créateurs de virus, et plus particulièrement par un programmeur dont le pseudo est Vallez. Ce groupe est connu comme étant l'auteur d'un certain nombre de « premières » dans le domaine des virus et spécialement de « proofs of concept » (preuves de faisabilité). On appelle ainsi tout programme, virus, « exploit », généralement non nuisible, visant à démontrer la possibilité d'exploiter une faille nouvellement découverte dans un système informatique. Le groupe 29a s'est illustré fin mai en créant le premier virus « proof of concept » pour Windows 64 bits : Rugrat.
Dépourvu apparemment de code nocif, Cabir semble bien entrer lui aussi dans la catégorie « proof of concept ». Toutefois on peut s'inquiéter de la possibilité que d'autres programmeurs arrivent à en modifier le code pour le rendre nocif.

Risque de propagation

Le mode de propagation par la fonction Bluetooth (et non par le réseau GSM) implique que la contagion n'est possible qu'à très courte distance. Par ailleurs on a vu que le système d'exploitation avertit que ce programme est d'origine inconnue. On peut donc supposer que sa propagation sera minime.

Désinfection

La désinfection à la main nécessite d'effacer plusieurs fichiers :
c:systemappscaribecaribe.rsc
c:systemappscaribecaribe.app
c:systemappscaribeflo.mdl
c:system
ecogsflo.mdl
c:systemsymbiansecuredatacaribesecuritymanagercaribe.app
c:systemsymbiansecuredatacaribesecuritymanagercaribe.rsc
c:systeminstalls caribe.sis (c'est le fichier d'infection initial).

Ceci nécessite l'installation d'un gestionnaire de fichiers sur l'appareil
Antivirus : il existe au moins un antivirus pour SymbianSymbian 60, édité par F-Secure. Il reconnaît Cabir.
Après les navigateursnavigateurs pour téléphones portables ce sont donc vraisemblablement les antivirus qui devraient apparaitre sur le marché des mobilesmobiles.