Detalles técnicos

• Nombre completo del virus: Worm.SYM /Yxes.F@Otros
• Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
• Plataformas afectadas: SYM Sistema Operativo Symbian, utilizado en dispositivos móviles
• Mecanismo principal de difusión: Otros Otro mecanismo de propagación.
• Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
• Alias:
  • SymbOS/Yxes.F!tr (Fortinet)

Arriba

Propagación

Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Arriba

Infección/Efectos

Cuando Yxes.F se ejecuta, realiza las siguientes acciones:

Resto de acciones

Método de infección

SyM/Yxes.F es una variante de la familia SyM/Yxes . El gusano recopila informléfono (Información tal como el código IMEI y el IMSI) a sitios web maliciosos.

Nota: IMEI viene de inglés International Mobile Equipment Identity : Identidad Internacional de Equipo Móvil. IMSI es el acrónimo de International Mobile Subscriber Identity (Identidad Internacional del Abonado a un Móvil). A grandes rasgos son el código que identifica unívocamente el terminal móvil y la tarjeta del móvil.

Este malware es descargado generalmente de sitios web maliciosos a los que se conectan silenciosamente otras variantes de la familia SyM/Yxes.

Como otras variantes de SyM/Yxes, el malware se instala sin ningún problema en teléfonos con Symbian OS 9 (y posteriores). Usa certificados X.509 válidos generados por Symbian.

El malware crea un semáforo (llamado PbkPatchSemaphore_0x20026CAB) para asegurarse de que solo hay una instancia del virus en ejecución.

A continuación pasa todos los contactos almacenados en el telefono a un fichero llamado:

• c:\system\data\pbk.info

Un ejemplo de la información que puede contener dicho fichero es la siguiente:

 00000000 42 45 47 49 4e 3a 56 43 41 52 44 0d 0a 56 45 52 BEGIN:VCARD..VER 00000010 53 49 4f 4e 3a 32 2e 31 0d 0a 52 45 56 3a 32 30 SION:2.1..REV:20 00000020 30 39 30 37 31 33 54 30 38 33 33 30 39 5a 0d 0a 090713T083309Z.. 00000030 4e 3a 4e 6f 20 64 61 74 61 3b 41 76 20 6c 61 62 N:No data;Av lab 00000040 3b 3b 3b 0d 0a 54 45 4c 3b 43 45 4c 4c 3a 30 36 ;;;..TEL;CELL:06 00000050 xx xx xx xx xx xx xx xx 0d 0a 58 2d 43 4c 41 53 --------..X-CLAS 00000060 53 3a 70 72 69 76 61 74 65 0d 0a 45 4e 44 3a 56 S:private..END:V 00000070 43 41 52 44 0d 0a CARD.. 

Como otras variantes de SyM/Yxes, este malware intenta enviar una petición HTTP request a un sitio malicioso con el IMEI y el IMSI como parámetros:

• http://[XXXX]/PbkInfo.jsp?PhoneType=[TIPOTEL]&PhoneImei=[IMEI]&PhoneImsi=[IMSI]

...donde [IMEI] y [IMSI] son los codigos del teléfono y de la tarjeta, como se explicaba anteriormente y [TIPOTEL] es una cadena que corresponde con el modelo del teléfono, por ejemplo nokiaN95.

Hay tres grandes diferencias entre ésta y otras variantes de Yxes:

1. Esta versión no envia mensajes SMS. Solo intenta hacer conexiones HTTP
2. Esta versión no lee la carpet de entrad de mensajes SMS
3. Esta versión no escribe ni propafa un fichero sisx malicioso

Arriba

Contramedidas