Cabir, le virus qui attaque les téléphones portables
Découvert le 14 juin dernier par l'éditeur de l'antivirus Kaspersky, EPOC/Carib, de son nom officiel, est le premier virus à s'attaquer aux téléphones portables.
A qui il s'attaque. Après de nombreuses fausses alertes sur le sujet, l'éditeur russe de l'antivirus Kaspersky a identifié. Cabir, le premier virus pour téléphone portable. Cabir est un virus de type "ver" qui vise les mobiles sophistiqués utilisant le système d'exploitation Symbian OS. Parmi les principaux modèles concernés: les Nokia série 60, le Panasonic X700 ainsi que les Siemens SX1 et Sendo X.
Comment il se propage. Cabir se propage en repérant les téléphones dotés de la technologie sans fil Bluetooth. Le mode Bluetooth doit être activé et l'option "découvert" enclenchée pour faire l'objet d'une intrusion. La contamination est possible si l'on passe très près d'un téléphone lui-même infecté. Le ver prend alors la forme d'un fichier dénommé CARIBE.SIS (15 ko), apparaissant dans le menu d'installation avec les indications suivantes : "Installation security warning. Unable to verify supplier. Continue anyway?" La contamination n'est effective qu'après exécution du fichier.
Ses effets. Après l'exécution du fichier inconnu, le ver s'installe dans la boîte de réception sous la forme : Caribe-VZ/29a. Le mot "Caribe" s'affiche ensuite à l'écran. Le ver modifie le système afin d'être exécuté à chaque démarrage du mobile puis essaie de se propager aux périphériques présents dans le périmètre Bluetooth du téléphone infecté. Le ver n'a vraisemblablement aucun effet nocif, si ce n'est que l'activation intensive du Bluetooth vide rapidement la batterie du téléphone.
Comment s'en débarrasser et se protéger. Il suffit simplement de ne pas exécuter le fichier inconnu. Le ver revêt de multiples appellations selon les éditeurs d'antivirus: Worm.Symbian.Cabir.a (KAV), Symbian/Cabir (Mc Afee), Symb/Cabir-A (Sophos), EPOC.Cabir (Symantec), EPOC_CABIR.A (Trend Micro), EPOC/Cabir.A. Après la contamination, il ne suffira pas d'éradiquer le message contenu dans la boîte de réception pour supprimer le ver puisque plusieurs fichiers sont créés dans de nombreux répertoires du système d'exploitation. Les utilisateurs ne possédant pas d'antivirus (l'antivirus pour Symbian 60 édité par F-Secure détecte Cabir) peuvent supprimer manuellement les fichiers suivants. Cette manipulation nécessitant l'installation au préalable d'un gestionnaire de fichiers sur l'appareil :
c:\system\apps\caribe\caribe.rsc c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\recogs\flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\caribe.app c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc
Et la suite... Ce ver est ce qu'on appelle un "proof of concept". Son objectif n'est pas de contaminer un grand nombre de téléphones mobiles mais plutôt de faire parler de lui dans les médias. Le programme semble avoir été créer par 29a (plus particulièrement par un programmateur se cachant sous le pseudo Vallez), un groupe international de créateurs de virus, déjà auteur fin mai de Rugrat, le premier virus pour Windows 64 bits. Ce genre de virus, généralement non nuisible, appelé également "exploit" vise à démontrer l'existence d'une faille exploitable dans un système informatique.
Le virus, se propageant dans un cercle encore fermé, les laboratoires Kaspersky laisse entendre qu'il n'y aura pas de contamination à grande échelle, d'autant que le mode de propagation reste encore très limité. Cependant, tout laisse à croire qu'une nouvelle brèche s'est ouverte dans le domaine des téléphones portables. Après les navigateurs, on pourrait voir apparaître sur le marché, les antivirus pour mobiles.