Neuer Virus legt Handys lahm

Wie der finnische Anti-Viren-Spezialist F-Secure bekannt gibt, grassiert auf SymbOS-Handys ein Trojaner mit Namen SymbOS/Cardblock.A, der sich als Symbian-Anwendung "InstantSis" von Biscompute ausgibt. Das Tool kopiert eigentlich Software von Handy zu Handy. Startet der Anwender den Trojaner, blockiert Cardblock.A die eingesetzte MMC Speicherkarte und löscht einige wichtige Systemdateien. Handys mit Symbian OS 7.0s oder älteren Versionen funktionieren nach einem Neustart zumindest wieder grundlegend, weil sie das Betriebssystem wiederherstellen können. Symbian OS ab Version 8.1a hingegen kann diese Dateien nicht wiederherstellen und verweigert daher fortan den Dienst.

Genaue Funktionsweise von Cardblock.A

Cardblock.A vergibt zuerst ein Passwort für den Zugriff auf die interne MMC-Speicherkarte. Das Passwort wird dabei rein zufällig generiert und kann so mit an Sicherheit grenzender Wahrscheinlichkeit nicht vom Anwender erraten werden. De facto ist ein Zugriff auf die Karte ab dem nächsten Reboot unmöglich. Anschließend löscht Cardblock.A die folgenden Verzeichnisse:

• C:\system\install
• C:\system\data
• C:\system\libs
• C:\system\mail
• C:\system\bootdata

Damit sind die meisten Daten verloren, etwa das Telefonbuch, SMS- und MMS-Nachrichten sowie Installation- und Anwendungsdaten zusätzlich installierter Software. Kein großer Trost: Mit der Schadroutine löscht sich Cardblock.A auch selbst.

Sofort- und Schutzmaßnahmen

Mobile Anti-Virus von F-Secure kann Cardblock.A erkennen und entfernen. Solange nicht neu gebootet wurde, ist die MMC-Karte noch nicht passwortgeschützt. Daher kann man in diesem Fall sämliche Daten mit der PC-Sync-Software auf einen PC kopieren und so sichern. Von dort aus können die Daten auf eine andere MMC-Karte gespeichert und dann wieder benutzt werden. Zur Zeit verbreitet sich Cardblock.A nur über die Datei instantsis.v2.1.cracked.by.binzpda.sis.