Skulls.D - újabb mobilvírust észleltek

Geza Papp, 2005. január 4. 20:28
Az F-Secure által ma észlelt Skulls.D egy kifejezetten rosszindulatú SIS fájl (Flash_1.1_Full_DotSiS.sis) trójai, ami úgy viselkedik, mintha egy Macromedia Flash játék lenne a Symbian operációs rendszert használó Series 60 mobiltelefonokon.
A rendszerre a Skulls.D egy - Flash_1.1_Full_DotSiS.sis nevű - SIS állományként települ. Ennek során kicseréli a system ROM azon binárisait, melyek kapcsolatban állnak az uninstall. alkalmazásokkal és a bluetooth rendszer irányításával. Emellett a Skull.D dropper tulajdonságát kihasználva "elhelyezi" a rendszerre a SymbOS/Cabir.M férget és más alkalmazásokat, melyek akadályozzák vagy megbénítják a fájlmenedzsert, ill. megpróbálják hatástalanítani az F-Secure Mobil Anti-Vírust. Eközben a telefon kijelzőjén egy animált koponya, "flash show" jelenik meg.

A mai napon észlelt Skulls.D sok mindenben különbözik elődeitől.

A legfontosabb talán az, hogy három "ponton támadja a rendszert", mint a fertőzés folyamatnál már jeleztem.

A Skull.D SIS állomány, a Flash_1.1_Full_DotSiS.sis a telefon fertőzése során szintén eltér elődeitől abban, hogy aránylag kevés rendszer folyamatot fertőz meg, hanem a fertőzés - fájlok lecserélése formájában - a memóriára összpontosul. A memóriafájlokat saját másolataira cseréli le - ezáltal több folyamatot, alkalmazást, "tool"-t" közvetve képes irányítani, esetleg lebénítani.

A Skulls.D próbálja megbénítani F-Secure Mobil Anti-Vírust, azonban az Anti-Vírus képes arra, hogy érzékeljen minden olyan állományt, ami Cabir vírust tartalmaz, így az ún. generikus észleléssel a Skulls sem marad rejtve a Cabir.M tartalma miatt.

Ez esetben tehát az Anti-Vírus program nem a károkozó közvetlen kódját ismeri fel, hanem az ún. "generic detection" ("faji észlelés") alkalmazással annak általános jellegzetességeit, esetünkben a Cabir.Gen. állományt. Így minden olyan SIS fájlt semlegesít, amelyikben e tulajdonságokat felismeri - függetlenül a károkozó variánstól. Ez akkor működik tökéletesen, ha az Anti-Vírus program "real time" (valós idejű ellenőrzés) módban fut. Ez az oka annak, hogy a Skulls.D felismerhető adatbázis frissítés nélkül.

Ennek ellenére természetesen a készülékek fertőződhetnek - ennek legalapvetőbb oka a megfelelő védelem, Anti-Vírus alkalmazások hiánya. Úgy vélem, hogy a Skulls.D trójai víruskereső által történő észlelése tipikus példája annak a folyamatnak, ami napjainkban az "antivírusfronton" zajlik. A számtalan variáns, minor variáns késztette a fejlesztőket arra, hogy az alkalmazásaik a víruskód felismerése mellett képesek legyenek a generic detectionra, az ún. "faji észlelésre". Ez esetben az alkalmazások valós idejű keresés során a "genericumot", az "alapot, a vírusfajta jellegzetességet" ismerik fel, az XYZ. Gen. állományt. Így sokkal hatékonyabb védelmet nyújtanak azoknak a készülékeknek, rendszereknek, melyeken futnak.

A SymbOS/Cabir.M nem aktiválódik automatikusan, csak akkor, ha a fertőzött rendszert újraindítják. Ekkor függetlenül attól, hogy a készülék tulajdonosa milyen alkalmazást akar használni, a kijelzőn a háttérben a koponya "flash animáció" állandóan látható.

Papp Geza dr
Networksecurity and Virusanalyst
Kulcsszavak: mobil vírus F-Secure

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01