Prim Hírek

A rendszerre a Skulls.D egy - Flash_1.1_Full_DotSiS.sis nevű - SIS állományként települ. Ennek során kicseréli a system ROM azon binárisait, melyek kapcsolatban állnak az uninstall. alkalmazásokkal és a bluetooth rendszer irányításával. Emellett a Skull.D dropper tulajdonságát kihasználva "elhelyezi" a rendszerre a SymbOS/Cabir.M férget és más alkalmazásokat, melyek akadályozzák vagy megbénítják a fájlmenedzsert, ill. megpróbálják hatástalanítani az F-Secure Mobil Anti-Vírust. Eközben a telefon kijelzőjén egy animált koponya, "flash show" jelenik meg.

A mai napon észlelt Skulls.D sok mindenben különbözik elődeitől.

A legfontosabb talán az, hogy három "ponton támadja a rendszert", mint a fertőzés folyamatnál már jeleztem.

A Skull.D SIS állomány, a Flash_1.1_Full_DotSiS.sis a telefon fertőzése során szintén eltér elődeitől abban, hogy aránylag kevés rendszer folyamatot fertőz meg, hanem a fertőzés - fájlok lecserélése formájában - a memóriára összpontosul. A memóriafájlokat saját másolataira cseréli le - ezáltal több folyamatot, alkalmazást, "tool"-t" közvetve képes irányítani, esetleg lebénítani.

A Skulls.D próbálja megbénítani F-Secure Mobil Anti-Vírust, azonban az Anti-Vírus képes arra, hogy érzékeljen minden olyan állományt, ami Cabir vírust tartalmaz, így az ún. generikus észleléssel a Skulls sem marad rejtve a Cabir.M tartalma miatt.

Ez esetben tehát az Anti-Vírus program nem a károkozó közvetlen kódját ismeri fel, hanem az ún. "generic detection" ("faji észlelés") alkalmazással annak általános jellegzetességeit, esetünkben a Cabir.Gen. állományt. Így minden olyan SIS fájlt semlegesít, amelyikben e tulajdonságokat felismeri - függetlenül a károkozó variánstól. Ez akkor működik tökéletesen, ha az Anti-Vírus program "real time" (valós idejű ellenőrzés) módban fut. Ez az oka annak, hogy a Skulls.D felismerhető adatbázis frissítés nélkül.

Ennek ellenére természetesen a készülékek fertőződhetnek - ennek legalapvetőbb oka a megfelelő védelem, Anti-Vírus alkalmazások hiánya. Úgy vélem, hogy a Skulls.D trójai víruskereső által történő észlelése tipikus példája annak a folyamatnak, ami napjainkban az "antivírusfronton" zajlik. A számtalan variáns, minor variáns késztette a fejlesztőket arra, hogy az alkalmazásaik a víruskód felismerése mellett képesek legyenek a generic detectionra, az ún. "faji észlelésre". Ez esetben az alkalmazások valós idejű keresés során a "genericumot", az "alapot, a vírusfajta jellegzetességet" ismerik fel, az XYZ. Gen. állományt. Így sokkal hatékonyabb védelmet nyújtanak azoknak a készülékeknek, rendszereknek, melyeken futnak.

A SymbOS/Cabir.M nem aktiválódik automatikusan, csak akkor, ha a fertőzött rendszert újraindítják. Ekkor függetlenül attól, hogy a készülék tulajdonosa milyen alkalmazást akar használni, a kijelzőn a háttérben a koponya "flash animáció" állandóan látható.