Skulls.D - újabb mobilvírust észleltek
Geza Papp, 2005. január 4. 20:28
Az F-Secure által ma észlelt Skulls.D egy kifejezetten rosszindulatú SIS fájl (Flash_1.1_Full_DotSiS.sis) trójai, ami úgy viselkedik, mintha egy Macromedia Flash játék lenne a Symbian operációs rendszert használó Series 60 mobiltelefonokon.
A rendszerre a Skulls.D egy - Flash_1.1_Full_DotSiS.sis nevű - SIS állományként települ. Ennek során kicseréli a system ROM azon binárisait, melyek kapcsolatban állnak az uninstall. alkalmazásokkal és a bluetooth rendszer irányításával. Emellett a Skull.D dropper tulajdonságát kihasználva "elhelyezi" a rendszerre a SymbOS/Cabir.M férget és más alkalmazásokat, melyek akadályozzák vagy megbénítják a fájlmenedzsert, ill. megpróbálják hatástalanítani az F-Secure Mobil Anti-Vírust. Eközben a telefon kijelzőjén egy animált koponya, "flash show" jelenik meg.
A mai napon észlelt Skulls.D sok mindenben különbözik elődeitől.
A legfontosabb talán az, hogy három "ponton támadja a rendszert", mint a fertőzés folyamatnál már jeleztem.
A Skull.D SIS állomány, a Flash_1.1_Full_DotSiS.sis a telefon fertőzése során szintén eltér elődeitől abban, hogy aránylag kevés rendszer folyamatot fertőz meg, hanem a fertőzés - fájlok lecserélése formájában - a memóriára összpontosul. A memóriafájlokat saját másolataira cseréli le - ezáltal több folyamatot, alkalmazást, "tool"-t" közvetve képes irányítani, esetleg lebénítani.
A Skulls.D próbálja megbénítani F-Secure Mobil Anti-Vírust, azonban az Anti-Vírus képes arra, hogy érzékeljen minden olyan állományt, ami Cabir vírust tartalmaz, így az ún. generikus észleléssel a Skulls sem marad rejtve a Cabir.M tartalma miatt.
Ez esetben tehát az Anti-Vírus program nem a károkozó közvetlen kódját ismeri fel, hanem az ún. "generic detection" ("faji észlelés") alkalmazással annak általános jellegzetességeit, esetünkben a Cabir.Gen. állományt. Így minden olyan SIS fájlt semlegesít, amelyikben e tulajdonságokat felismeri - függetlenül a károkozó variánstól. Ez akkor működik tökéletesen, ha az Anti-Vírus program "real time" (valós idejű ellenőrzés) módban fut. Ez az oka annak, hogy a Skulls.D felismerhető adatbázis frissítés nélkül.
A SymbOS/Cabir.M nem aktiválódik automatikusan, csak akkor, ha a fertőzött rendszert újraindítják. Ekkor függetlenül attól, hogy a készülék tulajdonosa milyen alkalmazást akar használni, a kijelzőn a háttérben a koponya "flash animáció" állandóan látható.
A mai napon észlelt Skulls.D sok mindenben különbözik elődeitől.
A legfontosabb talán az, hogy három "ponton támadja a rendszert", mint a fertőzés folyamatnál már jeleztem.
A Skull.D SIS állomány, a Flash_1.1_Full_DotSiS.sis a telefon fertőzése során szintén eltér elődeitől abban, hogy aránylag kevés rendszer folyamatot fertőz meg, hanem a fertőzés - fájlok lecserélése formájában - a memóriára összpontosul. A memóriafájlokat saját másolataira cseréli le - ezáltal több folyamatot, alkalmazást, "tool"-t" közvetve képes irányítani, esetleg lebénítani.
A Skulls.D próbálja megbénítani F-Secure Mobil Anti-Vírust, azonban az Anti-Vírus képes arra, hogy érzékeljen minden olyan állományt, ami Cabir vírust tartalmaz, így az ún. generikus észleléssel a Skulls sem marad rejtve a Cabir.M tartalma miatt.
Ez esetben tehát az Anti-Vírus program nem a károkozó közvetlen kódját ismeri fel, hanem az ún. "generic detection" ("faji észlelés") alkalmazással annak általános jellegzetességeit, esetünkben a Cabir.Gen. állományt. Így minden olyan SIS fájlt semlegesít, amelyikben e tulajdonságokat felismeri - függetlenül a károkozó variánstól. Ez akkor működik tökéletesen, ha az Anti-Vírus program "real time" (valós idejű ellenőrzés) módban fut. Ez az oka annak, hogy a Skulls.D felismerhető adatbázis frissítés nélkül.
Ennek ellenére természetesen a készülékek fertőződhetnek - ennek legalapvetőbb oka a megfelelő védelem, Anti-Vírus alkalmazások hiánya. Úgy vélem, hogy a Skulls.D trójai víruskereső által történő észlelése tipikus példája annak a folyamatnak, ami napjainkban az "antivírusfronton" zajlik. A számtalan variáns, minor variáns késztette a fejlesztőket arra, hogy az alkalmazásaik a víruskód felismerése mellett képesek legyenek a generic detectionra, az ún. "faji észlelésre". Ez esetben az alkalmazások valós idejű keresés során a "genericumot", az "alapot, a vírusfajta jellegzetességet" ismerik fel, az XYZ. Gen. állományt. Így sokkal hatékonyabb védelmet nyújtanak azoknak a készülékeknek, rendszereknek, melyeken futnak.
A SymbOS/Cabir.M nem aktiválódik automatikusan, csak akkor, ha a fertőzött rendszert újraindítják. Ekkor függetlenül attól, hogy a készülék tulajdonosa milyen alkalmazást akar használni, a kijelzőn a háttérben a koponya "flash animáció" állandóan látható.
Papp Geza dr
Networksecurity and Virusanalyst
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Hypponen Budapesten: F-Secure Client Security
- Bűnözői célkeresztben a közösségépítő oldalak
- Elérhető az F-Secure Internet Security 2007 csomagja
- Vírusvilágtérkép az F-Secure-tól
- F-Secure vírusvédelem Windows Mobile 5.0 operációs rendszerre
- Rohamosan terjed a Nyxem.E vírus, és havonta egyszer pusztít
- 20 éves a számítógépes vírus
- Díjnyertes F-Secure anti-vírus szoftver
- Béta MSN Messengernek álcázza magát a vírus
- 40 ezer új vírus