Emellett a Skull.D dropper tulajdonságát kihasználva „elhelyezi” a rendszerre a SymbOS/Cabir.M férget és más alkalmazásokat, melyek akadályozzák vagy megbénítják a fájlmenedzsert, ill. megpróbálják hatástalanítani az F-Secure Mobil Anti-Vírust. Eközben a telefon kijelzőjén egy animált koponya, „flash show” jelenik meg.

A mai napon észlelt Skulls.D sok mindenben különbözik elődeitől.

A legfontosabb talán az, hogy három „ponton támadja a rendszert”, mint a fertőzés folyamatnál már jeleztem.

A Skull.D SIS állomány, a Flash_1.1_Full_DotSiS.sis a telefon fertőzése során szintén eltér elődeitől abban, hogy aránylag kevés rendszer folyamatot fertőz meg, hanem a fertőzés – fájlok lecserélése formájában – a memóriára összpontosul. A memóriafájlokat saját másolataira cseréli le – ezáltal több folyamatot, alkalmazást, „tool”-t” közvetve képes irányítani, esetleg lebénítani.

A Skulls.D próbálja megbénítani F-Secure Mobil Anti-Vírust, azonban az Anti-Vírus képes arra, hogy érzékeljen minden olyan állományt, ami Cabir vírust tartalmaz, így az ún. generikus észleléssel a Skulls sem marad rejtve a Cabir.M tartalma miatt.

Ez esetben tehát az Anti-Vírus program nem a károkozó közvetlen kódját ismeri fel, hanem az ún. „generic detection” („faji észlelés”) alkalmazással annak általános jellegzetességeit, esetünkben a Cabir.Gen. állományt. Így minden olyan SIS fájlt semlegesít, amelyikben e tulajdonságokat felismeri – függetlenül a károkozó variánstól. Ez akkor működik tökéletesen, ha az Anti-Vírus program „real time” (valós idejű ellenőrzés) módban fut. Ez az oka annak, hogy a Skulls.D felismerhető adatbázis frissítés nélkül.

Ennek ellenére természetesen a készülékek fertőződhetnek – ennek legalapvetőbb oka a megfelelő védelem, Anti-Vírus alkalmazások hiánya. Úgy vélem, hogy a Skulls.D trójai víruskereső által történő észlelése tipikus példája annak a folyamatnak, ami napjainkban az „antivírusfronton” zajlik. A számtalan variáns, minor variáns késztette a fejlesztőket arra, hogy az alkalmazásaik a víruskód felismerése mellett képesek legyenek a generic detectionra, az ún. „faji észlelésre”. Ez esetben az alkalmazások valós idejű keresés során a „genericumot”, az „alapot, a vírusfajta jellegzetességet” ismerik fel, az XYZ. Gen. állományt. Így sokkal hatékonyabb védelmet nyújtanak azoknak a készülékeknek, rendszereknek, melyeken futnak.

A SymbOS/Cabir.M nem aktiválódik automatikusan, csak akkor, ha a fertőzött rendszert újraindítják. Ekkor függetlenül attól, hogy a készülék tulajdonosa milyen alkalmazást akar használni, a kijelzőn a háttérben a koponya „flash animáció” állandóan látható.