ВИРУСЫ на эльфах версия 0.2 (c)bn
Взято c http://cbn.narod.ru/

I. ОПАСНОСТЬ
С появлением эльфов сименс стал смартом и унаследовал от него вирусы.

Сами эльфы выполняются в кодах процессора и имеют неограниченный доступ
к ресурсам телефона (функциям, файлам, прошивке), поэтому могут
незаметно проводить вредоносные действия, такие как:

- изменять любые файлы и области флеш, eprom
- удалять все с флешки
- осуществлять дозвон и отсылать множество смс
- вести активность по интернету (gprs), например закачивая 100 мб файл
и оставаясь невидимым, либо отсылая данные вашей телефонной книжки
- передаваться по зубу
- даже убить телефон до тестпоинта


II. МЕТОДЫ ЗАЩИТЫ
1. Запускать эльфы только из проверенных источников (сименс клуб, кибаб).
Если какой-то неизвестный Вася Пупкин выложил на форуме новый супер-пупер эльф,
то нет никакой уверенности, что в один прекрасный день (не сразу)
этот эльф не грохнет вам все файлы на флеш.

2. Проверять эльфы Смелтером (и, возможно, AVP.elf-ом)
Если вероятность заражения более 50%, стоит призадуматься.
Однако 0% еще не гарантирует отсутствия вирусов!
Т.к. программа ищет только _известные_ ей вирусы.

3. ОБЯЗАТЕЛЬНО сделать полный бэкап (FullFlash) x65flasher-ом или V_Klay-ем
В случае удаления системных файлов или частей флеш перезальете фулфлеш и все!


III. БЕЗ ПАНИКИ!
Рано предаваться панике.

Известные в данный момент вирусы _безвредны_ и могут
приводить разве что к некоторым тормозам и дополн. пикоффам.

Платформа эльфов слабо распространена, поэтому
не представляет интереса для вирусосоздателей.

Написание _настоящего_ вируса требует высокой квалификации
и без исходного кода вируса доступно лишь десятку чел.

Хотя грохнуть какой-либо файл (в том числе системный)
для начинающего эльфописателя не представляет трудности,

Не стоит станавиться параноиком и везде и всюду выискивать врагов.


IV. ИЗВЕСТНЫЕ ВИРУСЫ
v1 Подмена extension
При первом запуске копирует себя в 4:\ZBin\etc или 0:\ZBin\etc
и заменяет в extension.cfg все вызовы на себя.
Далее при выборе файла в эксплорере УДАЛЯЕТ его! (длина файла 0)
Не размножается.

Выявление: в extension.cfg всего одна строка.
Лечение: перезаписать extension.cfg

v2 Создание файлов двойников
При запуске подменяет ВСЕ эльфы в 0:\ZBin и 4:\ZBin своим кодом,
создавая файлы - двойники с именами ...0.elf
Далее при старте запускается сам, осуществляет заражение
и запускает оригинальный эльф-двойник с имененм ....0.elf
Способен к размножению.

Выявление: в каждой папке по 2 эльфа имя.elf и им0.elf
Лечение: переименовать им0.elf в имя.elf

v3 Вирус-спутник
Активируется примерно раз в 3 дня.
Заражает только несколько эльфов за раз.
Заражает демонов, потому распространяется очень быстро.
При заражении переименовывает исходный эльф в .bin и записывает себя вместо него.
Далее при запуске вирус переименовывает себя в .tmp, .bin в .elf, запускает его,
а при выходе переименовывает все обратно. Работает и на NEWSGOLD серии.

Выявление: тормоза при запуске эльфов, все эльфы стали одинакового размера (около 2 кб),
рядом с каждым эльфом появился файл .bin
Лечение: переименовать .bin в .elf

v4 Первый настоящий вирус
При запуске заражает ВСЕ эльфы в 0:\ZBin
Из-за ошибки не работает на NEWSGOLD.
Не знает о v5 поэтому возможно многократное заражение.
Выявление и лечение как в v5

v5 Модификация v4
Содержит меры сдерживания заражения.
Активируется где-то раз в 3 дня.
Заражает только несколько эльфов за раз.
Не заражает эльфы в папке демонов.
Дозаписывается в начало эльфа. Имеет свою копию эльфлоадера,
используемую для загрузки зараженного эльфа после выполнения вирусного кода.
Вроде бы не должен работать на NEWSGOLD, но работает.
Стал причиной вирусной эпидемии.

Выявление: тормоза при запуске эльфов,
размер эльфов увеличился на 4 кб,
зараженный эльф несколько раз включает заголовок ELF 0x010101.
Лечение: удалить из зараженных эльфов первые 4096 байт.
AVP.elf 0.2+

v6 Паранойя
Эльф прикол. Каждые 20 мин выводит на экран одно из ~70 случайных "пугающих" фраз типа format complete. При первом запуске перемещает себя в папку демонов. Даже не вирус. Не содержит в себе вредоносного кода, не размножается.
Выявление: периодический вывод сообщений
Лечение: удалить из демонов.

v7 Злой вирус
Модификация v5, не определяемая смелтером и AVP :)
Занимается только размножением и не включает деструктивных функций.
Выявление: как у v5, только размер эльфов увеличивается на 4196 байт
Лечение: Нет. Удалить эльфы и поставить по новой.

v8 Мультимедиа
Перемещается в автозагрузку.
Постепенно портит все виды данных (файлы с расширениями jar, jad, jpg, wav, mp3, elf, txt), подставляя в них предупреждение о вирусе в текстовой, графической и звуковой формах.

v10-v15
Различные модификации v7, не определяемые смелтером и AVP :)
Содержат набор вредоносных действий, ВЫПОЛНЯЕМЫХ по определенной дате (1.04, 9.05,...), таких как:
- массовая рассылка SMS нецензурного текста по списку в адресной книге до обнуления баланса
- загрузка через Gprs огромных ненужных файлов
- отсылка данных со скрытых дисков (адресн. книга, архив sms) на неизвестный сервер :)
- замена графики меню
- удаление всех данных со всех дисков (включая скрытые)
- ...
Выявление: как у v7. Лечение: нет (удалить эльфы и поставить по новой).
PS Версии v10-15 коллекционные и распространения не получили.
Hosted by uCoz