Первый java-вирус
Лаборатория Касперского" сообщила об обнаружении первой вредоносной программы для мобильных телефонов, способных исполнять Java-приложения (JME2). Потенциально заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan-SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java.
Redbrowser.a маскируется под программу, позволяющую посещать WAP-сайты без необходимости необходимости настройки WAP-подключения. По словам авторов программы, подобный функционал реализован путем отправки и приема бесплатных SMS-сообщений. На самом же деле троянец рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов США. Redbrowser.a ориентирован на абонентов крупнейших российских мобильных операторов – МТС, Билайн, Мегафон.Данная троянская программа представляет собой приложение Java - архив в формате JAR. Файл размером 54482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети Интернет (c WAP-сайта), так и другими способами - через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы: FS.class - вспомогательный файл (2719 байт) FW.class - вспомогательный файл (2664 байт) icon.png - файл изображения (3165 байт) logo101.png - файл изображения(16829 байт) logo128.pnh - файл изображения(27375 байт) M.class - файл интерфейса (5339 байт) SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт). К счастью, эта троянская программа легко деинсталлируется самим пользователем при помощи стандартных утилит телефона. отя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой «мобильный охват» и выходят за пределы сферы дорогостоящих смартфонов. kaspersky.ru Похоже антивирусные компании так и не разобрались с этим вопросом... Вот моё маленькое расследование: Антивирус Версия Обновление Результат AhnLab-V3 2008.4.12.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 JAVA/RedBrowser.A.2 Authentium 4.93.8 2008.04.13 Java/Redbrowser.A Avast 4.8.1169.0 2008.04.14 Other:Malware-gen AVG 7.5.0.516 2008.04.14 Java/RedBrowser.B BitDefender 7.2 2008.04.14 Java.Trojan.RedBrowser.A CAT-QuickHeal 9.50 2008.04.12 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 Trojan.RedBrowser eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5697 2008.04.14 Java/RedBrowser.A Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 Java/Redbrowser.A F-Secure 6.70.13260.0 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 Java/RedBrowser.A!tr Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a McAfee 5272 2008.04.11 J2ME/RedBrowser Microsoft 1.3408 2008.04.14 Trojan:Java/Redbrowser.A NOD32v2 3024 2008.04.14 J2ME/TrojanSMS.RedBrowser.A Norman 5.80.02 2008.04.12 - Panda 9.0.0.4 2008.04.13 - Prevx1 V2 2008.04.14 Generic.Malware Rising 20.39.62.00 2008.04.13 Trojan.Redbrowser.c Sophos 4.28.0 2008.04.14 Troj/Redbrow-A Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 Trojan.Redbrowser.A TheHacker 6.2.92.276 2008.04.12 J2ME-RedBrowser VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.13 Trojan.Java.RedBrowser.A Webwasher-Gateway 6.6.2 2008.04.14 Java.RedBrowser.A.2 результат антивирусов после изменения класов Антивирус Версия Обновление Результат AhnLab-V3 2008.4.12.0 2008.04.11 - AntiVir 7.6.0.85 2008.04.11 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.13 - AVG 7.5.0.516 2008.04.13 Java/RedBrowser.B BitDefender 7.2 2008.04.13 Java.Trojan.RedBrowser.A CAT-QuickHeal 9.50 2008.04.12 - ClamAV 0.92.1 2008.04.13 - DrWeb 4.44.0.09170 2008.04.13 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5692 2008.04.11 - Ewido 4.0 2008.04.13 - F-Prot 4.4.2.54 2008.04.13 - F-Secure 6.70.13260.0 2008.04.13 - FileAdvisor 1 2008.04.13 - Fortinet 3.14.0.0 2008.04.13 - Ikarus T3.1.1.26 2008.04.13 - Kaspersky 7.0.0.125 2008.04.13 - McAfee 5272 2008.04.11 - Microsoft 1.3408 2008.04.13 - NOD32v2 3021 2008.04.12 - Norman 5.80.02 2008.04.12 - Panda 9.0.0.4 2008.04.13 - Prevx1 V2 2008.04.13 - Rising 20.39.62.00 2008.04.13 - Sophos 4.28.0 2008.04.13 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.13 - TheHacker 6.2.92.276 2008.04.12 - VBA32 3.12.6.4 2008.04.13 - VirusBuster 4.3.26:9 2008.04.12 - Webwasher-Gateway 6.6.2 2008.04.11 - только 2 антивируса обнаружило... но всеравно доконца искоренить не удалось... |
Ответ: Первый java-вирус
Сдаётся мне, что он не первый :-D
|
Ответ: Первый java-вирус
Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники. |
Re: Ответ: Первый java-вирус
Цитата:
|
Ответ: Первый java-вирус
Вложений: 2
Свежий русский MIDlet Pascal 2.02 как всегда можно скачать здесь:
http://odd.3dn.ru/progs/mp.zip Те, кто заинтересовался данным трояном, саму вредоносную программу можно скачать тут (тестировать ТОЛЬКО в эмуляторе): НЕ РАСПРОСТРАНЯТЬ! Тестировать можно, например на этой программе (ньюбы могут ознакомиться с исходниками, программа конечно древняя, но рабочая): |
Re: Первый java-вирус
для файла sms_bomber_siemens.zip
Антивирус Версия Обновление Результат AhnLab-V3 2008.4.15.1 2008.04.16 - AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A.2 Authentium 4.93.8 2008.04.16 Java/Redbrowser.A Avast 4.8.1169.0 2008.04.16 - AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 Trojan.RedBrowser eSafe 7.0.15.0 2008.04.16 - eTrust-Vet 31.3.5703 2008.04.16 Java/RedBrowser.A Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.16 - Ikarus T3.1.1.26 2008.04.16 - Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a McAfee 5274 2008.04.15 J2ME/RedBrowser Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.20.00 2008.04.16 Trojan.Redbrowser.c Sophos 4.28.0 2008.04.16 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A.2 попробуй скомпилировать своей версией МП, ато чтото тут я результато не вижу... только пару антивирусов перестало ругаться... |
Re: Первый java-вирус
я попробовал вручную изменить класы результат вот такой тоже не очень...
AhnLab-V3 2008.4.15.1 2008.04.16 - AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A Authentium 4.93.8 2008.04.16 Java/Redbrowser.A Avast 4.8.1169.0 2008.04.16 - AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.16 - DrWeb 4.44.0.09170 2008.04.15 - eSafe 7.0.15.0 2008.04.16 - eTrust-Vet 31.3.5703 2008.04.16 - Ewido 4.0 2008.04.15 - F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a FileAdvisor 1 2008.04.16 - Fortinet 3.14.0.0 2008.04.16 - Ikarus T3.1.1.26.0 2008.04.16 Java.Trojan.RedBrowser.A Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a McAfee 5274 2008.04.15 J2ME/RedBrowser Microsoft 1.3408 2008.04.14 - NOD32v2 3029 2008.04.15 - Norman 5.80.02 2008.04.15 - Panda 9.0.0.4 2008.04.16 - Prevx1 V2 2008.04.16 - Rising 20.40.20.00 2008.04.16 - Sophos 4.28.0 2008.04.16 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.16 - TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.15 - Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать... |
Ответ: Re: Первый java-вирус
Цитата:
|
Ответ: Первый java-вирус
Вложений: 1
А попробуйте на этом примере. Программа сделана просто для использования SM.class. Второй jar прогнан через ProGuard.
|
Re: Первый java-вирус
Для файла SimpleSMS.jar
PHP код:
ниодин не ругнулся!! А как этим прогвардом пользоваться?? Я скачал его запустил выбрал jar потключил библиотеки мидп20 и слсд и он всеравно ругается.. как правельно нужно делать обфускацию? |
Ответ: Первый java-вирус
самое простое: запустить
java -jar proguardgui.jar input/output -указать входной и выходной jar файлы -указать где лежат clcd11.jar и midp20.jar Shrinking -ставим галочку напротив Midlets Information -Preverify -Micro edition -не помешает Target 1.3 а дальше Process! В комплекте идет солидная справка. Что забавно, пробовал на SMS_Bomber.jar пока не перепаковал его в TotalCommander прогвард ругался на проблемы с архивом :) ЗЫ: говорят с версией 4.х есть проблемы, не всегода корректно работает |
Re: Первый java-вирус
все делал как написано выскакивает ошибка
cant read [........lalala.jar] (only DEFLATED can have EXT description) пробовал перепаковывать версия 4.2 бета 2 щас опробую с ранними версиями... о чтото я пощелкал и заработало... |
Ответ: Первый java-вирус
Are programs compiled by Odd's version of MP, still detected as a virus?
Babelfish: Программы составленные Odd' версия s MP, все еще обнаруженная как вирус? |
Ответ: Первый java-вирус
2FISHY
насколько я ззнаю (и вижу) нет. |
Ответ: Первый java-вирус
Цитата:
Правда многие нехорошие люди используют его в плохих целях, ведь ничего не стоит вписать рекламный номер для наживы А вообще подобные приложения опасны только для телефонов в которых отсутствует выбор прав приложения на доступ к ф.с., к инету, к смс. Например обладатели моторол могут спать спокойно =) |
Часовой пояс GMT +4, время: 18:58. |
vBulletin® Version 3.6.5.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot