Первый java-вирус
 

Лаборатория Касперского" сообщила об обнаружении первой вредоносной программы для мобильных телефонов, способных исполнять Java-приложения (JME2). Потенциально заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan-SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java.
Redbrowser.a маскируется под программу, позволяющую посещать WAP-сайты без необходимости необходимости настройки WAP-подключения. По словам авторов программы, подобный функционал реализован путем отправки и приема бесплатных SMS-сообщений. На самом же деле троянец рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов США. Redbrowser.a ориентирован на абонентов крупнейших российских мобильных операторов – МТС, Билайн, Мегафон.Данная троянская программа представляет собой приложение Java - архив в формате JAR. Файл размером 54482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети Интернет (c WAP-сайта), так и другими способами - через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы:
FS.class - вспомогательный файл (2719 байт)

FW.class - вспомогательный файл (2664 байт)

icon.png - файл изображения (3165 байт)

logo101.png - файл изображения(16829 байт)

logo128.pnh - файл изображения(27375 байт)

M.class - файл интерфейса (5339 байт)

SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).

К счастью, эта троянская программа легко деинсталлируется самим пользователем при помощи стандартных утилит телефона. отя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой «мобильный охват» и выходят за пределы сферы дорогостоящих смартфонов.

kaspersky.ru

Похоже антивирусные компании так и не разобрались с этим вопросом...

Вот моё маленькое расследование:

Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.13 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.14 Other:Malware-gen
AVG 7.5.0.516 2008.04.14 Java/RedBrowser.B
BitDefender 7.2 2008.04.14 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.14 -
DrWeb 4.44.0.09170 2008.04.14 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5697 2008.04.14 Java/RedBrowser.A
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.14 -
Fortinet 3.14.0.0 2008.04.14 Java/RedBrowser.A!tr
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5272 2008.04.11 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 Trojan:Java/Redbrowser.A
NOD32v2 3024 2008.04.14 J2ME/TrojanSMS.RedBrowser.A
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.14 Generic.Malware
Rising 20.39.62.00 2008.04.13 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.14 Troj/Redbrow-A
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 Trojan.Redbrowser.A
TheHacker 6.2.92.276 2008.04.12 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.13 Trojan.Java.RedBrowser.A
Webwasher-Gateway 6.6.2 2008.04.14 Java.RedBrowser.A.2

результат антивирусов после изменения класов


Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.11 -
AntiVir 7.6.0.85 2008.04.11 -
Authentium 4.93.8 2008.04.13 -
Avast 4.8.1169.0 2008.04.13 -
AVG 7.5.0.516 2008.04.13 Java/RedBrowser.B
BitDefender 7.2 2008.04.13 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.13 -
DrWeb 4.44.0.09170 2008.04.13 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5692 2008.04.11 -
Ewido 4.0 2008.04.13 -
F-Prot 4.4.2.54 2008.04.13 -
F-Secure 6.70.13260.0 2008.04.13 -
FileAdvisor 1 2008.04.13 -
Fortinet 3.14.0.0 2008.04.13 -
Ikarus T3.1.1.26 2008.04.13 -
Kaspersky 7.0.0.125 2008.04.13 -
McAfee 5272 2008.04.11 -
Microsoft 1.3408 2008.04.13 -
NOD32v2 3021 2008.04.12 -
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.13 -
Rising 20.39.62.00 2008.04.13 -
Sophos 4.28.0 2008.04.13 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.13 -
TheHacker 6.2.92.276 2008.04.12 -
VBA32 3.12.6.4 2008.04.13 -
VirusBuster 4.3.26:9 2008.04.12 -
Webwasher-Gateway 6.6.2 2008.04.11 -


только 2 антивируса обнаружило... но всеравно доконца искоренить не удалось...

Ответ: Первый java-вирус
 

Сдаётся мне, что он не первый :-D

Ответ: Первый java-вирус
 

Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.

Re: Ответ: Первый java-вирус
 

дай ссылку на русифицированый МП или лутше на jar файлик генерированый ею со всеми F S FS... класами

Ответ: Первый java-вирус
 

Свежий русский MIDlet Pascal 2.02 как всегда можно скачать здесь:
http://odd.3dn.ru/progs/mp.zip

Те, кто заинтересовался данным трояном, саму вредоносную программу можно скачать тут (тестировать ТОЛЬКО в эмуляторе): НЕ РАСПРОСТРАНЯТЬ!

Тестировать можно, например на этой программе (ньюбы могут ознакомиться с исходниками, программа конечно древняя, но рабочая):

Re: Первый java-вирус
 

для файла sms_bomber_siemens.zip

Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 Java/RedBrowser.A
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26 2008.04.16 -
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A.2

попробуй скомпилировать своей версией МП, ато чтото тут я результато не вижу... только пару антивирусов перестало ругаться...

Re: Первый java-вирус
 

я попробовал вручную изменить класы результат вот такой тоже не очень...

AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26.0 2008.04.16 Java.Trojan.RedBrowser.A
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 -
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A

думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать...

Ответ: Re: Первый java-вирус
 

Думаю, ты прав. Даже несмотря на мои заморочки примерно половина антивирусов всё равно ругается.

Ответ: Первый java-вирус
 

А попробуйте на этом примере. Программа сделана просто для использования SM.class. Второй jar прогнан через ProGuard.

Re: Первый java-вирус
 

Для файла SimpleSMS.jar

Для файла SimpleSMS_proguard.jar

ниодин не ругнулся!!
А как этим прогвардом пользоваться??
Я скачал его запустил выбрал jar потключил библиотеки мидп20 и слсд и он всеравно ругается.. как правельно нужно делать обфускацию?

Ответ: Первый java-вирус
 

самое простое: запустить
java -jar proguardgui.jar

input/output
-указать входной и выходной jar файлы
-указать где лежат clcd11.jar и midp20.jar
Shrinking
-ставим галочку напротив Midlets
Information
-Preverify
-Micro edition
-не помешает Target 1.3
а дальше Process!
В комплекте идет солидная справка.

Что забавно, пробовал на SMS_Bomber.jar пока не перепаковал его в TotalCommander прогвард ругался на проблемы с архивом :)
ЗЫ: говорят с версией 4.х есть проблемы, не всегода корректно работает

Re: Первый java-вирус
 

все делал как написано выскакивает ошибка
cant read [........lalala.jar] (only DEFLATED can have EXT description)

пробовал перепаковывать версия 4.2 бета 2 щас опробую с ранними версиями...

о чтото я пощелкал и заработало...

Ответ: Первый java-вирус
 

Are programs compiled by Odd's version of MP, still detected as a virus?
Babelfish:
Программы составленные Odd' версия s MP, все еще обнаруженная как вирус?

Ответ: Первый java-вирус
 

2FISHY
насколько я ззнаю (и вижу) нет.

Ответ: Первый java-вирус
 

Маленькая поправочка - это приложение антиугонка - в приложение вводится номер телефона на который будет приходить смс - если украли телефон - то при запуске смс алерта(а он специально замаскирован под игру) к вам отправляется смс с номером вора, а т.к. в России симки регистрируется по паспорту - остаётся дело за малым. В Ураине толку мало от него =)
Правда многие нехорошие люди используют его в плохих целях, ведь ничего не стоит вписать рекламный номер для наживы

А вообще подобные приложения опасны только для телефонов в которых отсутствует выбор прав приложения на доступ к ф.с., к инету, к смс. Например обладатели моторол могут спать спокойно =)