Извините, ничего не найдено.

Не расстраивайся! Лучше выпей чайку!
Регистрация
Справка
Календарь

Вернуться   forum.boolean.name > Программирование игр для мобильных телефонов > MidletPascal > Прочие вопросы

Прочие вопросы Вопросы не касающиеся программирования (установка, настройка...)

Ответ
 
Опции темы
Старый 14.04.2008, 17:57   #1
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Первый java-вирус

Лаборатория Касперского" сообщила об обнаружении первой вредоносной программы для мобильных телефонов, способных исполнять Java-приложения (JME2). Потенциально заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan-SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java.
Redbrowser.a маскируется под программу, позволяющую посещать WAP-сайты без необходимости необходимости настройки WAP-подключения. По словам авторов программы, подобный функционал реализован путем отправки и приема бесплатных SMS-сообщений. На самом же деле троянец рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов США. Redbrowser.a ориентирован на абонентов крупнейших российских мобильных операторов – МТС, Билайн, Мегафон.Данная троянская программа представляет собой приложение Java - архив в формате JAR. Файл размером 54482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети Интернет (c WAP-сайта), так и другими способами - через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы:
FS.class - вспомогательный файл (2719 байт)

FW.class - вспомогательный файл (2664 байт)

icon.png - файл изображения (3165 байт)

logo101.png - файл изображения(16829 байт)

logo128.pnh - файл изображения(27375 байт)

M.class - файл интерфейса (5339 байт)

SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).

К счастью, эта троянская программа легко деинсталлируется самим пользователем при помощи стандартных утилит телефона. отя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой «мобильный охват» и выходят за пределы сферы дорогостоящих смартфонов.


kaspersky.ru

Похоже антивирусные компании так и не разобрались с этим вопросом...

Вот моё маленькое расследование:

Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.13 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.14 Other:Malware-gen
AVG 7.5.0.516 2008.04.14 Java/RedBrowser.B
BitDefender 7.2 2008.04.14 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.14 -
DrWeb 4.44.0.09170 2008.04.14 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5697 2008.04.14 Java/RedBrowser.A
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.14 -
Fortinet 3.14.0.0 2008.04.14 Java/RedBrowser.A!tr
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5272 2008.04.11 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 Trojan:Java/Redbrowser.A
NOD32v2 3024 2008.04.14 J2ME/TrojanSMS.RedBrowser.A
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.14 Generic.Malware
Rising 20.39.62.00 2008.04.13 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.14 Troj/Redbrow-A
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 Trojan.Redbrowser.A
TheHacker 6.2.92.276 2008.04.12 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.13 Trojan.Java.RedBrowser.A
Webwasher-Gateway 6.6.2 2008.04.14 Java.RedBrowser.A.2

результат антивирусов после изменения класов


Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.11 -
AntiVir 7.6.0.85 2008.04.11 -
Authentium 4.93.8 2008.04.13 -
Avast 4.8.1169.0 2008.04.13 -
AVG 7.5.0.516 2008.04.13 Java/RedBrowser.B
BitDefender 7.2 2008.04.13 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.13 -
DrWeb 4.44.0.09170 2008.04.13 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5692 2008.04.11 -
Ewido 4.0 2008.04.13 -
F-Prot 4.4.2.54 2008.04.13 -
F-Secure 6.70.13260.0 2008.04.13 -
FileAdvisor 1 2008.04.13 -
Fortinet 3.14.0.0 2008.04.13 -
Ikarus T3.1.1.26 2008.04.13 -
Kaspersky 7.0.0.125 2008.04.13 -
McAfee 5272 2008.04.11 -
Microsoft 1.3408 2008.04.13 -
NOD32v2 3021 2008.04.12 -
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.13 -
Rising 20.39.62.00 2008.04.13 -
Sophos 4.28.0 2008.04.13 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.13 -
TheHacker 6.2.92.276 2008.04.12 -
VBA32 3.12.6.4 2008.04.13 -
VirusBuster 4.3.26:9 2008.04.12 -
Webwasher-Gateway 6.6.2 2008.04.11 -


только 2 антивируса обнаружило... но всеравно доконца искоренить не удалось...
(Offline)
 
Ответить с цитированием
Старый 14.04.2008, 18:07   #2
ABTOMAT
Ференька
 
Аватар для ABTOMAT
 
Регистрация: 26.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,741
Написано 5,461 полезных сообщений
(для 15,675 пользователей)
Ответ: Первый java-вирус

Сдаётся мне, что он не первый
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**

* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена

(Offline)
 
Ответить с цитированием
Старый 15.04.2008, 08:39   #3
odd
Мастер
 
Аватар для odd
 
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений
(для 713 пользователей)
Ответ: Первый java-вирус

Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
(Offline)
 
Ответить с цитированием
Старый 15.04.2008, 23:20   #4
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Re: Ответ: Первый java-вирус

Сообщение от odd Посмотреть сообщение
Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
дай ссылку на русифицированый МП или лутше на jar файлик генерированый ею со всеми F S FS... класами
(Offline)
 
Ответить с цитированием
Старый 16.04.2008, 08:06   #5
odd
Мастер
 
Аватар для odd
 
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений
(для 713 пользователей)
Ответ: Первый java-вирус

Свежий русский MIDlet Pascal 2.02 как всегда можно скачать здесь:
http://odd.3dn.ru/progs/mp.zip

Те, кто заинтересовался данным трояном, саму вредоносную программу можно скачать тут (тестировать ТОЛЬКО в эмуляторе): НЕ РАСПРОСТРАНЯТЬ!

Тестировать можно, например на этой программе (ньюбы могут ознакомиться с исходниками, программа конечно древняя, но рабочая):
Вложения
Тип файла: zip sms_bomber_siemens.zip (41.8 Кб, 633 просмотров)
Тип файла: zip SMS_Bomber_MP202RU_compilled_JAR.zip (44.9 Кб, 643 просмотров)

Последний раз редактировалось odd, 16.04.2008 в 08:16.
(Offline)
 
Ответить с цитированием
Сообщение было полезно следующим пользователям:
Rock2roll (04.01.2011)
Старый 16.04.2008, 13:03   #6
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Re: Первый java-вирус

для файла sms_bomber_siemens.zip

Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 Java/RedBrowser.A
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26 2008.04.16 -
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A.2

попробуй скомпилировать своей версией МП, ато чтото тут я результато не вижу... только пару антивирусов перестало ругаться...
(Offline)
 
Ответить с цитированием
Старый 16.04.2008, 13:10   #7
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Re: Первый java-вирус

я попробовал вручную изменить класы результат вот такой тоже не очень...

AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26.0 2008.04.16 Java.Trojan.RedBrowser.A
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 -
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A

думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать...
(Offline)
 
Ответить с цитированием
Старый 17.04.2008, 08:52   #8
odd
Мастер
 
Аватар для odd
 
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений
(для 713 пользователей)
Ответ: Re: Первый java-вирус

Сообщение от Kurdt
думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать...
Думаю, ты прав. Даже несмотря на мои заморочки примерно половина антивирусов всё равно ругается.
(Offline)
 
Ответить с цитированием
Старый 17.04.2008, 12:43   #9
Piligrim
Оптимист
 
Регистрация: 07.01.2006
Сообщений: 961
Написано 105 полезных сообщений
(для 259 пользователей)
Ответ: Первый java-вирус

А попробуйте на этом примере. Программа сделана просто для использования SM.class. Второй jar прогнан через ProGuard.
Вложения
Тип файла: zip bin.zip (7.6 Кб, 594 просмотров)
(Offline)
 
Ответить с цитированием
Старый 17.04.2008, 13:50   #10
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Re: Первый java-вирус

Для файла SimpleSMS.jar

Антивирус    Версия    Обновление    Результат
AhnLab-V3    2008.4.17.0    2008.04.17    -
AntiVir    7.6.0.85    2008.04.17    JAVA/RedBrowser.A.2
Authentium    4.93.8    2008.04.16    Java
/Redbrowser.A
Avast    4.8.1169.0    2008.04.16    
-
AVG    7.5.0.516    2008.04.16    -
BitDefender    7.2    2008.04.17    Java.Trojan.RedBrowser.A
CAT
-QuickHeal    9.50    2008.04.16    -
ClamAV    0.92.1    2008.04.17    -
DrWeb    4.44.0.09170    2008.04.17    Trojan.RedBrowser
eSafe    7.0.15.0    2008.04.16    
-
eTrust-Vet    31.3.5706    2008.04.17    Java/RedBrowser.A
Ewido    4.0    2008.04.16    
-
F-Prot    4.4.2.54    2008.04.16    Java/Redbrowser.A
F
-Secure    6.70.13260.0    2008.04.17    Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor    1    2008.04.17    
-
Fortinet    3.14.0.0    2008.04.17    -
Ikarus    T3.1.1.26    2008.04.17    -
Kaspersky    7.0.0.125    2008.04.17    Trojan-SMS.J2ME.RedBrowser.a
McAfee    5275    2008.04.16    J2ME
/RedBrowser
Microsoft    1.3408    2008.04.17    
-
NOD32v2    3032    2008.04.16    -
Norman    5.80.02    2008.04.16    -
Panda    9.0.0.4    2008.04.17    -
Prevx1    V2    2008.04.17    -
Rising    20.40.30.00    2008.04.17    Trojan.Redbrowser.c
Sophos    4.28.0    2008.04.17    
-
Sunbelt    3.0.1056.0    2008.04.17    -
Symantec    10    2008.04.17    -
TheHacker    6.2.92.281    2008.04.17    J2ME-RedBrowser
VBA32    3.12.6.4    2008.04.16    
-
VirusBuster    4.3.26:9    2008.04.16    -
Webwasher-Gateway    6.6.2    2008.04.17    Java.RedBrowser.A.2 
Для файла SimpleSMS_proguard.jar

ниодин не ругнулся!!
А как этим прогвардом пользоваться??
Я скачал его запустил выбрал jar потключил библиотеки мидп20 и слсд и он всеравно ругается.. как правельно нужно делать обфускацию?

Последний раз редактировалось Kurdt, 17.04.2008 в 14:06.
(Offline)
 
Ответить с цитированием
Старый 17.04.2008, 18:46   #11
Piligrim
Оптимист
 
Регистрация: 07.01.2006
Сообщений: 961
Написано 105 полезных сообщений
(для 259 пользователей)
Ответ: Первый java-вирус

самое простое: запустить
java -jar proguardgui.jar

input/output
-указать входной и выходной jar файлы
-указать где лежат clcd11.jar и midp20.jar
Shrinking
-ставим галочку напротив Midlets
Information
-Preverify
-Micro edition
-не помешает Target 1.3
а дальше Process!
В комплекте идет солидная справка.

Что забавно, пробовал на SMS_Bomber.jar пока не перепаковал его в TotalCommander прогвард ругался на проблемы с архивом
ЗЫ: говорят с версией 4.х есть проблемы, не всегода корректно работает

Последний раз редактировалось Piligrim, 17.04.2008 в 18:56.
(Offline)
 
Ответить с цитированием
Сообщение было полезно следующим пользователям:
RblSb (21.11.2013)
Старый 17.04.2008, 19:55   #12
Kurdt
ПроЭктировщик
 
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений
(для 25 пользователей)
Re: Первый java-вирус

все делал как написано выскакивает ошибка
cant read [........lalala.jar] (only DEFLATED can have EXT description)

пробовал перепаковывать версия 4.2 бета 2 щас опробую с ранними версиями...

о чтото я пощелкал и заработало...
(Offline)
 
Ответить с цитированием
Старый 01.08.2008, 11:59   #13
FISHY
AnyKey`щик
 
Регистрация: 27.04.2008
Сообщений: 5
Написано 0 полезных сообщений
(для 0 пользователей)
Ответ: Первый java-вирус

Are programs compiled by Odd's version of MP, still detected as a virus?
Babelfish:
Программы составленные Odd' версия s MP, все еще обнаруженная как вирус?
(Offline)
 
Ответить с цитированием
Старый 01.08.2008, 16:07   #14
KeipL
Нуждающийся
 
Аватар для KeipL
 
Регистрация: 07.07.2008
Адрес: Zp-UA
Сообщений: 58
Написано 4 полезных сообщений
(для 11 пользователей)
Ответ: Первый java-вирус

2FISHY
насколько я ззнаю (и вижу) нет.
__________________
Счастья. Для всех. Даром. И пусть никто не уйдет обиженным... (с) Стругацкие "Пикник на обочине"

2++ + 2 = 5 не все так просто в этом мире
2b || !2b вот в чем вопрос...
(Offline)
 
Ответить с цитированием
Старый 03.08.2008, 12:51   #15
Strelok
Оператор ЭВМ
 
Регистрация: 05.07.2008
Сообщений: 30
Написано 0 полезных сообщений
(для 0 пользователей)
Ответ: Первый java-вирус

Сообщение от odd Посмотреть сообщение
я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
Маленькая поправочка - это приложение антиугонка - в приложение вводится номер телефона на который будет приходить смс - если украли телефон - то при запуске смс алерта(а он специально замаскирован под игру) к вам отправляется смс с номером вора, а т.к. в России симки регистрируется по паспорту - остаётся дело за малым. В Ураине толку мало от него =)
Правда многие нехорошие люди используют его в плохих целях, ведь ничего не стоит вписать рекламный номер для наживы

А вообще подобные приложения опасны только для телефонов в которых отсутствует выбор прав приложения на доступ к ф.с., к инету, к смс. Например обладатели моторол могут спать спокойно =)
(Offline)
 
Ответить с цитированием
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирус SubZer0 Болтовня 5 04.12.2009 15:50
Что-то у меня на компьютере не так: вирус? zheland Болтовня 37 21.09.2009 09:57
АХТУНГ! Вирус impersonalis Болтовня 21 15.08.2008 23:44
MidletPascal - Вирус?! Mix6s Прочие вопросы 3 08.02.2008 02:10


Часовой пояс GMT +4, время: 20:03.


vBulletin® Version 3.6.5.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
Style crйe par Allan - vBulletin-Ressources.com