|
Прочие вопросы Вопросы не касающиеся программирования (установка, настройка...) |
14.04.2008, 17:57
|
#1
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Первый java-вирус
Лаборатория Касперского" сообщила об обнаружении первой вредоносной программы для мобильных телефонов, способных исполнять Java-приложения (JME2). Потенциально заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan-SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java.
Redbrowser.a маскируется под программу, позволяющую посещать WAP-сайты без необходимости необходимости настройки WAP-подключения. По словам авторов программы, подобный функционал реализован путем отправки и приема бесплатных SMS-сообщений. На самом же деле троянец рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов США. Redbrowser.a ориентирован на абонентов крупнейших российских мобильных операторов – МТС, Билайн, Мегафон.Данная троянская программа представляет собой приложение Java - архив в формате JAR. Файл размером 54482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети Интернет (c WAP-сайта), так и другими способами - через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы:
FS.class - вспомогательный файл (2719 байт)
FW.class - вспомогательный файл (2664 байт)
icon.png - файл изображения (3165 байт)
logo101.png - файл изображения(16829 байт)
logo128.pnh - файл изображения(27375 байт)
M.class - файл интерфейса (5339 байт)
SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).
К счастью, эта троянская программа легко деинсталлируется самим пользователем при помощи стандартных утилит телефона. отя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой «мобильный охват» и выходят за пределы сферы дорогостоящих смартфонов.
kaspersky.ru
Похоже антивирусные компании так и не разобрались с этим вопросом...
Вот моё маленькое расследование:
Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.13 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.14 Other:Malware-gen
AVG 7.5.0.516 2008.04.14 Java/RedBrowser.B
BitDefender 7.2 2008.04.14 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.14 -
DrWeb 4.44.0.09170 2008.04.14 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5697 2008.04.14 Java/RedBrowser.A
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.14 -
Fortinet 3.14.0.0 2008.04.14 Java/RedBrowser.A!tr
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.14 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5272 2008.04.11 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 Trojan:Java/Redbrowser.A
NOD32v2 3024 2008.04.14 J2ME/TrojanSMS.RedBrowser.A
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.14 Generic.Malware
Rising 20.39.62.00 2008.04.13 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.14 Troj/Redbrow-A
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 Trojan.Redbrowser.A
TheHacker 6.2.92.276 2008.04.12 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.13 Trojan.Java.RedBrowser.A
Webwasher-Gateway 6.6.2 2008.04.14 Java.RedBrowser.A.2
результат антивирусов после изменения класов
Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.12.0 2008.04.11 -
AntiVir 7.6.0.85 2008.04.11 -
Authentium 4.93.8 2008.04.13 -
Avast 4.8.1169.0 2008.04.13 -
AVG 7.5.0.516 2008.04.13 Java/RedBrowser.B
BitDefender 7.2 2008.04.13 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.12 -
ClamAV 0.92.1 2008.04.13 -
DrWeb 4.44.0.09170 2008.04.13 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5692 2008.04.11 -
Ewido 4.0 2008.04.13 -
F-Prot 4.4.2.54 2008.04.13 -
F-Secure 6.70.13260.0 2008.04.13 -
FileAdvisor 1 2008.04.13 -
Fortinet 3.14.0.0 2008.04.13 -
Ikarus T3.1.1.26 2008.04.13 -
Kaspersky 7.0.0.125 2008.04.13 -
McAfee 5272 2008.04.11 -
Microsoft 1.3408 2008.04.13 -
NOD32v2 3021 2008.04.12 -
Norman 5.80.02 2008.04.12 -
Panda 9.0.0.4 2008.04.13 -
Prevx1 V2 2008.04.13 -
Rising 20.39.62.00 2008.04.13 -
Sophos 4.28.0 2008.04.13 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.13 -
TheHacker 6.2.92.276 2008.04.12 -
VBA32 3.12.6.4 2008.04.13 -
VirusBuster 4.3.26:9 2008.04.12 -
Webwasher-Gateway 6.6.2 2008.04.11 -
только 2 антивируса обнаружило... но всеравно доконца искоренить не удалось...
|
(Offline)
|
|
14.04.2008, 18:07
|
#2
|
Ференька
Регистрация: 26.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,742
Написано 5,461 полезных сообщений (для 15,675 пользователей)
|
Ответ: Первый java-вирус
Сдаётся мне, что он не первый
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**
* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена
|
(Offline)
|
|
15.04.2008, 08:39
|
#3
|
Мастер
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений (для 713 пользователей)
|
Ответ: Первый java-вирус
Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
|
(Offline)
|
|
15.04.2008, 23:20
|
#4
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Re: Ответ: Первый java-вирус
Сообщение от odd
Kurdt, спасибо тебе за маленькое расследование.
Я тоже в своё время подробно изучил тело программы Red Browser и даже установил на какие именно номера отправляются SMS (как говорится, врага надо знать в лицо). Не мог бы ты ещё протестировать мою русскую версию MP 2.02 т.к. там я применил некоторые приёмы для обхода детектирования трояна RedBrowser? RedBrowser это конечно не единственный SMS троян, я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
|
дай ссылку на русифицированый МП или лутше на jar файлик генерированый ею со всеми F S FS... класами
|
(Offline)
|
|
16.04.2008, 08:06
|
#5
|
Мастер
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений (для 713 пользователей)
|
Ответ: Первый java-вирус
Свежий русский MIDlet Pascal 2.02 как всегда можно скачать здесь:
http://odd.3dn.ru/progs/mp.zip
Те, кто заинтересовался данным трояном, саму вредоносную программу можно скачать тут (тестировать ТОЛЬКО в эмуляторе): НЕ РАСПРОСТРАНЯТЬ!
Тестировать можно, например на этой программе (ньюбы могут ознакомиться с исходниками, программа конечно древняя, но рабочая):
Последний раз редактировалось odd, 16.04.2008 в 08:16.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
16.04.2008, 13:03
|
#6
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Re: Первый java-вирус
для файла sms_bomber_siemens.zip
Антивирус Версия Обновление Результат
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A.2
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 Trojan.RedBrowser
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 Java/RedBrowser.A
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26 2008.04.16 -
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 Trojan.Redbrowser.c
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A.2
попробуй скомпилировать своей версией МП, ато чтото тут я результато не вижу... только пару антивирусов перестало ругаться...
|
(Offline)
|
|
16.04.2008, 13:10
|
#7
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Re: Первый java-вирус
я попробовал вручную изменить класы результат вот такой тоже не очень...
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 JAVA/RedBrowser.A
Authentium 4.93.8 2008.04.16 Java/Redbrowser.A
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.15 Java/RedBrowser.B
BitDefender 7.2 2008.04.16 Java.Trojan.RedBrowser.A
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.15 -
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 -
Ewido 4.0 2008.04.15 -
F-Prot 4.4.2.54 2008.04.15 Java/Redbrowser.A
F-Secure 6.70.13260.0 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26.0 2008.04.16 Java.Trojan.RedBrowser.A
Kaspersky 7.0.0.125 2008.04.16 Trojan-SMS.J2ME.RedBrowser.a
McAfee 5274 2008.04.15 J2ME/RedBrowser
Microsoft 1.3408 2008.04.14 -
NOD32v2 3029 2008.04.15 -
Norman 5.80.02 2008.04.15 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 -
Rising 20.40.20.00 2008.04.16 -
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 -
TheHacker 6.2.92.279 2008.04.16 J2ME-RedBrowser
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.15 -
Webwasher-Gateway 6.6.2 2008.04.16 Java.RedBrowser.A
думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать...
|
(Offline)
|
|
17.04.2008, 08:52
|
#8
|
Мастер
Регистрация: 06.09.2007
Адрес: Донецк, ДНР
Сообщений: 1,023
Написано 298 полезных сообщений (для 713 пользователей)
|
Ответ: Re: Первый java-вирус
Сообщение от Kurdt
думаю не надо пользоваться стандартными ф-ми отправки смс лутше взять библиотеку пилигрима так будет всего 2 антивируса кричать...
|
Думаю, ты прав. Даже несмотря на мои заморочки примерно половина антивирусов всё равно ругается.
|
(Offline)
|
|
17.04.2008, 12:43
|
#9
|
Оптимист
Регистрация: 07.01.2006
Сообщений: 961
Написано 105 полезных сообщений (для 259 пользователей)
|
Ответ: Первый java-вирус
А попробуйте на этом примере. Программа сделана просто для использования SM.class. Второй jar прогнан через ProGuard.
|
(Offline)
|
|
17.04.2008, 13:50
|
#10
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Re: Первый java-вирус
Для файла SimpleSMS.jar
Антивирус Версия Обновление Результат AhnLab-V3 2008.4.17.0 2008.04.17 - AntiVir 7.6.0.85 2008.04.17 JAVA/RedBrowser.A.2 Authentium 4.93.8 2008.04.16 Java/Redbrowser.A Avast 4.8.1169.0 2008.04.16 - AVG 7.5.0.516 2008.04.16 - BitDefender 7.2 2008.04.17 Java.Trojan.RedBrowser.A CAT-QuickHeal 9.50 2008.04.16 - ClamAV 0.92.1 2008.04.17 - DrWeb 4.44.0.09170 2008.04.17 Trojan.RedBrowser eSafe 7.0.15.0 2008.04.16 - eTrust-Vet 31.3.5706 2008.04.17 Java/RedBrowser.A Ewido 4.0 2008.04.16 - F-Prot 4.4.2.54 2008.04.16 Java/Redbrowser.A F-Secure 6.70.13260.0 2008.04.17 Trojan-SMS.J2ME.RedBrowser.a FileAdvisor 1 2008.04.17 - Fortinet 3.14.0.0 2008.04.17 - Ikarus T3.1.1.26 2008.04.17 - Kaspersky 7.0.0.125 2008.04.17 Trojan-SMS.J2ME.RedBrowser.a McAfee 5275 2008.04.16 J2ME/RedBrowser Microsoft 1.3408 2008.04.17 - NOD32v2 3032 2008.04.16 - Norman 5.80.02 2008.04.16 - Panda 9.0.0.4 2008.04.17 - Prevx1 V2 2008.04.17 - Rising 20.40.30.00 2008.04.17 Trojan.Redbrowser.c Sophos 4.28.0 2008.04.17 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.17 - TheHacker 6.2.92.281 2008.04.17 J2ME-RedBrowser VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.16 - Webwasher-Gateway 6.6.2 2008.04.17 Java.RedBrowser.A.2
Для файла SimpleSMS_proguard.jar
ниодин не ругнулся!!
А как этим прогвардом пользоваться??
Я скачал его запустил выбрал jar потключил библиотеки мидп20 и слсд и он всеравно ругается.. как правельно нужно делать обфускацию?
Последний раз редактировалось Kurdt, 17.04.2008 в 14:06.
|
(Offline)
|
|
17.04.2008, 18:46
|
#11
|
Оптимист
Регистрация: 07.01.2006
Сообщений: 961
Написано 105 полезных сообщений (для 259 пользователей)
|
Ответ: Первый java-вирус
самое простое: запустить
java -jar proguardgui.jar
input/output
-указать входной и выходной jar файлы
-указать где лежат clcd11.jar и midp20.jar
Shrinking
-ставим галочку напротив Midlets
Information
-Preverify
-Micro edition
-не помешает Target 1.3
а дальше Process!
В комплекте идет солидная справка.
Что забавно, пробовал на SMS_Bomber.jar пока не перепаковал его в TotalCommander прогвард ругался на проблемы с архивом
ЗЫ: говорят с версией 4.х есть проблемы, не всегода корректно работает
Последний раз редактировалось Piligrim, 17.04.2008 в 18:56.
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
17.04.2008, 19:55
|
#12
|
ПроЭктировщик
Регистрация: 28.03.2007
Сообщений: 194
Написано 7 полезных сообщений (для 25 пользователей)
|
Re: Первый java-вирус
все делал как написано выскакивает ошибка
cant read [........lalala.jar] (only DEFLATED can have EXT description)
пробовал перепаковывать версия 4.2 бета 2 щас опробую с ранними версиями...
о чтото я пощелкал и заработало...
|
(Offline)
|
|
01.08.2008, 11:59
|
#13
|
AnyKey`щик
Регистрация: 27.04.2008
Сообщений: 5
Написано 0 полезных сообщений (для 0 пользователей)
|
Ответ: Первый java-вирус
Are programs compiled by Odd's version of MP, still detected as a virus?
Babelfish:
Программы составленные Odd' версия s MP, все еще обнаруженная как вирус?
|
(Offline)
|
|
01.08.2008, 16:07
|
#14
|
Нуждающийся
Регистрация: 07.07.2008
Адрес: Zp-UA
Сообщений: 58
Написано 4 полезных сообщений (для 11 пользователей)
|
Ответ: Первый java-вирус
2FISHY
насколько я ззнаю (и вижу) нет.
__________________
Счастья. Для всех. Даром. И пусть никто не уйдет обиженным... (с) Стругацкие "Пикник на обочине"
2++ + 2 = 5 не все так просто в этом мире
2b || !2b вот в чем вопрос...
|
(Offline)
|
|
03.08.2008, 12:51
|
#15
|
Оператор ЭВМ
Регистрация: 05.07.2008
Сообщений: 30
Написано 0 полезных сообщений (для 0 пользователей)
|
Ответ: Первый java-вирус
Сообщение от odd
я слышал и о трояне под названием SMS Alert по-моему. Он весит поменьше, килобайт 10 - 15 (судя по размеру, тоже написан в MP, если б на Java там и в 5 кило можно уложиться), просто тупо отсылается SMS, при этом мидлет часто маскируют по названию под какую-нибудь Java игру и выкладывают на WAP обменники.
|
Маленькая поправочка - это приложение антиугонка - в приложение вводится номер телефона на который будет приходить смс - если украли телефон - то при запуске смс алерта(а он специально замаскирован под игру) к вам отправляется смс с номером вора, а т.к. в России симки регистрируется по паспорту - остаётся дело за малым. В Ураине толку мало от него =)
Правда многие нехорошие люди используют его в плохих целях, ведь ничего не стоит вписать рекламный номер для наживы
А вообще подобные приложения опасны только для телефонов в которых отсутствует выбор прав приложения на доступ к ф.с., к инету, к смс. Например обладатели моторол могут спать спокойно =)
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 06:50.
|