Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar.
Приложение является MIDP-1.0 мидлетом.
Размер файла - 77 869 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл Cool_Sms.jar и запустить вредоносную программу.
Вредоносная программа маскируется под сборник SMS сообщений, который позволяет отправлять сообщения стандартными средствами мобильного телефона. Имеет русскоязычный интерфейс. Архив содержит в себе следующие файлы:
FS.class - вспомогательный файл (2 103 байта);
FW.class - вспомогательный файл (2 664 байта);
S.class - вспомогательный файл (1 507 байт);
CoolSMS.png - файл изображения (2 755 байт);
Error.png - файл изображения(2 554 байта);
Wait.png - файл изображения(2 481 байт);
M.class - файл интерфейса (32 620байт);
SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт);
sms1.html - подборка SMS (7 498 байт);
sms2.html - подборка SMS (139 860 байт);
sms3.html - подборка SMS (62 885байт);
sms4.html - подборка SMS (25 699байт);
sms5.html - подборка SMS (60 878байт);
sms6.html - подборка SMS (57 389байт);
Файлы sms1.html, sms2.html, sms3.html, sms4.html, sms5.html, sms6.html содержат тексты SMS сообщений, которые программа может отправлять по выбору пользователя, на указанный пользователем номер. Примеры текстов этих сообщений представлены ниже:
sms1.html:
«Твой сосед купил новую мебель. Сегодня ночью приду тебя душить. Жаба.»
«Поздравляю тебя с наступающим божественным праздником. Желаю следующий праздник встретить в раю... »
....
Sms2.html:
«Никогда не откладывай на завтра то, что можно и не делать. »
«Доехала нормально, целую. Твоя крыша.»
....
Sms6.html:
«Его ушами в холода, Я укрываюсь иногда...»
«Долго её мужики истязали, Били лопатой, зубами кусали, К горлу подставили ржавую вилку... Все тки, открыли пивную бутылку!»
....
-Эти SMS будут отправлены только адресату, который был выбран пользователем. Кроме этого вредоносная программа, параллельно посылает SMS со словом "text" на платные номера. Деструктивная составляющая.
В момент, когда пользователь отправляет выбранные им сообщения, вредоносная программа Cool_Sms.jar отправляет SMS на некоторые платные номера. Отправка SMS заканчивается только тогда когда опустошается лицевой счет абонента.
Программа имеет деструктивный функционал, полностью совпадающий с функционалом RedBrowser.a. Однако в сети вредоносная прграмма распространяется под именем Cool_SMS.jar (программа весьма распространена в сети) и имеет при этом собственную маскирующую программу отличную от RedBrowser.a - это может ввести пользователя в заблуждение.
К тому же при дизассемблировании файлаM.class, представляющего собой интерфейс маскирующей программы, обнаружились следующие строки:
0000 0034.import SM
0000 0035 SM.send(Ljava/lang/String;Ljava/lang/String;)I
0000 0036 SM.IS()I
0000 0037 SM.GS()I
......
0000 053C invokestatic SM.send(Ljava/lang/String;Ljava/lang/String;)I
Это показывает, что программа Cool_Sms написана СПЕЦИАЛЬНО для маскировки вредоносных действий вируса.
Исходя из всего вышесказанного, автор считает целесообразным выделение Cool_Sms в виде отдельного вируса, либо новой модификации RedBrowser.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer v 1.80
SMSi.a
Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar (возможное название isms.jar).
Приложение является MIDP-2.0 мидлетом. Название мидлета - iSMS.
Размер файла - 12 037 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Вирусное приложение выдает себя за программное обеспечение, способное отправлять sms сообщения от имени любого номера отправителя. Зловред имеет русскоязычный интерфейс. При выборе страны отправителя отображается следующий список стран:
Россия
Украина
Украина(Life
Казахстан
Таджикистан
Эстония
Литва
Латвия (Tele-2)
Латвия (Lmt)
В вирусной программе отображается следующее сообщение:
"iSMS - это уникальное java-приложение для отправки SMS с любого номера.
В поле ввода "от кого" можно указывать как номер телефона (в международном формате), так и любое слово, например: "79261234567" или "Putin". В поле ввода "на какой номер" следует четко указать номер телефона (в международном формате), кому адресовано сообщение. Для увеличения длины сообщения используйте latinskie bukvy."
А также следующий текст правил отправки SMS:
"Запрещается отправлять шутки содержащие информацию, носящую незаконный характер, включая информацию, нарушающую честь и достоинство, права и охраняемые законом интересы граждан, ложную или клеветническую информацию, материалы, способствующие разжиганию национальной розни, призывающие к совершению насилия над каким-либо лицом или группой лиц, содержащие инструкцию по совершения противоправной деятельности, в том числе разъясняющие порядок изготовления и/или применения взрывчатых веществ, оружия и наркотических средств. Так же запрещается использовать названия брэндов компания (в том числе и операторов связи) без их согласия.
При нарушении одного из этих правил, Ваше сообщение может быть не доставлено адресату." Архив содержит в себе следующие файлы:
ISms.class - основной класс троянской программы, осуществляющей отправку SMS (2 814 байт);
logo.png - файл изображения (983 байт);
CoCanvas.class - (3 709 байт);
LogoCanvas.class - (1 933 байт);
MyCanvas.class - (11 005 байт);
e.png - файл изображения (182 байт);
i.png - файл изображения (178 байт);
Sms.png - иконка приложения (153 байт);
Info.txt - текстовый файл (179 байт);
Файл Info.txt содержит в себе следующую текстовую информацию:
"iSMS - Java-приложение для отправки SMS-сообщений с любого номера.
Стоимость номеров:
9916 - 2.8 у.е.
1161, 5013, 1390 - 3 у.е.
13202 - 3.5 у.е.
26000613, 29301199 - 5 у.е."
Деструктивная составляющая.
Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar.
