[ЖЖ][ЕРУНДА] новая волна sms лохотрона/червя?

0

1

собственно только что пришло SMS сообщение что мне якобы было отправлено MMS сообщение для просмотра которого необходимо пройти по адресу ~~http://mms-portal.ru.~~ при заходе по данному адресу мне отдался некий .jar. собственно сейчас пойду поковыряю что это за жаба апплет.

Ссылка

←	Вопрос ночному лору.

[Шатлврот] Хотите знать, как делают Убунту?

→

> при заходе по данному адресу мне отдался некий .jar. собственно сейчас пойду поковыряю что это за жаба апплет.

делись, чо.

mono ★★★★★
(29.09.10 01:39:38 MSD)

Ответ на: комментарий от mono 29.09.10 01:39:38 MSD

По указанному адресу отдаётся index.html, который на самом деле jar. wgetабельно. Enjoy.

Cancellor ★★★★☆
(29.09.10 01:42:00 MSD)

Ссылка

Ответ на: комментарий от mono 29.09.10 01:39:38 MSD

делись, чо.

ну обычный J2ME апплет. скорее всего отсылает SMS на платные номера.

там внутри есть пара текстовых файлов с какими то id'шниками или номерами и мессагой.

в манифесте следующее:

Manifest-Version: 1.0
Ant-Version: Apache Ant 1.7.1
Created-By: 16.3-b01 (Sun Microsystems Inc.)
MIDlet-1: Horoscope,/icon.png,main
MIDlet-Vendor: Vendor
MIDlet-Name: Horoscope
MIDlet-Version: 1.0
MicroEdition-Configuration: CLDC-1.0
MicroEdition-Profile: MIDP-2.0

exception13 ★★★★★
(29.09.10 01:46:37 MSD) автор топика

Ссылка

«Внимание гороскоп обновляется каждый день. Для работы приложения вам необходимо иметь активное подключение к интернет. Стоимость активации составляет 300р. с НДС после оплаты приложение работает без ограничений по времени»

в одном из текстовых файлов

exception13 ★★★★★
(29.09.10 01:48:29 MSD) автор топика

Ссылка

В microemulator не запускается, вываливает длиннющий лог ошибок, но название видно: Horoscope

Cancellor ★★★★☆
(29.09.10 01:48:48 MSD)

Ссылка

так же есть ссылка на http://gor.yadia.ru/ на котором красуется дефолтовая страница апача

exception13 ★★★★★
(29.09.10 01:49:35 MSD) автор топика

Ссылка

jad'ом его ! (http://www.varaneckas.com/jad)

Ja-Ja-Hey-Ho ★★★★★
(29.09.10 01:49:58 MSD)

Ссылка

serge@blackmarble:~$ whois yadia.ru
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian) 
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain:     YADIA.RU
nserver:    ns.majordomo.ru.
nserver:    ns2.majordomo.ru.
nserver:    ns3.majordomo.ru.
state:      REGISTERED, DELEGATED, UNVERIFIED
person:     Private person
phone:      +79038837849
e-mail:     blemaren@mail.ru
registrar:  REGTIME-REG-RIPN
created:    2010.06.18
paid-till:  2011.06.18
source:     TCI

Last updated on 2010.09.29 01:50:46 MSK/MSD



serge@blackmarble:~$ nmap gor.yadia.ru

Starting Nmap 5.21 ( http://nmap.org ) at 2010-09-29 01:50 MSD
Nmap scan report for gor.yadia.ru (178.250.243.201)
Host is up (0.046s latency).
rDNS record for 178.250.243.201: ivr-tehnologii.ru
Not shown: 987 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
465/tcp  open  smtps
993/tcp  open  imaps
995/tcp  open  pop3s
2525/tcp open  unknown
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 4.79 seconds

exception13 ★★★★★
(29.09.10 01:52:42 MSD) автор топика

Да, мне тоже такое пришло.

hibou ★★★★★
(29.09.10 02:04:26 MSD)

Ссылка

Декомпиляция (с помощью java.decompiler.free.fr) для желающих:

Класс main: http://paste.org/pastebin/view/22949
Класс a: http://paste.org/pastebin/view/22951
Класс b: http://paste.org/pastebin/view/22952
Класс c: http://paste.org/pastebin/view/22953
Класс d: http://paste.org/pastebin/view/22954
Содержимое текстовых файлов: http://paste.org/pastebin/view/22955
+2 картинки (intro.png, icon.png).

Не знаю, что там случилось с декомпиляцией main.main(), может, внутренняя ошибка, может, законспирировались хитро.

proud_anon ★★★★★
(29.09.10 02:49:36 MSD)

Ответ на: комментарий от proud_anon 29.09.10 02:49:36 MSD

Почему все вирусы не написаны на жабе?..

~~vertexua~~ ★★★★★
(29.09.10 02:52:53 MSD)

Ответ на: комментарий от proud_anon 29.09.10 02:49:36 MSD

>main.main()

То есть не main.main(), а main.startApp()

proud_anon ★★★★★
(29.09.10 02:57:00 MSD)

Ссылка

Ответ на: комментарий от vertexua 29.09.10 02:52:53 MSD

>Почему все вирусы не написаны на жабе?..

Ну, потому что на Visual Basic выглядит солиднее.

proud_anon ★★★★★
(29.09.10 02:58:25 MSD)

Ссылка

CCЗБ.

необходимо пройти по адресу http://mms-portal.ru

На Хабре уже обсасывалие решение суда по которому тебя не обязаны уведомлять что ты подписался на платную рассылку. Достаточно пройти по ссылке, и всё, несколько SMS'ок опустошат твой счёт.

Camel ★★★★★
(29.09.10 09:59:33 MSD)

Ссылка

на мтс такое постоянно приходит

overmind88 ★★★★★
(29.09.10 11:44:34 MSD)

Ссылка

Интересно, есть те кто на это ведутся?

DNA_Seq ★★☆☆☆
(29.09.10 13:55:16 MSD)

Ссылка

Ответ на: комментарий от exception13 29.09.10 01:52:42 MSD

забыл также про

domain: MMS-PORTAL.RU
nserver: ns1.jino.ru.
nserver: ns2.jino.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
phone: +7 982 6204968
e-mail: viartshop@mail.ru
registrar: REGRU-REG-RIPN
created: 2010.08.29
paid-till: 2011.08.29
source: TCI

DNA_Seq ★★☆☆☆
(29.09.10 14:00:36 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрос ночному лору.

Talks

[Шатлврот] Хотите знать, как делают Убунту?

→

CCЗБ.

Похожие темы