Pull to refresh

Comments 130

Отлично, отлично. Теперь стоит отписать в суппорт моби.денег и заблокировать мобильный номер.
Заодно найти владельца и подать в суд ;)
интересно, спасибо.

сообщили куда следует?
Нет, не сообщал. Лично я доволен уже самим фактом того, что мне подняли настроение.
А теперь хорошо бы и другим настроение поднять :-) Потенциальным жертвам, например. Короче, напишите в саппорт.
А вот вместо того, чтоб минусовать, могли б сами и сообщить, если вы считаете это важным. Я нет.
типичный современный человек, чё.
вот тебе ситуэйшн для примера — идёшь, увидел девушку насилуют. дома нашёл девушку вконтакте и сидишь радуешься, какой молодец.

завтра разведут твою подругу или родителей — что скажешь?

по теме — да, ты проявил внимание, разобрался в механизме. поумнел.

в саппорт сообщено
Демагогию разводите. В любом случае, у каждого должен быть свой взгляд на вещи, иначе жить не интересно.
А вы, наверняка, побежите бедную девушку спасать.
А вы не побежали бы?
У меня такой ситуации не было, потому я не скажу. Сердцем надеюсь, что побежал бы. Хотя мозг подсказывает, что кроме ножа в сердце ничего не получил бы за это. В любом случае, про это тяжело сказать.
Просто другое дело, что samansay тут делает громкие заявления при большой вероятности того, что сам бы тихонечко опустил голову и пошёл бы дальше.
Поднять шум или вызвать ментов (или теперь уже копов или фараонов))) — особой отваги не требуется.
Так же, как и сообщить в поддержку о смсном злодее =)

автору топика или лень, или он симпатизирует разработчику вируса?
Автору топика не позволяет жизненная философия :)
А разве телефон разрешит без ведома пользователя отправить SMS?
SE точно не разрешит (говорю как опытный владелец k750i и w995).
На любую манипуляцию спрашивает разрешения (смс, файлы, интернет, блютуз, пр.)
ха, вообще странно. Помню когда пользовался прогой BT-info (название точно не помню) ТОЛЬКО к SE можно было подключаться без подтверждения (подтвердить надо было только самый 1-й раз)
хотя может это SE были старые модели… дело было года 3-4 назад.
А Вы собирались подтверждать доступ мошеннических программ постоянно?
Если и так, 1 подтверждения вполне достаточно.
Хотя мне всегда предлагает варианты:
— только в этот раз
— всегда
— не сейчас

Я помню что телефоны Siemens принимали все подряд, на счет отправок не помню.
Тёплые воспоминания)
При помощи таких вот midlet-приложении конечно разрешит ведь оно задействует стандартные функции телефона. Чернушники называют их алармами. Обычно делают их для отправки на примиум номера…
Телефон спрашивает при запуске приложения разрешение на отправку смс, может это делают не все, но как писали выше SE и samsung спрашивают
Я опустил одну подробность. Там в определённый момент должен выводиться текст, который предупреждает, что будет отправлена смс, но лукавит касательно её стоимости. Вот он:
Вам пришла открытка, это демонстрация работы приложения, у Вас есть право выбора открыть или не открывать это приложение, открытка пришла от анонимного источника, учтите после нажатия на кнопку согласен у Вас спросят отослать смс, стоимость которой 15 сантим с НДС

Правда, я так и не понял, как стоимость можно мерить в «сантим», ну да это уже детали.
Гугл подсказывает, что сантим — это 0.01 латвийский лат. Так что вирус, очевидно, имеет латвийские корни
Спасибо! Значит, в Латвии тоже пишут на Java…
Не, я о том, что мой насквозь московский мозг ожидал увидеть какую-нибудь более рублеподобную единицу измерения денег. А так случился небольшой когнитивный диссонанс.
Мне кажется, всему виной простая невнимательность авторов программы.
Они круто поступают. Требуют много раз нажать ОК — типа, загрузка зависла, продолжить? — и в один прекрасный момент пользователь случайно подтверждает отправку смс. Глаз замыливается, рука набивается. Правда, таких упёртых немного, но есть.
Красиво разводят. Было бы интересно узнать чей это номер.
Дружно начинаем звонить
хабраэффект перелез в мобильники!
С этим видом разводов сталкивался еще в 90х.

П.С. Мда, хабр уже не торт( С такими темпами, скоро на главной будет вскрытие «99 бутылок пива»(
А еще, по количеству минусовавших мой комент можно подсчитать кол-во школоты на хабре)
Далеко не школота, Вас не минусовал, но считаю что все минусы полностю заслуженые. В любом случае человек поработал руками, получил наслаждение и некий, в своем роде, опыт, это не какой нить кросс-пост или ссылка на очередную новсть коих в интернете итак завались.
Проблема в том, что сейчас в песочнице висит хорошая статья про Alfresco, а на главной — отчет по использованию стороннего декомпилятора, получивший 58 комментария. Я ничего не имею против отчета, но здравый смысл при расстановке приоритетов должен быть.
Я тоже ничего не имею против Alfresco, но все вопросы к НЛО.
нет нет, это я к вопросу ценности сферического опыта для комьюнити
А бывает ли не сферический опыт? Ни одна ситуация не может быть воспроизведена со стопроцентной идентичностью.
бывает более ценный, и менее ценный
Субъективно более ценный и субъективно менее ценный. Одним нравится одно, другим нравится другое. Мир несправедлив, это факт.
Этот пост и автор смотивировали меня попробовать разобрать какое-либо приложение. Про декомпиляцию classов знал раньше, но не знал как/через что/насколько это выглядит простым. Ценность опыта — понятие индивидуальное.
Расстановкой приоритетов занимаются люди которые дают евенты, возможно текущая статья появилась раньше и поэтому получила евент, возможно чем-то другим взяла, я не знаю, но факт остается фактом, фраза на которую я ответил заслуживает негатива.
Если речь об этой вот статье,
habrahabr.ru/sandbox/23570/
то она там появилась чуть ли не на сутки раньше моей.
Моя, кстати, в песочнице и не лежала. Отправил на премодерацию и через четверть часа забирал в почте инвайт (чем был неслабо удивлён).
инвайты

ну да, я и не доказываю, что «хабр — не торт» правильно утверждение. Я говорю о том, что из-за смены интересов комьюнити более узкоспециализированные статьи имеют меньшую значимость, т.е. с ростом популярности хабра уменьшились требования к публикациям. Не знаю, хорошо это, или плохо.
Смотря кому :) Я вот выяснил здесь только одно — «пишешь сообщения раз в 5 минут? напиши популярную статью». На самом деле узким специалистам тут не место, не потому что не нужны, потому что они здесь не найдут ничегополезного и их работа не окажется востребованной. Тут айтишников то уже наверно не больше половины :) Я не говорю уже про специалистов.
В 90-ых на телефонах небыло Java.
В том то и дело, что была. Первый мой мобильник от Erricsson, купленный в далёком 98 поддерживал простейшие ява приложения.

П.С. Java 2-й редакции вышла еще в середине 90-х. Уже не помню, когда произошло разделение на мобильную и РС-ную версии явы, но ява изначально была придумана для маломощных выч. устройств, типа микроволновок и прочего. Потому и до мобильников она очень быстро добралась. Другое дело, что мало кто изначально её использовал в мобильниках.
Java 1.0 официально анонсирована Sun 23 мая 1995 года. До конца 1990-х Явы в мобильниках не было, так как спецификация CLDC 1.0 (JSR 30) вышла в мае 2000 года, а спецификация MIDP 1.0 (JSR 37) была опубликована в сентябре того же года.

Первые устройства, поддерживающие J2ME (MIDP 1.0/CLDC 1.0), появились в 2001 году и не могли отсылать SMS по причине отсутствующей на тот момент реализации спецификации Wireless Messaging API (JSR 120), появившейся несколько позднее — в августе 2002 года.
Ага, а до телефонов WMAPI докатилась еще спустя фактически год. Но ведь всегда найдутся люди, которые ведут блоги в интернете в 1993 года.
Угу и СЕОшники 17 лет с 16-летним опытом.
«Скачиваю ей 606.jar (антивирь молчит в тряпочку)» — за это антивирус можно расстрелять.
Для него НЕ ДОЛЖНО быть разницей, скачался ли файл через wget, download manager или через chrome.
Вообще говоря, для компьютера этот файл совершенно и абсолютно безвреден.

1) Даже с установленной JVM этот код не запустится, т.к. нет midlet-окружения.
2) Даже если этот код принудительно запустив, например в J2ME эмуляторе — компьютер не умеет отправлять СМС

Так что да, антивирус показал себя тут с плохой стороны дважды:
— зря транжирит ресурсы, включив сигнатуру этого «вируса» себе в базу
— не следит за всеми каналами поступления информации
Он не безвреден. Кому-то мог придти этот вирус на электронную почту, с сообщением «Новый бильярд — просто закачай файл на телефон, и играй сколько угодно!».

Соответственно могут найтись люди достаточно опытные чтоб уметь закачать файл на телефон, но недостаточно опытные, что бы его туда не закачивать. От таких ситуаций антивирь и оберегает.
Программа безвредна, обычная отправка смс и показ картинки, что в этом зловредного? Таких программ официальных тысячи.
Вряд ли антивирус будет на _любую_ программу реагировать как на вирус. Видимо каким-то образом он его выделяет из многих.
Я думаю он реагировал на домен
Таки я сейчас пригляделся, и вот:

Конкретно на класс ругается.
А если просто открыть loadsms.ru, то ничего особенного не происходит:
«Вредоносный сайт ЛИБО(!!!) файл».

Антивирус, который не умеет отличить сайт от файла — это эпик сайт файл.
Этот файл можно переписать на телефон. Значит, есть опасность для его владельца. Значит, его следует оградить от заражения и деструктивных действий.
Как пример также я могу взять антивирусы под макос. В основном базы их ищут файлы с деструктивным исполняемым кодом под windows. Для j2me тоже можно, почему нет?
Можно создать *.CMD файл с коммандой «Format c:». И если его запустит кто-нибудь — команда выполнит деструктивные действия. Но это же не значит, что антивирь должен бросаться на все файлы, которые содержат эту команду. С таким подходом мы и все менеджеры разделов покиляем, они же тоже опасны для владельца.
в свое время кто-то из досовских антивирусов, то ли aidstest, то ли dr.web отдельной строкой находил такие батники со словами «хозяин, а этот файл тебе диски может того».
Зато бесплатный!
В любом случае, самый главный антивирус — мозг.
Равно как и самый злостный вирус — тоже он :)
Я не говорил о том, безвреден он или нет.
Я о том, что нормальный антивирус проверяет файл в момент его создания или модификации, и какая именно программа и каким образом создала или модифицировала файл — wget, chrome, echo >> или notepad — для хорошего антивируса обычно неважно. И если при закачке браузеров антивирус визжит, а закачке с помощью wget или распаковки из zip молчит — то это плохо.
Какой антивирус использовался? Чтобы страна знала своих «героев».
Avast. При раззиповке орал и бил по рукам, так что пришлось усыпить на 10 минут. А скачать wget'ом позволяет совершенно спокойно.
Я всегда думал, что скачать все антивирусы должны позволить всё, что хозяин захочет.

Полагаю, проблема была в том, что браузер ваш обучен скачивать и на лету разархивировать скачанное.
Вот заминусовали человека а ведь на самом деле он прав, программа технически не вирус, она не делает ничего зловредного, обычный себе jar файл который отправляет смс и показывает картинку, ничего страшного, антивирусник скорее всего визжал на фишинговый домен, мне кажется настучали уже на эту программку люди
мне тоже пришла такая смс) тоже полез указанной ссылке, но к тому моменту там уже ничего не было(((
Времена нычне тяжелые, не то что за пиратскими релизами — за троянами и то надо охотиться =))
Минуты три назад проверял — троян на месте. Может, он под хабраффектом лёг? давайте ещё раз попробуем: loadsms.ru/606.jar
DDoS-атака с помощью Хабрахабра? =)
Просто сайт уже в дауне!
Reflection позволяет запущенной программе «изучать» себя — сигнатуры методов, классы. Никогда — исходный код. См. рефлексия

Byte code decompilation, например при помощи www.reversed-java.com, эвристически преобразует class-файлы в исходные java-файлы, с возможными потерями некоторой информации. См. Декомпилятор, Обфускация
Я тоже подумал об этом. Как это с помощью Reflection можно получить исходный код? :) Максимум, сигнатуры методов.
Виноват, исправлюсь. Спасибо за указания!
кстати, да. непонятно почему код необфусканный. по-моему при разработке мидлетов обфускация кода — стандартная операция.
Возможно, из-за лени автора. Впрочем, имена переменных явно не оригинальные, а сгенерированные уже декомпилятором. Что совершенно не повлияло на непосредственно разбор кода.
В избранное, однозначно. Люблю детективный жанр.
loadsms.ru. 45m15s IN A 212.115.229.83

А также

mycmc.ru. 48m4s IN A 212.115.229.83

inetnum: 212.115.229.0 — 212.115.229.255
netname: FREGAT-NET
descr: FREGAT
country: UA
status: ASSIGNED PA
admin-c: SG9794-RIPE
tech-c: MF8312-RIPE
mnt-by: FREGAT-MNT
source: RIPE # Filtered

212.115.229.83/ =)

Есть тут кто из Фрегата? Надо законными методами наказать товарища, пока не поздно ;) (абузу уже написал)
Усё!

ping 212.115.229.83
PING 212.115.229.83 (212.115.229.83): 56 data bytes
^C
— 212.115.229.83 ping statistics — 5 packets transmitted, 0 packets received, 100% packet loss

wget 212.115.229.83
--14:42:16-- 212.115.229.83/
=> `index.html.3'
Установка соединения с 212.115.229.83:80… failed: Operation timed out.

Ну вот и славно. Ждём появления новых адресов.
Вас теперь совесть не замучает? :)
мм… whois

domain:     LOADSMS.RU
nserver:    ns1.next-host.net.
nserver:    ns2.next-host.net.
state:      REGISTERED, DELEGATED, VERIFIED
person:     Private Person
phone:      +7 495 7901696
fax-no:     +7 495 7901696
e-mail:     2263724@gmail.com
registrar:  NAUNET-REG-RIPN
created:    2011.01.18
paid-till:  2012.01.18
source:     TCI

Last updated on 2011.01.20 20:53:42 MSK/MSD


VERIFIED — не отвертится.
Надо добивать!

DOMAIN: NEXT-HOST.NET

RSP: — URL: drs.ua

owner-contact: P-DSB1190
owner-organization: Fort
owner-fname: Dan
owner-mname: Serg
owner-lname: Brezhnev
owner-street: Pobeda 3
owner-city: Dnepr
owner-state: DP
owner-zip: 49100
owner-country: UA
owner-phone: +380993037043
owner-email: legion.mail@ua.fm

admin-contact: P-DSB1190
admin-organization: Fort
admin-fname: Dan
admin-mname: Serg
admin-lname: Brezhnev
admin-street: Pobeda 3
admin-city: Dnepr
admin-state: DP
admin-zip: 49100
admin-country: UA
admin-phone: +380993037043
admin-email: legion.mail@ua.fm

tech-contact: P-SOL509
tech-organization: Service Online LLC
tech-fname: Andrey
tech-mname: E
tech-lname: Khvetkevych
tech-street: p/b 147
tech-city: KYIV
tech-state: Kiev
tech-zip: 04050
tech-country: UA
tech-phone: +380.445937569
tech-fax: +380.445937569
tech-email: support@nic.ua

billing-contact: P-SOL509
billing-organization: Service Online LLC
billing-fname: Andrey
billing-mname: E
billing-lname: Khvetkevych
billing-street: p/b 147
billing-city: KYIV
billing-state: Kiev
billing-zip: 04050
billing-country: UA
billing-phone: +380.445937569
billing-fax: +380.445937569
billing-email: support@nic.ua

nameserver: ns1.next-host.net 212.115.229.83
nameserver: ns2.next-host.net 212.115.229.83
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Тот-же IP, который уже отключил Фрегат по моей абузе. Еще и сами себе секондари 0_o

Ушла абуза в nic.ua
А вообще-то хорошо бу еще передать это дело в какой-нибудь отдел «К» — только я не знаю куда писать :(
UFO landed and left these words here
UFO landed and left these words here
Вот, пока я не попал на Хабр, думал, что знаю Java. Как полезно быть тут!
Полезно не думать, что знаешь Java/c++/что-либо =)
Я про то что это мотивирует узнавать что-то новое, не сочтите за попытку обидеть
Согласен с Вами, так оно и есть, мотивирует!
Браво! Очень интересно и даже захватывающе %)
Мне кстати недавно тоже приходило нечто подобное, жалко что сразу удалил.
И спасибо за инфу по декомпеляции
UFO landed and left these words here
UFO landed and left these words here
такие всегда будут — сильный, умный, наглый, хитрый, быстрый и т.д. мошенник не такая уж и редкость, а тут достаточно быть просто технически грамотным мошенником-разработчиком
Социальная инженерия в действии. Никакой антивирус с этим не справится.
Мозги есть, вот собственно и работают в этом направлении. Я ни в коем случае не оправдываю «злодеев», но если мы с вами на такую уловку не попадемся, то элементарно добрая половина моего семейства уже не раз спокойно открывали подобные ссылки. И братик успешно слал sms для снятия порнобанера. Что приносит доход будет жить.
а рассказать об остальном содержимом архива?
А там ничего особенно интересного и не осталось. Вот, разве что, сама открытка.
Отличный выбор, респект автору :D
Интересно, познавательно. Главное, ссылки есть. Буду знать теперь, как исходник при необходимости из джава-класса вытащить…

P.S. Да уж, с С++, упакованным упиксом, так не поиграешься…
UPX --decompress и IdaPro уже отменили?
Это детский сад какой-то.

NuMega SoftIce — вот выбор настоящих мужчин.
Автор троянчика не думал даже, что у кого-то дойдут руки разобрать на части его изобретение. Здесь есть и лень и самонадеянность на то что умных слишком мало, а дураков много. Но если бы он компилировал без debug флага, то код читать было бы куда сложнее. Да и константы можно было бы зашифровать… Попалился на самодовольстве. Но всеравно кому надо намотает на ус… )))
Ну а разве автор оказался не прав? Дураков и правда много и разработка даже такой халтуры оказывается экономически оправданной.
Да даже обычный обфускатор помог бы.
Реверс-инжиниринг — это, безусловно, интересно, но в заголовке лучше уточнить, что речь идет о Java ME, написать «инжиниринг» через «и», и, наконец, никогда не переводить «Reflection» в программировании как «Отражение». Для этого есть правильный, подходящий по смыслу, термин Рефлексия, на который Вам уже указали выше.
Спасибо за замечания, исправил.
Эх, авторы троянца… Могли бы постараться, выдрать контакт лист из телефона, отправить всем сообщения о том что вам пришла открытка, а потом отправить сообщения на два положенных номера. Умел бы он так делать, можно было бы наблюдать за его размножением, это была бы прекрасная штука. А так вот просто — это не вирус, так, фигня.
Каким бы навороченным не был Java ME троянец, он бы обломался, встретившись с моей Nokia 1202.
Когда запросы приходят от «девушек» в ICQ с извинениями и ссылками на фотки — если скучно — стягиваю ссылку (предварительно уточнив у настоящей девушки — не она ли? (: ) через тот же wget, разархивирую, смотрю фотку (^_^). Эдакий «способ-для-гурманов» для просмотра лёгкой эротики.
Спасибо! Приятно знать, что это понравилось кому-то кроме меня.
Ха, прочитал статью, через 3 мин приходит смс: от +79153483347 «Вам пришло mms, просмотр с мобильного — j.mp/idfZ0j». По ссылке jar-файл
Сейчас посмотрим, чего там такое :)
А там аналог, правда, написанный на порядок лучше. Целых 4 класса вместо одного, и использует потоки. Разбор этой разновидности нашёлся в Сети: blog.grossws.net/2010/11/blog-post.html (конкретно по Вашей ссылке немного другие номера, но сути это не меняет)
забавно, если создатели вируса тоже сидят на хабре и читают эту статью
Есть такая вероятность. Ну что ж, тогда с нетерпением ждём новых, более совершенных версий!
Я вот одного не понимаю. Почему такие разводы не попадают под статью «вымогательство»? Номером владеет не Анонимус с улицы, а вполне конкретный и идентифицированный человек, которого можно привлечь за «сообразительность».
Да почти наверняка номер оформлен на некого бомжа. А почему не попадают… да потому, что это в нашей стране нафиг не нужно, проблемы народа местного шерифа не волнуют, а дяденьке из кремля такое смс не придет просто, из телефонов нет в свободном доступе.
Кстати, не факт. Вон, промо-стойки операторов. Там симки уже оформлены. Никаких документов не нужно. Покупай и пользуйся.
Мне такая же хрень пришла. Хорошо хоть супруга не видела, а то потом доказывай что «Katya» это троян… ))
Да вообще, не экологичные методы отъёма денег у населения!
Ну они скорее незаконные ) но как раз таки экологичные — чтобы дураки имели меньше шансов на размножение ))
>Самое первое, что я заметил: программа является Java MIDLet’ом
хмм… jar, пришла по sms… Чую, что Вы раньше догадались, что это мидлет
Да, просто окончательно убедился, так сказать :)
Сегодня еще один поймал разобрал уже новая модификация но принцип тот же сейчас они в файл show.pic потоком зашифрованным пишут вот линк кому интересно bazamms.ru/MMS.jar
P.S. Антивирус будет ругаться.
Only those users with full accounts are able to leave comments. Log in, please.