Comments 130
Отлично, отлично. Теперь стоит отписать в суппорт моби.денег и заблокировать мобильный номер.
интересно, спасибо.
сообщили куда следует?
сообщили куда следует?
Нет, не сообщал. Лично я доволен уже самим фактом того, что мне подняли настроение.
А теперь хорошо бы и другим настроение поднять :-) Потенциальным жертвам, например. Короче, напишите в саппорт.
А вот вместо того, чтоб минусовать, могли б сами и сообщить, если вы считаете это важным. Я нет.
типичный современный человек, чё.
вот тебе ситуэйшн для примера — идёшь, увидел девушку насилуют. дома нашёл девушку вконтакте и сидишь радуешься, какой молодец.
завтра разведут твою подругу или родителей — что скажешь?
по теме — да, ты проявил внимание, разобрался в механизме. поумнел.
в саппорт сообщено
вот тебе ситуэйшн для примера — идёшь, увидел девушку насилуют. дома нашёл девушку вконтакте и сидишь радуешься, какой молодец.
завтра разведут твою подругу или родителей — что скажешь?
по теме — да, ты проявил внимание, разобрался в механизме. поумнел.
в саппорт сообщено
Демагогию разводите. В любом случае, у каждого должен быть свой взгляд на вещи, иначе жить не интересно.
А вы, наверняка, побежите бедную девушку спасать.
А вы не побежали бы?
У меня такой ситуации не было, потому я не скажу. Сердцем надеюсь, что побежал бы. Хотя мозг подсказывает, что кроме ножа в сердце ничего не получил бы за это. В любом случае, про это тяжело сказать.
Просто другое дело, что samansay тут делает громкие заявления при большой вероятности того, что сам бы тихонечко опустил голову и пошёл бы дальше.
Просто другое дело, что samansay тут делает громкие заявления при большой вероятности того, что сам бы тихонечко опустил голову и пошёл бы дальше.
Видимо, это Вам нужно сказать спасибо?
«Билайн предупреждает о новых способах мошенничества» :)
www.vesti.ru/doc.html?id=422154&422154
«Билайн предупреждает о новых способах мошенничества» :)
www.vesti.ru/doc.html?id=422154&422154
А разве телефон разрешит без ведома пользователя отправить SMS?
SE точно не разрешит (говорю как опытный владелец k750i и w995).
На любую манипуляцию спрашивает разрешения (смс, файлы, интернет, блютуз, пр.)
На любую манипуляцию спрашивает разрешения (смс, файлы, интернет, блютуз, пр.)
При помощи таких вот midlet-приложении конечно разрешит ведь оно задействует стандартные функции телефона. Чернушники называют их алармами. Обычно делают их для отправки на примиум номера…
Я опустил одну подробность. Там в определённый момент должен выводиться текст, который предупреждает, что будет отправлена смс, но лукавит касательно её стоимости. Вот он:
Правда, я так и не понял, как стоимость можно мерить в «сантим», ну да это уже детали.
Вам пришла открытка, это демонстрация работы приложения, у Вас есть право выбора открыть или не открывать это приложение, открытка пришла от анонимного источника, учтите после нажатия на кнопку согласен у Вас спросят отослать смс, стоимость которой 15 сантим с НДС
Правда, я так и не понял, как стоимость можно мерить в «сантим», ну да это уже детали.
Гугл подсказывает, что сантим — это 0.01 латвийский лат. Так что вирус, очевидно, имеет латвийские корни
Вы о том, что правильно «сантимов»? :)
Они круто поступают. Требуют много раз нажать ОК — типа, загрузка зависла, продолжить? — и в один прекрасный момент пользователь случайно подтверждает отправку смс. Глаз замыливается, рука набивается. Правда, таких упёртых немного, но есть.
Красиво разводят. Было бы интересно узнать чей это номер.
С этим видом разводов сталкивался еще в 90х.
П.С. Мда, хабр уже не торт( С такими темпами, скоро на главной будет вскрытие «99 бутылок пива»(
П.С. Мда, хабр уже не торт( С такими темпами, скоро на главной будет вскрытие «99 бутылок пива»(
А еще, по количеству минусовавших мой комент можно подсчитать кол-во школоты на хабре)
Далеко не школота, Вас не минусовал, но считаю что все минусы полностю заслуженые. В любом случае человек поработал руками, получил наслаждение и некий, в своем роде, опыт, это не какой нить кросс-пост или ссылка на очередную новсть коих в интернете итак завались.
Проблема в том, что сейчас в песочнице висит хорошая статья про Alfresco, а на главной — отчет по использованию стороннего декомпилятора, получивший 58 комментария. Я ничего не имею против отчета, но здравый смысл при расстановке приоритетов должен быть.
Я тоже ничего не имею против Alfresco, но все вопросы к НЛО.
нет нет, это я к вопросу ценности сферического опыта для комьюнити
А бывает ли не сферический опыт? Ни одна ситуация не может быть воспроизведена со стопроцентной идентичностью.
Этот пост и автор смотивировали меня попробовать разобрать какое-либо приложение. Про декомпиляцию classов знал раньше, но не знал как/через что/насколько это выглядит простым. Ценность опыта — понятие индивидуальное.
Расстановкой приоритетов занимаются люди которые дают евенты, возможно текущая статья появилась раньше и поэтому получила евент, возможно чем-то другим взяла, я не знаю, но факт остается фактом, фраза на которую я ответил заслуживает негатива.
Если речь об этой вот статье,
habrahabr.ru/sandbox/23570/
то она там появилась чуть ли не на сутки раньше моей.
Моя, кстати, в песочнице и не лежала. Отправил на премодерацию и через четверть часа забирал в почте инвайт (чем был неслабо удивлён).
habrahabr.ru/sandbox/23570/
то она там появилась чуть ли не на сутки раньше моей.
Моя, кстати, в песочнице и не лежала. Отправил на премодерацию и через четверть часа забирал в почте инвайт (чем был неслабо удивлён).
инвайты
ну да, я и не доказываю, что «хабр — не торт» правильно утверждение. Я говорю о том, что из-за смены интересов комьюнити более узкоспециализированные статьи имеют меньшую значимость, т.е. с ростом популярности хабра уменьшились требования к публикациям. Не знаю, хорошо это, или плохо.
ну да, я и не доказываю, что «хабр — не торт» правильно утверждение. Я говорю о том, что из-за смены интересов комьюнити более узкоспециализированные статьи имеют меньшую значимость, т.е. с ростом популярности хабра уменьшились требования к публикациям. Не знаю, хорошо это, или плохо.
Смотря кому :) Я вот выяснил здесь только одно — «пишешь сообщения раз в 5 минут? напиши популярную статью». На самом деле узким специалистам тут не место, не потому что не нужны, потому что они здесь не найдут ничегополезного и их работа не окажется востребованной. Тут айтишников то уже наверно не больше половины :) Я не говорю уже про специалистов.
В 90-ых на телефонах небыло Java.
В том то и дело, что была. Первый мой мобильник от Erricsson, купленный в далёком 98 поддерживал простейшие ява приложения.
П.С. Java 2-й редакции вышла еще в середине 90-х. Уже не помню, когда произошло разделение на мобильную и РС-ную версии явы, но ява изначально была придумана для маломощных выч. устройств, типа микроволновок и прочего. Потому и до мобильников она очень быстро добралась. Другое дело, что мало кто изначально её использовал в мобильниках.
П.С. Java 2-й редакции вышла еще в середине 90-х. Уже не помню, когда произошло разделение на мобильную и РС-ную версии явы, но ява изначально была придумана для маломощных выч. устройств, типа микроволновок и прочего. Потому и до мобильников она очень быстро добралась. Другое дело, что мало кто изначально её использовал в мобильниках.
Java 1.0 официально анонсирована Sun 23 мая 1995 года. До конца 1990-х Явы в мобильниках не было, так как спецификация CLDC 1.0 (JSR 30) вышла в мае 2000 года, а спецификация MIDP 1.0 (JSR 37) была опубликована в сентябре того же года.
Первые устройства, поддерживающие J2ME (MIDP 1.0/CLDC 1.0), появились в 2001 году и не могли отсылать SMS по причине отсутствующей на тот момент реализации спецификации Wireless Messaging API (JSR 120), появившейся несколько позднее — в августе 2002 года.
Первые устройства, поддерживающие J2ME (MIDP 1.0/CLDC 1.0), появились в 2001 году и не могли отсылать SMS по причине отсутствующей на тот момент реализации спецификации Wireless Messaging API (JSR 120), появившейся несколько позднее — в августе 2002 года.
«Скачиваю ей 606.jar (антивирь молчит в тряпочку)» — за это антивирус можно расстрелять.
Для него НЕ ДОЛЖНО быть разницей, скачался ли файл через wget, download manager или через chrome.
Для него НЕ ДОЛЖНО быть разницей, скачался ли файл через wget, download manager или через chrome.
Вообще говоря, для компьютера этот файл совершенно и абсолютно безвреден.
1) Даже с установленной JVM этот код не запустится, т.к. нет midlet-окружения.
2) Даже если этот код принудительно запустив, например в J2ME эмуляторе — компьютер не умеет отправлять СМС
Так что да, антивирус показал себя тут с плохой стороны дважды:
— зря транжирит ресурсы, включив сигнатуру этого «вируса» себе в базу
— не следит за всеми каналами поступления информации
1) Даже с установленной JVM этот код не запустится, т.к. нет midlet-окружения.
2) Даже если этот код принудительно запустив, например в J2ME эмуляторе — компьютер не умеет отправлять СМС
Так что да, антивирус показал себя тут с плохой стороны дважды:
— зря транжирит ресурсы, включив сигнатуру этого «вируса» себе в базу
— не следит за всеми каналами поступления информации
Он не безвреден. Кому-то мог придти этот вирус на электронную почту, с сообщением «Новый бильярд — просто закачай файл на телефон, и играй сколько угодно!».
Соответственно могут найтись люди достаточно опытные чтоб уметь закачать файл на телефон, но недостаточно опытные, что бы его туда не закачивать. От таких ситуаций антивирь и оберегает.
Соответственно могут найтись люди достаточно опытные чтоб уметь закачать файл на телефон, но недостаточно опытные, что бы его туда не закачивать. От таких ситуаций антивирь и оберегает.
Этот файл можно переписать на телефон. Значит, есть опасность для его владельца. Значит, его следует оградить от заражения и деструктивных действий.
Как пример также я могу взять антивирусы под макос. В основном базы их ищут файлы с деструктивным исполняемым кодом под windows. Для j2me тоже можно, почему нет?
Как пример также я могу взять антивирусы под макос. В основном базы их ищут файлы с деструктивным исполняемым кодом под windows. Для j2me тоже можно, почему нет?
Можно создать *.CMD файл с коммандой «Format c:». И если его запустит кто-нибудь — команда выполнит деструктивные действия. Но это же не значит, что антивирь должен бросаться на все файлы, которые содержат эту команду. С таким подходом мы и все менеджеры разделов покиляем, они же тоже опасны для владельца.
Зато бесплатный!
В любом случае, самый главный антивирус — мозг.
В любом случае, самый главный антивирус — мозг.
Я не говорил о том, безвреден он или нет.
Я о том, что нормальный антивирус проверяет файл в момент его создания или модификации, и какая именно программа и каким образом создала или модифицировала файл — wget, chrome, echo >> или notepad — для хорошего антивируса обычно неважно. И если при закачке браузеров антивирус визжит, а закачке с помощью wget или распаковки из zip молчит — то это плохо.
Какой антивирус использовался? Чтобы страна знала своих «героев».
Я о том, что нормальный антивирус проверяет файл в момент его создания или модификации, и какая именно программа и каким образом создала или модифицировала файл — wget, chrome, echo >> или notepad — для хорошего антивируса обычно неважно. И если при закачке браузеров антивирус визжит, а закачке с помощью wget или распаковки из zip молчит — то это плохо.
Какой антивирус использовался? Чтобы страна знала своих «героев».
Вот заминусовали человека а ведь на самом деле он прав, программа технически не вирус, она не делает ничего зловредного, обычный себе jar файл который отправляет смс и показывает картинку, ничего страшного, антивирусник скорее всего визжал на фишинговый домен, мне кажется настучали уже на эту программку люди
мне тоже пришла такая смс) тоже полез указанной ссылке, но к тому моменту там уже ничего не было(((
Времена нычне тяжелые, не то что за пиратскими релизами — за троянами и то надо охотиться =))
Минуты три назад проверял — троян на месте. Может, он под хабраффектом лёг? давайте ещё раз попробуем: loadsms.ru/606.jar
Reflection позволяет запущенной программе «изучать» себя — сигнатуры методов, классы. Никогда — исходный код. См. рефлексия
Byte code decompilation, например при помощи www.reversed-java.com, эвристически преобразует class-файлы в исходные java-файлы, с возможными потерями некоторой информации. См. Декомпилятор, Обфускация
Byte code decompilation, например при помощи www.reversed-java.com, эвристически преобразует class-файлы в исходные java-файлы, с возможными потерями некоторой информации. См. Декомпилятор, Обфускация
В избранное, однозначно. Люблю детективный жанр.
loadsms.ru. 45m15s IN A 212.115.229.83
А также
mycmc.ru. 48m4s IN A 212.115.229.83
inetnum: 212.115.229.0 — 212.115.229.255
netname: FREGAT-NET
descr: FREGAT
country: UA
status: ASSIGNED PA
admin-c: SG9794-RIPE
tech-c: MF8312-RIPE
mnt-by: FREGAT-MNT
source: RIPE # Filtered
212.115.229.83/ =)
Есть тут кто из Фрегата? Надо законными методами наказать товарища, пока не поздно ;) (абузу уже написал)
А также
mycmc.ru. 48m4s IN A 212.115.229.83
inetnum: 212.115.229.0 — 212.115.229.255
netname: FREGAT-NET
descr: FREGAT
country: UA
status: ASSIGNED PA
admin-c: SG9794-RIPE
tech-c: MF8312-RIPE
mnt-by: FREGAT-MNT
source: RIPE # Filtered
212.115.229.83/ =)
Есть тут кто из Фрегата? Надо законными методами наказать товарища, пока не поздно ;) (абузу уже написал)
Усё!
ping 212.115.229.83
PING 212.115.229.83 (212.115.229.83): 56 data bytes
^C
— 212.115.229.83 ping statistics — 5 packets transmitted, 0 packets received, 100% packet loss
wget 212.115.229.83
--14:42:16-- 212.115.229.83/
=> `index.html.3'
Установка соединения с 212.115.229.83:80… failed: Operation timed out.
ping 212.115.229.83
PING 212.115.229.83 (212.115.229.83): 56 data bytes
^C
— 212.115.229.83 ping statistics — 5 packets transmitted, 0 packets received, 100% packet loss
wget 212.115.229.83
--14:42:16-- 212.115.229.83/
=> `index.html.3'
Установка соединения с 212.115.229.83:80… failed: Operation timed out.
Ну вот и славно. Ждём появления новых адресов.
Похоже, своим абузом я попутно попортил жизнь не только этим ребятам =)
www.maultalk.com/topic75435s0.html?p=894556&#entry894556
www.maultalk.com/topic75435s0.html?p=894556&#entry894556
мм… whois
VERIFIED — не отвертится.
domain: LOADSMS.RU
nserver: ns1.next-host.net.
nserver: ns2.next-host.net.
state: REGISTERED, DELEGATED, VERIFIED
person: Private Person
phone: +7 495 7901696
fax-no: +7 495 7901696
e-mail: 2263724@gmail.com
registrar: NAUNET-REG-RIPN
created: 2011.01.18
paid-till: 2012.01.18
source: TCI
Last updated on 2011.01.20 20:53:42 MSK/MSD
VERIFIED — не отвертится.
Надо добивать!
DOMAIN: NEXT-HOST.NET
RSP: — URL: drs.ua
owner-contact: P-DSB1190
owner-organization: Fort
owner-fname: Dan
owner-mname: Serg
owner-lname: Brezhnev
owner-street: Pobeda 3
owner-city: Dnepr
owner-state: DP
owner-zip: 49100
owner-country: UA
owner-phone: +380993037043
owner-email: legion.mail@ua.fm
admin-contact: P-DSB1190
admin-organization: Fort
admin-fname: Dan
admin-mname: Serg
admin-lname: Brezhnev
admin-street: Pobeda 3
admin-city: Dnepr
admin-state: DP
admin-zip: 49100
admin-country: UA
admin-phone: +380993037043
admin-email: legion.mail@ua.fm
tech-contact: P-SOL509
tech-organization: Service Online LLC
tech-fname: Andrey
tech-mname: E
tech-lname: Khvetkevych
tech-street: p/b 147
tech-city: KYIV
tech-state: Kiev
tech-zip: 04050
tech-country: UA
tech-phone: +380.445937569
tech-fax: +380.445937569
tech-email: support@nic.ua
billing-contact: P-SOL509
billing-organization: Service Online LLC
billing-fname: Andrey
billing-mname: E
billing-lname: Khvetkevych
billing-street: p/b 147
billing-city: KYIV
billing-state: Kiev
billing-zip: 04050
billing-country: UA
billing-phone: +380.445937569
billing-fax: +380.445937569
billing-email: support@nic.ua
nameserver: ns1.next-host.net 212.115.229.83
nameserver: ns2.next-host.net 212.115.229.83
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Тот-же IP, который уже отключил Фрегат по моей абузе. Еще и сами себе секондари 0_o
Ушла абуза в nic.ua
А вообще-то хорошо бу еще передать это дело в какой-нибудь отдел «К» — только я не знаю куда писать :(
DOMAIN: NEXT-HOST.NET
RSP: — URL: drs.ua
owner-contact: P-DSB1190
owner-organization: Fort
owner-fname: Dan
owner-mname: Serg
owner-lname: Brezhnev
owner-street: Pobeda 3
owner-city: Dnepr
owner-state: DP
owner-zip: 49100
owner-country: UA
owner-phone: +380993037043
owner-email: legion.mail@ua.fm
admin-contact: P-DSB1190
admin-organization: Fort
admin-fname: Dan
admin-mname: Serg
admin-lname: Brezhnev
admin-street: Pobeda 3
admin-city: Dnepr
admin-state: DP
admin-zip: 49100
admin-country: UA
admin-phone: +380993037043
admin-email: legion.mail@ua.fm
tech-contact: P-SOL509
tech-organization: Service Online LLC
tech-fname: Andrey
tech-mname: E
tech-lname: Khvetkevych
tech-street: p/b 147
tech-city: KYIV
tech-state: Kiev
tech-zip: 04050
tech-country: UA
tech-phone: +380.445937569
tech-fax: +380.445937569
tech-email: support@nic.ua
billing-contact: P-SOL509
billing-organization: Service Online LLC
billing-fname: Andrey
billing-mname: E
billing-lname: Khvetkevych
billing-street: p/b 147
billing-city: KYIV
billing-state: Kiev
billing-zip: 04050
billing-country: UA
billing-phone: +380.445937569
billing-fax: +380.445937569
billing-email: support@nic.ua
nameserver: ns1.next-host.net 212.115.229.83
nameserver: ns2.next-host.net 212.115.229.83
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Тот-же IP, который уже отключил Фрегат по моей абузе. Еще и сами себе секондари 0_o
Ушла абуза в nic.ua
А вообще-то хорошо бу еще передать это дело в какой-нибудь отдел «К» — только я не знаю куда писать :(
Браво! Очень интересно и даже захватывающе %)
Мне кстати недавно тоже приходило нечто подобное, жалко что сразу удалил.
И спасибо за инфу по декомпеляции
Мне кстати недавно тоже приходило нечто подобное, жалко что сразу удалил.
И спасибо за инфу по декомпеляции
Мозги есть, вот собственно и работают в этом направлении. Я ни в коем случае не оправдываю «злодеев», но если мы с вами на такую уловку не попадемся, то элементарно добрая половина моего семейства уже не раз спокойно открывали подобные ссылки. И братик успешно слал sms для снятия порнобанера. Что приносит доход будет жить.
а рассказать об остальном содержимом архива?
Интересно, познавательно. Главное, ссылки есть. Буду знать теперь, как исходник при необходимости из джава-класса вытащить…
P.S. Да уж, с С++, упакованным упиксом, так не поиграешься…
P.S. Да уж, с С++, упакованным упиксом, так не поиграешься…
Автор троянчика не думал даже, что у кого-то дойдут руки разобрать на части его изобретение. Здесь есть и лень и самонадеянность на то что умных слишком мало, а дураков много. Но если бы он компилировал без debug флага, то код читать было бы куда сложнее. Да и константы можно было бы зашифровать… Попалился на самодовольстве. Но всеравно кому надо намотает на ус… )))
Реверс-инжиниринг — это, безусловно, интересно, но в заголовке лучше уточнить, что речь идет о Java ME, написать «инжиниринг» через «и», и, наконец, никогда не переводить «Reflection» в программировании как «Отражение». Для этого есть правильный, подходящий по смыслу, термин Рефлексия, на который Вам уже указали выше.
Эх, авторы троянца… Могли бы постараться, выдрать контакт лист из телефона, отправить всем сообщения о том что вам пришла открытка, а потом отправить сообщения на два положенных номера. Умел бы он так делать, можно было бы наблюдать за его размножением, это была бы прекрасная штука. А так вот просто — это не вирус, так, фигня.
Когда запросы приходят от «девушек» в ICQ с извинениями и ссылками на фотки — если скучно — стягиваю ссылку (предварительно уточнив у настоящей девушки — не она ли? (: ) через тот же wget, разархивирую, смотрю фотку (^_^). Эдакий «способ-для-гурманов» для просмотра лёгкой эротики.
Отличная работа.
Ха, прочитал статью, через 3 мин приходит смс: от +79153483347 «Вам пришло mms, просмотр с мобильного — j.mp/idfZ0j». По ссылке jar-файл
Сейчас посмотрим, чего там такое :)
А там аналог, правда, написанный на порядок лучше. Целых 4 класса вместо одного, и использует потоки. Разбор этой разновидности нашёлся в Сети: blog.grossws.net/2010/11/blog-post.html (конкретно по Вашей ссылке немного другие номера, но сути это не меняет)
забавно, если создатели вируса тоже сидят на хабре и читают эту статью
Я вот одного не понимаю. Почему такие разводы не попадают под статью «вымогательство»? Номером владеет не Анонимус с улицы, а вполне конкретный и идентифицированный человек, которого можно привлечь за «сообразительность».
Да почти наверняка номер оформлен на некого бомжа. А почему не попадают… да потому, что это в нашей стране нафиг не нужно, проблемы народа местного шерифа не волнуют, а дяденьке из кремля такое смс не придет просто, из телефонов нет в свободном доступе.
Кстати, не факт. Вон, промо-стойки операторов. Там симки уже оформлены. Никаких документов не нужно. Покупай и пользуйся.
Мне такая же хрень пришла. Хорошо хоть супруга не видела, а то потом доказывай что «Katya» это троян… ))
Билайн встрепенулся: www.vesti.ru/doc.html?id=422154&422154
>Самое первое, что я заметил: программа является Java MIDLet’ом
хмм… jar, пришла по sms… Чую, что Вы раньше догадались, что это мидлет
хмм… jar, пришла по sms… Чую, что Вы раньше догадались, что это мидлет
Сегодня еще один поймал разобрал уже новая модификация но принцип тот же сейчас они в файл show.pic потоком зашифрованным пишут вот линк кому интересно bazamms.ru/MMS.jar
P.S. Антивирус будет ругаться.
P.S. Антивирус будет ругаться.
Only those users with full accounts are able to leave comments. Log in, please.
История одного вскрытия: реверс-инжиниринг Java ME трояна