Методы обнаружения вирусов

Trojan-SMS.J2ME.Jifake.dq

Время детектирования 25 апр 2011 14:35 MSK
Время выпуска обновления 25 апр 2011 19:18 MSK
Описание опубликовано 25 апр 2012 18:49 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, поражающая мобильные телефоны, использующие Java (J2ME). Мидлет осуществляет несанкционированную пользователем отсылку SMS-сообщений на платные номера. Является JAR-архивом, содержащим набор Java-классов. Имеет размер 19411 байт.


Деструктивная активность

Вредонос замаскирован под инсталлятор мобильного браузера "Opera Mini", и выполняет отправку двух SMS-сообщений на определенный короткий номер под видом пожертвования сайту разработчика браузера.

Вредоносный мидлет инсталлируется в телефоне под именем "Opera Setup":

После запуска вредонос отображает картинку:

Далее выводится сообщение:

После этого в случае если пользователь нажимает "Да", вредонос отображает 4 подобных сообщения со следующими текстами: 

Что нового в Opera Mini 5?
+ Высокая скорость работы
+ Измененный внешний вид
+ Еще большая стабильность программы
+ Экономичность
+ Поддержка новых телефонов
Нажмите "Да", чтобы продолжить.

У Вас настроен GPRS-Интернет?
Мастер установки и настройки требует поддержки GPRS-интернета. Пожалуйста, убедитесь, что он настроен на Вашем мобильном телефоне.
Нажмите "Да", чтобы продолжить.

Какие телефоны поддерживаются?
Opera Mini 5 поддерживается телефонами Nokia, Sony Ericsson, Siemens, Samsung, LG, NEC, Alcatel, Sagem, Motorola, Blackberry и др.
Нажмите "Да", чтобы продолжить.

Наши специалисты помогут Вам настроить Opera Mini на Вашем мобильном телефоне. Пожалуйста, обратитесь в техническую поддержку, если у Вас возникли какие-либо вопросы.
Нажмите "Да", чтобы продолжить.
а также пользовательское соглашение: 
Пользовательское Соглашение вступает в силу с момента выражения Вами согласия с его условиями путем продолжения установки программного обеспечения. Настоящее Соглашение формулирует юридические условия пользования Сайтом, предназначено для урегулирования взаимоотношений между Владельцем сайта и Пользователем. В процессе инсталляции Opera Mini Вы можете сделать пожертвование сайту 2 раза с помощью SMS на номер 1899. Стоимость одного SMS составляет до 111 рублей c НДС, в зависимости от Вашего оператора. Данное Соглашение распространяется на настоящих и будущих Пользователей Сайта. Это лишь краткое Пользовательское соглашение, его полную версию Вы можете увидеть на сайте. Ссылка на сайт с тарифами А1 Агрегатор http://www.a1a***ator.ru/main/abonent/4846/1899
Затем вредонос отправляет SMS-сообщения. Текст сообщений и номер для их отправки хранятся в зашифрованном виде в файле "build.xml", входящем в состав вредоносного JAR-архива. Для данного сампла расшифрованный файл содержал строку: 
1899 maxprogs
Таким образом, сообщения с текстом "maxprogs" отправляются на номер "1899". После отправки сообщений вредонос выводит следующее уведомление:

При нажатии на "Ссылка" в браузере телефона будет открыта URL: 

http://op***24.ru/versions/opera-mini.jar
После этого вредонос завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца.
  2. Если программа была установлена на обычном телефоне, то пользователи могут удалить ее стандартными средствами.
  3. Если программа была установлена на смартфоне, то, помимо стандартных средств удаления, пользователи могут воспользоваться Kaspersky Mobile Security с обновленными базами (скачать пробную версию) для удаления вредоносного файла.


MD5: B3C4A66A7B1BEEF3F7FF34C012159D9A
SHA1: 0F67E698B3991B4A309ED81CDB79512315EFF3B7


НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Main menu


Sub menu