Донецкий техникум промышленной автоматики

Rover Mobile - ЖЖ

Звертаю увагу всіх власників комунікаторів під управлінням Windows Mobile на появу кількох модифікацій вірусу Trojan-SMS.WinCE.Sejweek розсилає платні смс !!!
Уже зафіксовано дві модифікації цього вірусу. Особисто я постраждав від модифікації Trojan-SMS.WinCE.Sejweek.b, який посилає на номер 7122 платну смс. вартістю близько 300 рублів. Вірус був отриманий разом з програмою "Total Commander" з одного з форумів. Виявлено антивірусом Касперського. З'явився вірус в кінці грудня 2009 року.

Ось інформація про вірус з сайту www.youhtc.ru:

Лабораторії Касперського вдалося виявити ще одну шкідливу програму для комунікаторів під управлінням Windows Mobile. Вона небезпечна не стільки для самих пристроїв, скільки для гаманців їхніх власників.

Досить простий троян відноситься до класу програм дозвону і обміну повідомленнями. Все що він робить - це відправляє платні SMS на номер 1151 через кожні 11 секунд. Якщо врахувати, що вартість кожного - близько $ 1, то йому не знадобиться багато часу, щоб спустошити рахунок.

Шкідлива програма може поширюватися під виглядом будь-якої програми, після установки якого відбувається запит XML-файла з адреси http: //today*******.cn/*****/*****/get. php, згідно з яким потім і розсилаються SMS. А можливість легкої і швидкої зміни номера робить боротьбу з трояном скрутною.

Для того, щоб звести до мінімуму небезпеку зараження, рекомендуємо н е завантажувати файли з підозрілих сайтів, а так само уникати файлів на форумах, викладених новими, раніше невідомими учасниками.



Ось більш докладна інформація про вірус

(джерело - http://www.securelist.com/ru/weblog/34162/SMS_troyantsy_Istoriya_prodolzhaetsya )

Поява нової шкідливої ​​програми для смартфонів вже давно перестало бути чимось особливим. Однак деякі зловредів можуть являти собою щось цікаве. Що виділяє нового SMS-троянця Trojan-SMS.WinCE.Sejweek.a на тлі інших "побратимів"? Давайте розберемося.
Більшість шкідливих програм, які відправляють короткі повідомлення з певним текстом на преміум-номер, досить примітивні: префікс sms і та короткий номер знаходяться в тілі шкідливого файлу, тобто заздалегідь відомі. У випадку з Trojan-SMS.WinCE.Sejweek.a все виглядає інакше.
Після запуску шкідливий файл здійснює спробу завантаження на смартфон XML-файла за посиланням http: //today*******.cn/*****/*****/get.php. На момент написання даного тексту файл мав такий вигляд:

Саме цей файл містить короткий номер, на який буде відправлятися повідомлення (тег phone); текст, з яким буде відправлятися SMS-повідомлення (тег text); і інтервал між відправленням SMS-повідомлень (тег interval).

У разі успішного завантаження XML-файла шкідлива програма розшифровує тексти "YGLYGLMKTYGL" (номер, на який будуть відправлятися SMS-повідомлення) та "YGLYGL" (інтервал між відправленням SMS-повідомлень). В результаті виходить "тисяча сто п'ятьдесят один" і "11". Тобто короткі повідомлення будуть відправлятися на номер 1 151 з текстом 60 *** через кожні 11 секунд. З огляду на, що одне SMS на даний преміум-номер коштує близько 40 рублів (трохи більше $ 1 США), можна уявити, якої суми може втратити користувач, телефон якого заразився шкідливою програмою.
І більш докладна інформація про нову модифікацію вірусу:
( http://www.securelist.com/ru/weblog/34165/Troyanets_Sejweek_nabiraet_oboroty ):
Тиждень тому ми повідомили про SMS-троянця під назвою Sejweek. Сьогодні нами була задетектірована нова версія даного зловреда. Що змінилося за тиждень?

По-перше, Trojan-SMS.WinCE.Sejweek.b (під таким ім'ям він детектується) завантажує новий XML-файл з нового URL'а: http: //unique*****.com/*****/ get.php
По-друге, XML-файл, що лежить за цим посиланням, змінився і тепер має наступний вигляд:

По-третє, принцип роботи даної модифікації троянця не змінився в порівнянні з попередньою, але тепер SMS-повідомлення відправляються на короткий номер 7122. Вартість повідомлення на цей номер дорівнює 10 доларам США (близько 300 рублів).
З огляду на той факт, що інтервал між відправленням SMS не змінився, то шкідлива програма може спустошити особовий рахунок абонента буквально за кілька секунд.
PS Будьте пильні, завантажуючи програмне забезпечення для свого смартфона, так як Sejweek маскується під різні корисні додатки.

Якщо ваш смартфон відсилав смс на невідомі вам платні номери, вартість смс і інформацію про власника платного смс-сервісу можна отримати тут http://moscow.megafon.ru/services/content/ .
У моєму випадку власником номера 7122 є:

контент провайдер ІнкорМедіа ТОВ
Тип послуги SMS
Тариф без ПДВ 254,24 руб.
контент провайдер   ІнкорМедіа ТОВ   Тип послуги SMS   Тариф без ПДВ 254,24 руб

Що змінилося за тиждень?