Trojan-SMS.J2ME.Jifake.dq

Вредонос замаскирован под инсталлятор мобильного браузера "Opera Mini".

Технические детали

Троянская программа, поражающая мобильные телефоны, использующие Java (J2ME). Мидлет осуществляет несанкционированную пользователем отсылку SMS-сообщений на платные номера. Является JAR-архивом, содержащим набор Java-классов. Имеет размер 19411 байт.


Деструктивная активность

Вредонос замаскирован под инсталлятор мобильного браузера "Opera Mini", и выполняет отправку двух SMS-сообщений на определенный короткий номер под видом пожертвования сайту разработчика браузера.

Вредоносный мидлет инсталлируется в телефоне под именем "Opera Setup":

После запуска вредонос отображает картинку:

Далее выводится сообщение:

После этого в случае если пользователь нажимает "Да", вредонос отображает 4 подобных сообщения со следующими текстами:

Что нового в Opera Mini 5? + Высокая скорость работы + Измененный внешний вид + Еще большая стабильность программы + Экономичность + Поддержка новых телефонов Нажмите "Да", чтобы продолжить.  У Вас настроен GPRS-Интернет? Мастер установки и настройки требует поддержки GPRS-интернета. Пожалуйста, убедитесь, что он настроен на Вашем мобильном телефоне. Нажмите "Да", чтобы продолжить.  Какие телефоны поддерживаются? Opera Mini 5 поддерживается телефонами Nokia, Sony Ericsson, Siemens, Samsung, LG, NEC, Alcatel, Sagem, Motorola, Blackberry и др. Нажмите "Да", чтобы продолжить.  Наши специалисты помогут Вам настроить Opera Mini на Вашем мобильном телефоне. Пожалуйста, обратитесь в техническую поддержку, если у Вас возникли какие-либо вопросы. Нажмите "Да", чтобы продолжить. 
а также пользовательское соглашение:
Пользовательское Соглашение вступает в силу с момента выражения Вами согласия с его условиями путем продолжения установки программного обеспечения. Настоящее Соглашение формулирует юридические условия пользования Сайтом, предназначено для урегулирования взаимоотношений между Владельцем сайта и Пользователем. В процессе инсталляции Opera Mini Вы можете сделать пожертвование сайту 2 раза с помощью SMS на номер 1899. Стоимость одного SMS составляет до 111 рублей c НДС, в зависимости от Вашего оператора. Данное Соглашение распространяется на настоящих и будущих Пользователей Сайта. Это лишь краткое Пользовательское соглашение, его полную версию Вы можете увидеть на сайте. Ссылка на сайт с тарифами А1 Агрегатор http://www.a1a***ator.ru/main/abonent/4846/1899 
Затем вредонос отправляет SMS-сообщения. Текст сообщений и номер для их отправки хранятся в зашифрованном виде в файле "build.xml", входящем в состав вредоносного JAR-архива. Для данного сампла расшифрованный файл содержал строку:
1899 maxprogs
Таким образом, сообщения с текстом "maxprogs" отправляются на номер "1899". После отправки сообщений вредонос выводит следующее уведомление:

При нажатии на "Ссылка" в браузере телефона будет открыта URL:

http://op***24.ru/versions/opera-mini.jar 
После этого вредонос завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца.
  2. Если программа была установлена на обычном телефоне, то пользователи могут удалить ее стандартными средствами.
  3. Если программа была установлена на смартфоне, то, помимо стандартных средств удаления, пользователи могут воспользоваться Kaspersky Mobile Security с обновленными базами (скачать пробную версию) для удаления вредоносного файла.

MD5: B3C4A66A7B1BEEF3F7FF34C012159D9A
SHA1: 0F67E698B3991B4A309ED81CDB79512315EFF3B7