Trojan-SMS.J2ME.Agent.s

Деструктивная активность
Рекомендации по удалению

Деструктивная активность

Вредоносный JAR-архив содержит следующие файлы:

<полный путь к вредоносному JAR-архиву>\Meta-inf\Manifest.mf (272 байта)
<полный путь к вредоносному JAR-архиву>\Syst (34 байта)

<полный путь к вредоносному JAR-архиву>\a.class (5545 байт; детектируется Антивирусом Касперского как "Trojan-SMS.J2ME.Agent.s")

<полный путь к вредоносному JAR-архиву>\b.class (1042 байта)

<полный путь к вредоносному JAR-архиву>\icon.png (924 байта; детектируется Антивирусом Касперского как "Trojan-SMS.J2ME.Konov.aa") 

<полный путь к вредоносному JAR-архиву>\data.res (106 байт)
<полный путь к вредоносному JAR-архиву>\eula.xaml (1518 байт)

Основной функционал мидлета реализован в классе "a". Класс "b" содержит функцию с именем "a", предназначенную для расшифровки данных, содержащихся в файле "eula.xaml". Файл "eula.xaml" содержит в зашифрованном виде текст пользовательского соглашения. Расшифрованный текст:

Данная игра является развлекательным приложением для лиц, достигших совершеннолетнего возраста. В процессе игры Вам будет предложено отправить платные смс для доступа к платному архиву загрузок. Запросы будут выдаваться на различные платные номера. Вы вправе согласиться на отправку 1 смс или более, по своему усмотрению, а так же отказаться от всех запросов. Разработчики и распространители игры не несут ответственности за любой причиненный ущерб. Отправляя смс вы соглашаетесь с данными условиями. 
Стоимость смс.Россия (Russia)
3649 - до 306.8 руб
4460 - до 306.8 руб
4124 - до 306.8 руб
4125 - до 200.6 руб
5537 - до 200.6 руб
1171 - до 200.6 руб
4161 - до 200.6 руб
1161 - до 146.32 руб
4449 - до 146.32 руб
1151 - до 40.12 руб
8055 - до 40.12 руб
1141 - до 28.00 руб
Стоимость смс.Украина (Ukraine)
4171 - 30.00 uah
4170 - 18.00 uah
7094 - 30.00 uah
7074 - 12.00 uah
Стоимость для остальных стран http://per***ag.ru/sms.php
The given game is the entertaining appendix for the persons who have reached of full age age. In the course of game it will be offered to you to send paid смс for access to paid archive of loadings. Inquiries will stand out on various paid numbers. You have the right to agree on sending 1 sms or more, at own discretion, and as to refuse all inquiries. Developers and distributors of game do not suffer responsibility for any caused damage. Sending sms you agree with the given conditions.Cost sms for the different countries http://pe***ag.ru/sms.php


Файл "data.res" содержит в зашифрованном виде номера для отправки SMS-сообщений, а также их тексты. Файл имеет формат:

<number_1<:<text_1<;<number_2<:<text_2<;…;<number_N<:<text_N<;

где <number_N> – номера для отправки SMS-сообщений; <text_N> – тексты посылаемых сообщений. 


Расшифрованный файл "data.res" имеет следующий вид:

4124:ex**ext 8433;4125:ex***xt 8433;1171:pp***lag 8433;
5537:pp***lag 8433;1161:pp***lag 8433; 


Таким образом, SMS-сообщения с текстами:

ex**ext 8433
ex***xt 8433
pp**lag 8433
pp**lag 8433
pp**lag 8433


будут отправлены на номера:

4124
4125
1171
5537
1161

Вредоносный мидлет устанавливается в телефоне под именем "foto-posetitelnic":




После запуска вредонос отображает сообщение:

Если пользователь нажимает "Усл.", то отображается вышеупомянутое пользовательское соглашение:



При нажатии "Ok" будет отображено сообщение:



Далее после 12-тикратного нажатия "Ok" вредонос выполняет отправку SMS-сообщений.





Рекомендации по удалению
	
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца.
Если программа была установлена на обычном телефоне, то пользователи могут удалить ее стандартными средствами. 
Если программа была установлена на смартфоне, то, помимо стандартных средств удаления, пользователи могут воспользоваться Kaspersky Mobile Security с обновленными базами (скачать пробную версию) для удаления вредоносного файла.