Вредонос замаскирован под инсталлятор мобильного браузера "Opera Mini".
Троянская программа, поражающая мобильные телефоны, использующие Java (J2ME). Мидлет осуществляет несанкционированную пользователем отсылку SMS-сообщений на платные номера. Является JAR-архивом, содержащим набор Java-классов. Имеет размер 19411 байт.
Вредонос замаскирован под инсталлятор мобильного браузера "Opera Mini", и выполняет отправку двух SMS-сообщений на определенный короткий номер под видом пожертвования сайту разработчика браузера.
Вредоносный мидлет инсталлируется в телефоне под именем "Opera Setup":
После запуска вредонос отображает картинку:
Далее выводится сообщение:
После этого в случае если пользователь нажимает "Да", вредонос отображает 4 подобных сообщения со следующими текстами:
Что нового в Opera Mini 5? + Высокая скорость работы + Измененный внешний вид + Еще большая стабильность программы + Экономичность + Поддержка новых телефонов Нажмите "Да", чтобы продолжить. У Вас настроен GPRS-Интернет? Мастер установки и настройки требует поддержки GPRS-интернета. Пожалуйста, убедитесь, что он настроен на Вашем мобильном телефоне. Нажмите "Да", чтобы продолжить. Какие телефоны поддерживаются? Opera Mini 5 поддерживается телефонами Nokia, Sony Ericsson, Siemens, Samsung, LG, NEC, Alcatel, Sagem, Motorola, Blackberry и др. Нажмите "Да", чтобы продолжить. Наши специалисты помогут Вам настроить Opera Mini на Вашем мобильном телефоне. Пожалуйста, обратитесь в техническую поддержку, если у Вас возникли какие-либо вопросы. Нажмите "Да", чтобы продолжить.а также пользовательское соглашение:
Пользовательское Соглашение вступает в силу с момента выражения Вами согласия с его условиями путем продолжения установки программного обеспечения. Настоящее Соглашение формулирует юридические условия пользования Сайтом, предназначено для урегулирования взаимоотношений между Владельцем сайта и Пользователем. В процессе инсталляции Opera Mini Вы можете сделать пожертвование сайту 2 раза с помощью SMS на номер 1899. Стоимость одного SMS составляет до 111 рублей c НДС, в зависимости от Вашего оператора. Данное Соглашение распространяется на настоящих и будущих Пользователей Сайта. Это лишь краткое Пользовательское соглашение, его полную версию Вы можете увидеть на сайте. Ссылка на сайт с тарифами А1 Агрегатор http://www.a1a***ator.ru/main/abonent/4846/1899Затем вредонос отправляет SMS-сообщения. Текст сообщений и номер для их отправки хранятся в зашифрованном виде в файле "build.xml", входящем в состав вредоносного JAR-архива. Для данного сампла расшифрованный файл содержал строку:
1899 maxprogsТаким образом, сообщения с текстом "maxprogs" отправляются на номер "1899". После отправки сообщений вредонос выводит следующее уведомление:
При нажатии на "Ссылка" в браузере телефона будет открыта URL:
http://op***24.ru/versions/opera-mini.jarПосле этого вредонос завершает свою работу.
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
MD5: B3C4A66A7B1BEEF3F7FF34C012159D9A
SHA1: 0F67E698B3991B4A309ED81CDB79512315EFF3B7