SMS-троянцы. История продолжаетсяАвтор: Денис Масленников
Появление новой вредоносной программы для смартфонов уже давно
перестало быть чем-то особенным. Однако некоторые зловреды могут
представлять собой нечто интересное. Что выделяет нового SMS-троянца
Trojan-SMS.WinCE.Sejweek.a на фоне других "собратьев"? Давайте
разберемся.
Большинство вредоносных программ, отправляющих короткие сообщения с
определенным текстом на премиум-номер, достаточно примитивны: префикс
SMS'ки и короткий номер находятся в теле вредоносного файла, то есть
заранее известны. В случае с Trojan-SMS.WinCE.Sejweek.a все выглядит
иначе.
После запуска вредоносный файл осуществляет попытку загрузки на
смартфон XML-файла по ссылке
http://today*******.cn/*****/*****/get.php. На момент написания данного
текста файл имел следующий вид:
Именно этот файл содержит короткий номер, на который будет
отправляться сообщение (тег phone); текст, с которым будет отправляться
SMS-сообщение (тег text); и интервал между отправкой SMS-сообщений (тег
interval).
В случае успешной загрузки XML-файла вредоносная программа
расшифровывает тексты "YGLYGLMKTYGL" (номер, на который будут
отправляться SMS-сообщения) и "YGLYGL" (интервал между отправкой
SMS-сообщений). В результате получается "1151" и "11". То есть короткие
сообщения будут отправляться на номер 1151 с текстом 60*** через каждые
11 секунд. Учитывая, что одно SMS на данный премиум-номер стоит около
40 рублей (чуть больше $1 США), можно представить, какой суммы может
лишиться пользователь, телефон которого заразился вредоносной
программой.
| 
