| Только что пришел спам на мобильник. СМС-ка нечитаемая, адрес
отправителя sms.mts.ru. То есть отправляли ее с сайта МТС. Судя по
читаемой аббревиатуре mms, в тексте говорится, что на мое имя пришла
ммс-ка. Интересно – вообще-то я таким баловством, как ммс не пользуюсь,
но тут – сын старший как раз пошел на музыкальный фестиваль. Мало ли,
может, порадовать меня хочет физиономией какой-нибудь знаменитости.
Насторожило только то, что текст нечитаемый. И в качестве обратного
адреса IP адрес указан. IP Address 117.241.83.72
Естественно, не стал я лезть на сайт смотреть, что за сообщение мне пришло.
Для начала я проверил, что это за IP такой. Я писал как-то в прошлом
году о замечательном сайте, на котором можно проанализировать, в
частности, кому принадлежит данный IP. Сайт имеет простой адрес 2ip.ru
Там есть соответствующий сервис "Определяем IP сайта или имя сайта по IP".
Захожу, ввожу адрес того самого IP и вижу, что ммс-ку мне прислали аж
из Индии! так как никто из моих знакомых в настоящий момент в Индии не
обретается, делаю естественный вывод – спам чистейшей воды.
В общем-то на этом можно было бы исследование и закончить, но на всякий случай проверяю наличие IP в СПАМ базах
– такая функция есть на том же сайте. И вправду, одна из баз опознала,
что данный IP изветстен как рассыльщик спама – причем не просто
рассыльщик, а жертва компьютерного вируса.
This IP is infected (or NATting for a computer that is infected) with a
spambot we have not yet been able to identify. For the time being we
refer to it as the unknown0421 spambot.
Миленько, не правда ли? Это значит,
что компьютер, который был заражен неким вирусом превратился в
спам-бота, который рассылает эти самые смс-ки миллионами по другим
компьютерам!
А теперь подумаем, как герой старого советского фильма, что "на его месте должен был быть я!”
Вы уверены, что ваш компьютер не заражен еще такой бодягой, которая рассылает спам миллионами штук?
Улыбаетесь? Чуть больше 10 лет назад, когда я администрировал сетку в
одной небольшой компании, при настройке выделенной линии Интернет я
оставил без защиты комьютерную сеть на полчаса-час, пока конфигурировал и
искал кряки (шли лихие девяностые, и программы в России никто за деньги
не покупал – тем более в И-нете всегда можно было найти если не
серийник, так кряк) к почтовой программе.
В общем, пока я лазил по варезным сайтам, злые люди прицепились ко
мне и заслали на наш сервер "казачка”. "Казачка” я, конечно же,
вычистил, но было уже поздно. Злоумышленники успели послать с моего
сервера не много не мало, пять милионов писем (может и меньше, но именно
такую цифру мне называли в сервисе, который внес мой IP в блэклист,
черный список спаммеров).
Надо сказать, что никакие мои слезные письма, что, мол, "не виноватая
я!”, автоматический сервис не разжалобили, и единственным способом
обелить себя после двух месяцев бесплодных переговоров с американцами ,
была смна IP у провайдера.
Обошлось мне это, как сейчас помню 150 рублей, и с тех пор я никогда
не выхожу в Сеть без включенного антивируса. А если выхожу, так, по
крайней мере, не лезу за варезом.
Да, кстати, а неужели не интересно, что же там была за открытка?
Естественно, я не стал открывать ее в своем мобильном телефоне, а вот на
компьютере – попробовал. Дело в том, что существуют различные эмуляторы
WAP, которые позволяют посмотреть ту или иную страницу так, как она
выглядит на экране мобильника.
 Попытка
в эмуляторе перейти по ссылке, присланной спаммером, с невинным видом
предлагает просмотреть открытку. Держу пари, что большинство из вас
выбрало бы пункт "ДА”, и просмотрело бы открытку. А что такого – в
крайнем случае придется оплатить трафик (к стати. очень часто забывают.
что WAP трафик на мобильном телефоне вовсе не бесплатен. Мой сын как-то,
купив телефон, с радостью принялся его обустраивать, скачивая
"бесплатные” мелодии. Мелодии-то были бесплатны, но вот трафика он
накачал на пятьсот рублей…
Но вернемся к нашим баранам. Попробуем тоже просмотреть открытку –
ведь мы работаем на защищенном надежным антивирусом компьютере и нам
нечего бояться всякой заразы.
Приложение mms.jar, которое "прицеплено” к открытке оказалось крепким орешком. Ни один из эмуляторов WAP, которые перечислены на этой странице,
с просмотром не справился. Не справился с этим и эмулятор Opera mobail.
При этом причины были мне совершенно непонятны – страница как страница –
почему же ее никак не просмотреть? Ясность внес эмулятор, специально
предназначенный для просмотра java-приложений.
 Итак, эмулятор выдает нам ошибку 406. это уже что-то. давайте посмотрим, что это за ошибка.
Код ошибки 406 Not Acceptable
Ресурс, указанный клиентом по данному URL, существует, но не в том формате, который нужен клиенту.
Опа!
Это значит, что на самом деле под маской открытки скрывается нечто
совершенно иное. Что – я не знаю. Но явно вместо обычной java-открытки в
файле mms.jar на ваш телефон пытается загрузиться нечто совершенно
иное.
Заметьте – я не сказал вирус. Но, в любом случае подобное поведение
ссылки, присланной неизвестным "доброжелателем” достойно того, чтобы все
удалить и, как и страшные лесные разбойники в "Бременских музыкантах,
”поклясться больше никогда не приходить на это проклятое место”.
Но, позвольте! Это все, конечно, интересно, но неужели вы не хотите
узнать, во сколько вам бы реально обошелся просмотр открутки? ничего
нет проще. вводим в эмуляторе не ссылку на открытку, а адрес сайта. В
моем случае это http://qlmms.ru:
Итак, увидели? Не то 150 рублей, не то – 250! И это без НДС, т.е. на самом деле еще на 20% больше!
Вот тебе и открыточка…
И это – не считая потенциальной опасности заразить свой телефон
(запросто, особенно если он работает под Windows mobile – в этом случае
заразится может не только телефон, но и компьютер, к которому телефон
подключается через ActiveSync) и самому стать рассадником спама. Статья 2006 года так рассказывает об вирусах для этой системы:
Вредоносный код может быть встроен в MMS и активирован простым
прочтением данного сообщения ничего не подозревающим пользователем.
Февраль 2006 г. принес очередные пополнения в коллекцию антивирусных
баз. Начало было положено неким объединением программистов, заявленным
как MARA (Mobile Antivirus Researchers Associations – Ассоциация
исследователей в области мобильной антивирусной защиты). MARA
распространила пресс-релиз, в котором речь шла о новом редком
концептуальном вирусе, написанном под Windows и Windows Mobile
одновременно.
Вирус Crossover, например, при своем запуске проверяет операционную систему и тут возможны два варианта:
1. При запуске на настольной версии Windows он ищет через доступные ActiveSync мобильные устройства и копирует себя на них.
2. При запуске на Windows Mobile происходит такой же процесс, но в
обратную сторону, с последующим копированием на персональный компьютер.
Так что предохраняйтесь, господа! Подсказать бесплатный антивирус?
| 
