ICQ - форум. Всё про ICQ.  

Вернуться   ICQ - форум. Всё про ICQ. > ICQ > Клиенты для ICQ

Клиенты для ICQ Популярные клиенты ICQ. Форумы о перспективных, совместимых, официальных и неофициальных клиентах ICQ.

 
 
Опции темы Оценить тему
Старый 28.02.2007, 22:07   #1
Участник
 
Аватар для mercuree
 
Регистрация: 27.12.2002
Сообщений: 2,065

Репутация: 3535
Ахтунг! Неуязвимые клиенты ICQ (или как защитить номер от троев)

IM-клиенты по-прежнему играют большую роль в общении по интернету. В России это ICQ на западе – AIM, Yahoo и MSN. В связи с такой популярностью расплодилось много форумов данной тематики с разнообразными мануалами по угону красивых скриннеймов и icq номеров. Данная статья наоборот поможет вам не стать жертвой этого асечного произвола ). Два самых популярных метода – подбор паролей и всевозможые троянские программы.Нас больше интересует второй метод так как он требует большего участия со стороны пользователя.Даже самый малофункциональный троян включает в себя возможность кражи паролей от мессенджеров.Возьмем для примера Pinch.Он ворует пароли из таких клиентов как Trillian, &RQ, Miranda и из всех оффициальных вплоть до ICQ lite 4. Остановимся на каждом поподробнее.

0x00.Miranda

Самый продвинутый и функциональный клиент на момент написания статьи.Дает много возможностей для защиты. Во-первых,это клиент с открытыми исходными кодами и исправить их для грамотного человека не составит труда.Если же у вас плохо с этим,можно пойти по другому пути – спрятать миранду от троянов.Для этого достаточно просто рассмотреть как они действуют.Открываем пинчевый модуль miranda.asm и сразу же в глаза бросается вот эта запись

@AllocStr , <"SOFTWARE\Miranda"> @AllocStr , <"Install_Dir">

Значит он считывает путь к миранде из реестра.Можно просто удалить этот ключ,но мы сделаем иначе – откроем миранду HEX – редакторо и изменим строку Install_Dir на Path,после изменяем имя строкового параметра в реестре на Path.


Стоит заметить что все пароли хранятся в dat файлах и в сети полно мануалов по расшифровке алгоритма криптования пароля в этом клиенте.Проделываем туже операцию что и с Install_Dir только меняем строку .dat на чтото свое,допустим .icq Существует также плагины для обеспечения безопасности миранды.Например SecureIm позволяет обмениваться зашифрованными сообщениями.Минусы данного способа – у сосебедника должен стоять такой же клиент с таким же плагинов.Или же mSecure который ограничивает загрузку профиля по паролю.

0x01.Andrq

Как и миранда является клиентом с открытыми исходными текстами.Пароль хранится в файле andrq.ini в папке с профилем.Алгоритм шифрования давно известен и является довольно легким.Смотрим файл &RQ.asm

@AllocStr , <"SOFTWARE\Microsoft\Windows\C urrentVersion\Uninstall\&RQ"> @AllocStr , <"UninstallString">

Этот путь нужен только uninstaller`у и делает Крысу очень уязвимым клиентом. Достаточно просто удалить этот путь,не думая о том что возникнут конфликтные ситуации. Имея малейшие знания Delphi можно перестроить файл andrq.ini.Совсем не обязательно менять алгоритм шифрования пароля.Трояны находят зашифрованный пасс по строке crypted-password те достаточно поменять очередь этой строки в ini файле и ее название.

0x02.ICQ 4/5

С оффициальным клиентом ситуация посложнее.В реестре хранится информация о путях к смайлам,скину и самому клиенту.Удаление ключа повлечет за собой крах клиента.Можно также подредактировать файл HEX – редактором , но это требует немалых усилий так как помимо самого exe придется редактировть и dll файлы.Краже паролей подвержены только клиенты до icq lite 4 значит icq 5 уязвимым не является.Это является лучшим способом защититься.

0x03.QIP

Появился сравнительно недавно и успел завоевать популярность не только в России.Путь к клиенту можно найти в ветку Uninstal/Qip.После удаления ключа QIP прекрасно работал. Одним из плюсов является тот факт что функцию расшифровки зашифрованного пароля найти нетак легко и только последние версии Пинча могут это делать.

0x04.Fake Plugins

Такие клиенты как AndRQ и Miranda поддерживают плагины и исходники комплектуются PDK ( Plugin Dev Kit ) и примерами.Плагины для крысы еще не так развиты хотя существуют фейки.В противоположность крысе миранда без них не может существовать так как каждый протокол реализован в виде dll файла ( icq.dll / aim.dll … ).Существуют различные сборки и альтернативные icq библиотеки.Нелишним будет упомянуть что сборками можно пользоваться только проверенными,а библиотеки качать только с офф сайта или же isee от Bio (http://www.etplanet.com/bio/miranda/ )

0x04.AntiPinch ( http://www.asechka.ru/articles/gemag.../AntiPinch.exe )

Отечественная разработка virii кодера. Кому как не им знать все аспекты кражи паролей : ) На момент написания статьи программа защищала Миранду,Крысу и QIP.Тамже можно сделать тест на уязвимость клиентов.

Автор: гемаглабин

От постера (Меркурий): Давно хотел приклеить статью на видное место, т.к. она полезна и новичкам и просто юзерам, задумывающимся о проблеме, особенно до того, как случатся неприятности. Угоны троянами сейчас представляются серьезной помехой для беззаботного использования ICQ и, зачастую, происходят по недосмотру и невнимательности самих же пользователей. Но надо знать — решить проблему можно, причем достаточно просто, а как именно - смотрите выше ;)
__________________
Все-таки, количество феерических му-да-ков в интернете растет как на дрожжах. Безнаказанность пердежа в любом месте, где есть форма для ввода текста, полностью срывает у народа стоп-краны. Те же люди в ситуации, когда они хоть какой-то репутацией рискуют, ведут себя совершенно иначе. © Лебедев
mercuree вне форума  
Плюсанул mercuree :
Старый 12.05.2007, 13:07   #2
Участник
 
Аватар для maxster
 
Регистрация: 01.11.2005
Сообщений: 46

ICQ: 920692

Репутация: 10
По умолчанию

Маленькое добавление прога AntiPinch бесплатна для всех жителей exUSSR.
Эта инструкция регистрации проги была выложена на сайта команды "c47" разработчиковот проги (сайта давно уже нет).

...КАК ЗАРЕГИСТРИРОВАТЬ АНТИ-ПИНЧ БЕСПЛАТНО...
1. Нажмите кнопку ...Рега...
2. Выделите и скопируйте Ваш ID в буфер обмена...
3. Кликните левой кнопкой мыши по зеленой стрелочке слева от кнопки ...Съебаца...
4. После этого Ваш регистрационный код окажется в буфере обмена... Вставьте его в поле ...Ваш код...
5. Нажмите кнопку зарегистрировать Анти-Пинч...
6. Если регистрация прошла успешно, рожица слева от кнопки ...Рега... изменит свой цвет с серого на зеленый... Если регистрация не удалась, повторите всё.
maxster вне форума  
Старый 22.05.2007, 01:57   #3
Участник
 
Регистрация: 02.04.2007
Сообщений: 8

Репутация: 0
По умолчанию

с квипом делается так: качается архив и распаковывается) никаких записей в реестр, только распаковывать желательно не в "/Program Files/QIP/", а например, в "/Program Files/ICQ7/" =)
и никакие пинчи ничего не сделают) а еще файрвол - хоршая штука
Bruteork вне форума  
Старый 04.04.2008, 17:08   #4
Участник
 
Аватар для mercuree
 
Регистрация: 27.12.2002
Сообщений: 2,065

Репутация: 3535
По умолчанию

Я сохраняю пароль уже много лет и ничего страшного не происходит. Конечно, мой клиент прошел ритуал очищения, как написано в теме. Пароли из файла могут стащить только если он лежит на рабочем столе и называется "мои аськи с паролями.txt")
mercuree вне форума  
Старый 17.04.2008, 18:21   #5
Участник
 
Регистрация: 27.09.2007
Сообщений: 391

По умолчанию

DarkHost, http://www.asechka.ru/articles/gemag.../AntiPinch.exe
Masha14let вне форума  
Старый 01.11.2008, 13:04   #6
Участник
 
Аватар для Limanskiy
 
Регистрация: 08.11.2006
Сообщений: 717

Репутация: 3168
По умолчанию

Цитата:
Сообщение от <font color=#FF9A00>yukra</font> Посмотреть сообщение
А если номер после кражи окажется инвалидом? А если примак отвалится?
Я бы даже остальным посоветовал проверить свои юзаюмые номера на инвалидность и периодически проверять примак.
Недавно был такой случай, в номер влепил примак, выставил вопросы, а сейчас этот примак не подходит и другие е-маилы не катят естественно, только вопросы стоят.
Limanskiy вне форума  
Старый 06.01.2009, 15:18   #7
Участник
 
Аватар для struct
 
Регистрация: 10.11.2008
Сообщений: 10

Репутация: 12
По умолчанию

Да, не — снятие галочки на сохранение зачастую не поможет. Из многими часто юзаемого qip2005 пароль в такое случае увести даже проще, чем если его сохранять (он болтается в не зашифрованом виде, в инвиз окне подключения).
Удаление пути к папке квипа из Unistall, тоже не гарантирует ничего.
Троянец вытащит путь из MUICache , найдя там «Quiet Internet Pager»
Может пригодится соленье, переименовать файл квипа в какой нить
blabla123.cmd и запускать с командной строкой /cryptpass. Незнаю если троянцы которые пересылают злоумышлюнику имена файлов папки с квипом, но такое возможно, и опять же пароль будет вычислен.
Для среднстатестических пользователей, которые „любят“ запускать трояны, может подойти красивый, умный, сильный ICQ6.5 или Lite, на данный момент там безопаснее.
Infium тоже с достаточной степенью лукавства можно считать, безопасным от кражи пароля...
struct вне форума  
Старый 27.01.2009, 02:32   #8
Участник
 
Аватар для VVS777
 
Регистрация: 09.08.2008
Сообщений: 28

ICQ: 250349430

Репутация: 31
По умолчанию

Любой даже немнного продвинутый кодер сможет написать перехват.
Хукается отправка ісq клиентами login пакета, содержащего пасс + отправка в лог.
При этом абсолютно наплевать на все вышеописанное (по крайней мере на 90%).
Так что желательно еще и qip.exe, miranda.exe etc переименовывать в хренотень.exe дабы не распознавались...
VVS777 вне форума  
Старый 27.01.2009, 04:57   #9
†Азартный игроꆙ
 
Аватар для SHYLLER
 
Регистрация: 02.03.2007
Сообщений: 842

ICQ: 6506666

Репутация: 1981
По умолчанию

вот интересно а если удалить все записи в реестре и переименовать?=)(qip)
__________________
http://shopworld.biz/
SHYLLER вне форума  
Старый 27.01.2009, 10:17   #10
Участник
 
Аватар для mercuree
 
Регистрация: 27.12.2002
Сообщений: 2,065

Репутация: 3535
По умолчанию

Цитата:
Сообщение от SHYLLER Посмотреть сообщение
вот интересно а если удалить все записи в реестре и переименовать?=)(qip)
Я так и делал. Реестр это одна из главных дыр и зацепок для троев, т.к. поиск идет там + стандартные пути установки. Вдобавок, некоторые проги постоянно добавляют путь о себе в реестр при запуске. Не уверен, если эти ваши куипы это делают. Но чистить реестр надо. Старый квип без этого работал - проверено. Миранда работает всегда.
mercuree вне форума  
Старый 27.01.2009, 10:31   #11
Участник
 
Регистрация: 24.12.2006
Сообщений: 615

ICQ: 179292

Репутация: 1538
По умолчанию

все это конечно круто, но придется проделывать после каждого апдейта клиента
DR_NiMnUL вне форума  
Старый 27.01.2009, 18:55   #12
†Азартный игроꆙ
 
Аватар для SHYLLER
 
Регистрация: 02.03.2007
Сообщений: 842

ICQ: 6506666

Репутация: 1981
По умолчанию

DR_NiMnUL, Ну почему можно воспользоваться прогой TotalUninstall сделать снимок и просто удалять все пути=)
__________________
http://shopworld.biz/
SHYLLER вне форума  
Старый 27.01.2009, 19:02   #13
Участник
 
Регистрация: 24.12.2006
Сообщений: 615

ICQ: 179292

Репутация: 1538
По умолчанию

SHYLLER, ты уверен что это проще?%\
DR_NiMnUL вне форума  
Старый 27.01.2009, 19:33   #14
†Азартный игроꆙ
 
Аватар для SHYLLER
 
Регистрация: 02.03.2007
Сообщений: 842

ICQ: 6506666

Репутация: 1981
По умолчанию

DR_NiMnUL, угу ее запустил и нажал удалить то что тебе надо и все=)
__________________
http://shopworld.biz/
SHYLLER вне форума  
Старый 14.08.2009, 19:32   #15
Участник заблокирован
 
Регистрация: 01.08.2009
Сообщений: 2

ICQ: 118947490

Репутация: 1
По умолчанию Неуязвимые клиенты ICQ или как защитить номер от троев

Стянуть сохраненый пасс с квипа очень легко, так же как и с ICQ, за миранду и остальное не знаю....
Пароли в них шифруються с помощью BASE64 и обычного XORа, поэтому любой троян, и нету больше у вас аси
silverworld вне форума  
Старый 14.08.2009, 20:00   #16
Участник
 
Аватар для d1zel
 
Регистрация: 31.03.2009
Сообщений: 106

ICQ: 700818

Репутация: 243
По умолчанию

используй прогу TrueCrypt и твой комп покажет трояну большой шишь
__________________
.....
d1zel вне форума  
Старый 10.09.2009, 18:01   #17
Участник
 
Регистрация: 10.09.2009
Сообщений: 1

Репутация: 1
По умолчанию можно спросить? ...

Ребят, помогите пожалуйста!
другу пришло сообщение такого содержания:
398786725 хочет авторизоваться. Причина: Внимание - вас приветствует администрация.
Ваш UIN находится черном списке базы данных номеров. В течение суток Вам следует активировать номер повторно.
Для получения инструкции по акивации отправьте в ответ произвольное сообщение.

как на это реагировать, а то обманов полно!
Lulasolnce вне форума  
Старый 10.09.2009, 18:02   #18
Nirvana
 
Аватар для Cooler
 
Регистрация: 02.09.2008
Сообщений: 334

Репутация: 1242
По умолчанию

Lulasolnce, никак, всё это развод и неправда ;)
__________________
cooler.im не активен :(

Cooler вне форума  
Старый 12.01.2010, 22:20   #19
Участник
 
Аватар для Natalyruss
 
Регистрация: 09.01.2010
Сообщений: 15

Репутация: 2
По умолчанию

А как обстоит дело с безопасностью при использовании jabber-клиентов и подключении в них icq-транспорта с привлекательным для угона uin'oм?
Natalyruss вне форума  
Старый 03.12.2010, 15:52   #20
Участник
 
Регистрация: 03.12.2010
Сообщений: 39

Репутация: 27
По умолчанию

Самый неуязвимый клиент - это самописный, ведь только создатель знает где в его клиенте находятся пасы))
CATAHICT вне форума  
Плюсанул CATAHICT :
Старый 03.12.2010, 16:17   #21
Участник
 
Регистрация: 22.06.2008
Сообщений: 11

Репутация: 1
По умолчанию

Natalyruss проверенные транспорты цеплять.
Jim_Di вне форума  
Старый 07.12.2010, 22:58   #22
Участник
 
Аватар для VVS777
 
Регистрация: 09.08.2008
Сообщений: 28

ICQ: 250349430

Репутация: 31
По умолчанию

не советывал бы давать пароли от красивых уинов даже проверенным транспортам, т.к. где-нить может быть перехват

2 CATAHICT,
Цитата:
Самый неуязвимый клиент - это самописный
+1
VVS777 вне форума  
Плюсанул VVS777 :
Старый 06.08.2011, 18:19   #23
 
Аватар для Angst
 
Регистрация: 06.07.2007
Сообщений: 86

ICQ: 10608

Репутация: 33
Отправить сообщение для Angst с помощью Skype™
По умолчанию

Использую собственный ICQ клиент, там пароль нигде не хранится, каждый раз надо вводить снова.
Я думаю это совсем не проблема - запомнить пароль из 7-8 символов, даже если он вида H7%g@m8. Я к примеру отлично помню свой пароль хотя он состоит из бессмысленного набора букв. Лучше нигде не сохранять пароль, чем потом нарваться на троян и потерять номер и естественно пароль должен быть сложным и небрутабельным (ну это вы и без меня знаете)
Angst вне форума  
 

Опции темы
Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 23:34.


Перевод: zCarot
Форум Асечников © Asechka.RU

Новости Сочи