Авторские статьи Безопасные Icq клиенты

Discussion in 'Статьи' started by gemaglabin, 4 Aug 2006.

  1. gemaglabin

    gemaglabin Green member

    Joined:
    1 Aug 2006
    Messages:
    772
    Likes Received:
    842
    Reputations:
    1,369
    IM-клиенты по-прежнему играют большую роль в общении по интернету. В России это ICQ на западе – AIM, Yahoo и MSN. В связи с такой популярностью расплодилось много форумов данной тематики с разнообразными мануалами по угону красивых скриннеймов и icq номеров. Данная статья наоборот поможет вам не стать жертвой этого асечного произвола ). Два самых популярных метода – подбор паролей и всевозможые троянские программы.Нас больше интересует второй метод так как он требует большего участия со стороны пользователя.Даже самый малофункциональный троян включает в себя возможность кражи паролей от мессенджеров.Возьмем для примера Pinch.Он ворует пароли из таких клиентов как Trillian, andRQ, Miranda и из всех оффициальных вплоть до ICQ lite 4. Остановимся на каждом поподробнее.

    0x00.Miranda

    Самый продвинутый и функциональный клиент на момент написания статьи.Дает много возможностей для защиты. Во-первых,это клиент с открытыми исходными кодами и исправить их для грамотного человека не составит труда.Если же у вас плохо с этим,можно пойти по другому пути – спрятать миранду от троянов.Для этого достаточно просто рассмотреть как они действуют.Открываем пинчевый модуль miranda.asm и сразу же в глаза бросается вот эта запись

    @AllocStr , <\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"SOFTWARE\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Miranda\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"> @AllocStr , <\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"Install_Dir\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\">

    Значит он считывает путь к миранде из реестра.Можно просто удалить этот ключ,но мы сделаем иначе – откроем миранду HEX – редакторо и изменим строку Install_Dir на Path,после изменяем имя строкового параметра в реестре на Path.

    [​IMG]


    Стоит заметить что все пароли хранятся в dat файлах и в сети полно мануалов по расшифровке алгоритма криптования пароля в этом клиенте.Проделываем туже операцию что и с Install_Dir только меняем строку .dat на чтото свое,допустим .icq Существует также плагины для обеспечения безопасности миранды.Например SecureIm позволяет обмениваться зашифрованными сообщениями.Минусы данного способа – у сосебедника должен стоять такой же клиент с таким же плагинов.Или же mSecure который ограничивает загрузку профиля по паролю.

    0x01.Andrq

    Как и миранда является клиентом с открытыми исходными текстами.Пароль хранится в файле andrq.ini в папке с профилем.Алгоритм шифрования давно известен и является довольно легким.Смотрим файл andRQ.asm

    @AllocStr , <\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"SOFTWARE\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Microsoft\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Windows\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\CurrentVersion\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\Uninstall\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\andRQ\\\\\\\\\\\\\\\"> @AllocStr , <\\\\\\\\\\\\\\\"UninstallString\\\\\\\\\\\\\\\">

    Этот путь нужен только uninstaller`у и делает Крысу очень уязвимым клиентом. Достаточно просто удалить этот путь,не думая о том что возникнут конфликтные ситуации. Имея малейшие знания Delphi можно перестроить файл andrq.ini.Совсем не обязательно менять алгоритм шифрования пароля.Трояны находят зашифрованный пасс по строке crypted-password те достаточно поменять очередь этой строки в ini файле и ее название.

    0x02.ICQ 4/5

    С оффициальным клиентом ситуация посложнее.В реестре хранится информация о путях к смайлам,скину и самому клиенту.Удаление ключа повлечет за собой крах клиента.Можно также подредактировать файл HEX – редактором , но это требует немалых усилий так как помимо самого exe придется редактировть и dll файлы.Краже паролей подвержены только клиенты до icq lite 4 значит icq 5 уязвимым не является.Это является лучшим способом защититься.

    0x03.QIP

    Появился сравнительно недавно и успел завоевать популярность не только в России.Путь к клиенту можно найти в ветку Uninstal/Qip.После удаления ключа QIP прекрасно работал. Одним из плюсов является тот факт что функцию расшифровки зашифрованного пароля найти нетак легко и только последние версии Пинча могут это делать.

    0x04.Fake Plugins

    Такие клиенты как AndRQ и Miranda поддерживают плагины и исходники комплектуются PDK ( Plugin Dev Kit ) и примерами.Плагины для крысы еще не так развиты хотя существуют фейки.В противоположность крысе миранда без них не может существовать так как каждый протокол реализован в виде dll файла ( icq.dll / aim.dll … ).Существуют различные сборки и альтернативные icq библиотеки.Нелишним будет упомянуть что сборками можно пользоваться только проверенными,а библиотеки качать только с офф сайта или же isee от Bio (http://www.etplanet.com/bio/miranda/ )

    0x04.AntiPinch

    http://www.asechka.ru/articles/gemaglab1n/icq_def/AntiPinch.exe

    Отечественная разработка virii кодера. Кому как не им знать все аспекты кражи паролей : ) На момент написания статьи программа защищала Миранду,Крысу и QIP.Тамже можно сделать тест на уязвимость клиентов.
    Автор: gemaglab1n​
     
    5 people like this.
  2. gemaglabin

    gemaglabin Green member

    Joined:
    1 Aug 2006
    Messages:
    772
    Likes Received:
    842
    Reputations:
    1,369
    Приноси свои извенения и забирай слова обратно :) я на форумах регаюсь под никами gemaglab1n или gemaglabin и статья моя )
     
    #2 gemaglabin, 4 Aug 2006
    Last edited: 6 Aug 2006
  3. dinar_007

    dinar_007 Мадемуазель

    Joined:
    18 Jan 2005
    Messages:
    1,019
    Likes Received:
    770
    Reputations:
    97
    подкащей, да, это одно и то же лицо несомненно =) Статейка неплохая...
     
  4. blaga

    blaga Elder - Старейшина

    Joined:
    23 Mar 2006
    Messages:
    884
    Likes Received:
    273
    Reputations:
    106
    А не легче просто пароль не сохранять? Пусть у меня крадут эти файлы пароля то там ведь нету. Понту то с них если пароль не сохранен.
     
  5. Meister

    Meister Elder - Старейшина

    Joined:
    13 Oct 2005
    Messages:
    185
    Likes Received:
    7
    Reputations:
    0
    Не понял, что открывать Hex-редактором в случае с квипом?
     
  6. Reject

    Reject Member

    Joined:
    19 Oct 2006
    Messages:
    35
    Likes Received:
    8
    Reputations:
    17
    Удалить ключ QIP в Ветке Uninstall/Qip.
    =)
     
  7. Meister

    Meister Elder - Старейшина

    Joined:
    13 Oct 2005
    Messages:
    185
    Likes Received:
    7
    Reputations:
    0
    Не хотелось бы флуд разводить, но что значит ВЕТКА. Может кто-нибудь на пальцах объяснить, что открыть HEX-редактором? Я открывал им qip.exe, там нчиего похожего нет.
     
Loading...
Similar Threads - Безопасные клиенты
  1. gidropon
    Replies:
    30
    Views:
    10,729
  2. randman
    Replies:
    1
    Views:
    10,003
  3. PavelDurov
    Replies:
    11
    Views:
    28,932
  4. MoreCareful
    Replies:
    16
    Views:
    6,096