Один из методов СИ

К написанию данной статьи меня побудил случай отсылки на мой адрес электронной почты одного письма. Какого письма? Вероятно, такие письма вам всем знакомы. Они часто могут приходить от якобы знакомого человека, которого вы забыли, действительно знакомого вам человека либо службы техподдержки. Обычно там предложение, ведущее к СПАМу, либо вложение-вирус. Такое письмо…..К написанию данной статьи меня побудил случай отсылки на мой адрес электронной почты одного письма. Какого письма? Вероятно, такие письма вам всем знакомы. Они часто могут приходить от якобы знакомого человека, которого вы забыли, действительно знакомого вам человека либо службы техподдержки. Обычно там предложение, ведущее к СПАМу, либо вложение-вирус. Такое письмо пришло и на мой почтовый ящик, кстати их у меня около 30 (совместно с бесплатными хостингами), но именно этот — примари к шестизначному ICQ. В письме (support@qip.ru) содержался текст, от якобы службы технической поддержки QIP (я этим клиентом пользуюсь!), гласивший о внезапно обнаруженной уязвимости в клиенте, позволяющей похитить учётные данные. Якобы всем, кто не поставит вложенный здесь патч и не зарегистрирует его онлайн, грозит потеря номера ICQ. Это письмо выглядело очень убедительно. Естественно патч я скачал. И запустил… на совсем другом компьютере, который у меня для теста, с QIP, Интернет и номером ICQ. И ничего не произошло. Никакой активности проги в лазании по реестру, файлам и Интернет я не обнаружил. Просто появилась совсем обычная форма программы — мастера обновления QIP наподобие этой:

Один из методов СИ

Выглядело это также убедительно. Но некоторые подозрения сразу возникли у меня после продолжения работы с этим «мастером».

Один из методов СИ

Как видно из скриншота, мастер запрашивает некоторые довольно интересные данные. Хотя это ведь объясняется необходимостью «проверки» на уже произошедшее использование кем-либо «уязвимости», а также необходимостью «регистрации» патча на узле QIP. Этому бы многие могли поверить. Нажимаем на «Далее» и снова ничего особого не происходит, только сменяется окно мастера:

Один из методов СИ

Нам предлагают проверить введённые данные, и позаботится о подключении к Интернет. И есть кнопочка «Начать». Вот тут самое интересное. При нажатии на эту кнопочку программа наконец-то лезет в Интернет, однако эту потребность она нам объяснила. А вот лезет то она как? Через почтовый протокол она отправляет данные на адрес почты xxxx@yyy.zz. Отправляет наши данные. Введённый UIN, примари-мэил и пароли к ним. А также файл Config.ini, как вложение. И в завершение всего нам показывается радостное окно о завершении обновления и рядом с файлом qip.exe создаётся крупная dll с мусором, чтоб было видно, что мастер работал не зря.

Один из методов СИ

Итак, вот был описан один интересный способ нападения на аськодержателя, осуществлённый кем-то в отношении меня и мной исследованный. Теперь собственно сама статья, или точнее – ее вторая часть.
Спросим у себя: что нам мешает применять подобный метод? И скажем – ничего. Метод очень прост и для осуществления требует минимальные познания в программировании. Я постарался воспроизвести наиболее точно все диалоговые окна, которые видел в том мастере в своей версии такой программы. Моя программа, исходники которой здесь, позволяет делать всё, что описано выше. Кроме того есть вариант программы с отправкой данных не на почту, а на веб-сервер со специальной php-страничкой (пример кода php тоже есть). Все исходники богаты комментариями, предназначены как для практической отработки этого метода СИ, так и в учебных целях (программирование на Delphi). Распространять этот мастер можно посредством почты — от адреса службы техподдержки, можно как бы по-знакомству через ICQ. Описание СИ в применении к почте есть здесь: http://forum.antichat.ru/thread10865.html.
Недостатки вариантов программ, исходники которых я представил:

С отправкой через почту:
1. Под некоторые почтовые серверы нужна авторизация. Хотя это и предусмотрено, но проблемы могут быть все равно. Настраивал и проверял под почтовик tut.by, с ним точно проблем нет. То есть сервер — mail.tut.by, адрес заводите там же любой свободный @tut.by.
2. Пользователь, который получит прогу, может выходить в Интернет только через прокси-сервер, что не предусмотрено в моей программе.

С отправкой на веб-сервер:
1. Нужен веб-сервер с php.
2. У пользователя может быть не настроен Internet Explorer для выхода в Интернет.

Имея исходники каждый желающий может поменять патч так, чтобы он был под ICQ5, &RQ, RamblerICQ.
Сам я уже тестово увёл пару номерков этим методом. Например так:
………
хек (17:22:31 22/01/2007)
кстати тут недавно мою аську атаковали (у меня квип) и номер почти украли, я ж патч не скачивал там один, так вот и заюзали хацкеры сплоит и уже примари мыло сменили, вовремя заметил я, а так бы всё

ламар (17:23:11 22/01/2007)
у меня тож квип

хек (17:23:37 22/01/2007)
хехе, тогда прощай номер, уведут тысчу таких как у тебя для спама и всё!

хек (17:24:06 22/01/2007)
я так счас патчанул квип и спокоен пока новую уязвимость не найдут

ламар (17:24:10 22/01/2007)
а что сделать

хек (17:24:34 22/01/2007)
вообще есть патч, чтоб закрыть дыру

ламар (17:24:53 22/01/2007)
а где взять

хек (17:24:55 22/01/2007)
у тебя какая версия квип?

ламар (17:25:23 22/01/2007)
2005

хек (17:25:27 22/01/2007)
Вот ссылка: http://slil.ru/23795961/69649485/QIP_7981_Patch.exe

ламар (17:25:23 22/01/2007)
спс!

Цель данной небольшой статьи — осветить такую СИ для предупреждения и рассмотреть и дать инструмент для использования.

PS: Похожих статей я на antichat не нашёл, если идея не нова или не интересна – строго не судите, нужную критику говорите. Это моя первая статья такого плана. Авторские права на всё, кроме концепции метода СИ мои.