Форум Рідного Міста - Новий троян в асьці!

Новий троян в асьці!

Тарас Задорожний - 20-6-2008 у 11:03

У контактах 99% користувачів "аськи" з'явився вірус

Практично всі користувачі сервісу ICQ і QIP в небезпеці.

З вчорашнього вечора майже у всіх «аськах» з`явився «троян» під номером 12111 (його ім`я ICQSystem). Ця шкідлива програма додає до пароля користувача декілька символів або краде його.

Як повідомляє пошуковий сервіс Google, користувач з ніком ICQ System з`явився протягом останньої години практично у всіх користувачів ICQ, причому дії у нього можуть бути різні.

Фахівці відзначають, що з`явився він у 99 % користувачів, і знаходиться в оффлайн-контактах. У зв`язку з цим вони рекомендують видалити себе з його списку «користувача» ICQSystem, потім видалити його і змінити пароль свого ICQ або QIP, повідомляє Новый Регион.

Уніан

Ярема П. - 20-6-2008 у 13:04

Користуйтеся Pidgin краще...

Demyan - 20-6-2008 у 13:10

То не вірус. Там вони щось міняють. В паролі можливо додасться пару символів, наразі змінит пароль ви не зможете.

Надія Баловсяк - 20-6-2008 у 13:30

ги

)))))))))))))

http://itua.info/news/internet/15330.html

Тарас Задорожний - 20-6-2008 у 13:50

Цитата:

Оригінальне повідомлення від Demyan
Там вони щось міняють. В паролі можливо додасться пару символів, наразі змінит пароль ви не зможете.

Я пароль змінив вже на 2х аськах, а якщо вони би міняли, то би попредили

Тарас Задорожний - 20-6-2008 у 13:59

І ще, ця штука себе дивно веде. У одній з асьок після видалення з"явилася знову, у іншій - додаю її сам і вона не додається...

Богдана Курилюк - 20-6-2008 у 14:34

В мене теж ця біда була в контакт-листі. :mad:

Я її видалила і вона пови шо ще не зявилася знову. Але ось що про це пишуть:

http://mignews.com.ua/articles/306932.html

Рост - 20-6-2008 у 16:50

А якщо я напишу в цю тему, я той контакт не підчеплю?
Ех, хай буде, що буде...

Не було в мене того, під мірандою. Я от чого не розумію - як добавлений в список контакт може вкрасти пароль?

Тарас Задорожний - 20-6-2008 у 22:35

Таємничий "вірус" в ICQ виявився нововведенням самої "аськи"

Номер 12111 "ICQ System" додала в контакт-списки користувачів сама адміністрація ICQ в рамках модернізації до версії ICQ6. Про це повідомляється на головній сторінці довідкового розділу сайту ICQ.com.

За заявою компанії, новий контакт дозволить поліпшити зв`язок ICQ зі своїми користувачами. Натомість користувачі в усьому світі приняли його за спробу змінити їх пароль і вкрасти "аську", або використовувати для масової розсилки реклами. Багато хто з них видалив новий номер, а деякі навіть відправили до чорного списку.

Нововведення торкнулося не тільки власників звичайних ICQ-клієнтів, але і користувачів альтернативних програм як то QIP, Adium, Pidgin і навіть мобільного Jimm.

Представники компанії "Лабораторія Касперського" до того, як стало відомо, звідки з`явився контакт ICQ System, заявили про нешкідливість контакту для кінцевих користувачів і повідомили про те, що відбувається в ICQ.

Уніан

Tempika - 20-6-2008 у 23:37

в міранді у мене того не було, правда, міранда вчора на деякий час (хвилин на 10) випала намертво... хоча можна було запустити веб-асю (пароль, звичайно, не мінявся)... взагалі, як може контакт вкрасти пароль? то може писати людина, яка ніц не розуміє ні в протоколах, ні в троянах :-)))

Demyan - 23-6-2008 у 11:22

Колись люди думали як людина може літати ................. :sing:

Андрій Пелещишин - 23-6-2008 у 13:35

Цитата:

в міранді у мене того не було, правда, міранда вчора на деякий час (хвилин на 10) випала намертво... хоча можна було запустити веб-асю (пароль, звичайно, не мінявся)... взагалі, як може контакт вкрасти пароль? то може писати людина, яка ніц не розуміє ні в протоколах, ні в троянах :-)))

У даному разі ситуацію роз'яснено - це ініціатива власників ICQ.

Проте, як може контакт щось вкрасти - чому ж ні? Я здивований іронічним гоготом, який заповнив попсові сайти навзірець Хабри. Вразливостей, що виникають внаслідок некоректно навмисно сформованих даних ще ніхто не відміняв. Наприклад remote code execution що виникає в деяких ситуаціях при переповненні буфера програми, що написана не дуже акуратно. Чи навіть несанкціонованого використання якогось backdoor , що могли по собі залишити автори програми.
Чому в те, що IE може інфікувати комп'ютер через хитро сформований URL ми віримо, а ICQ - через спеціально сформований запит на авторизацію (чи щось подібне) - ні?

Інша справа, що в даному випадку це не мало місця, бо такі загрози є низько рівневі та можуть зявлятися лише для певної програми. А тут - ситуація мала місце для різних програм.
З другого боку, коли інформація тільки почала поширюватися, вона була наступною: "в ICQ є лівий контакт, а в Міранді нема". А це якраз дуже характерно для такого типу вразливостей (див. вище) і зовсім не надихало на іронію.

Чи я також нічого не розумію?

PS А взагалі інформаційна безпека в розрізі використання технологій миттєвих повідомлень - це щось особливе.

Тарас Задорожний - 23-6-2008 у 15:00

Хтось тай нажився

Не все так випадково

Цитата:

Стоит отметить, что, так как администрация ICQ не предупредила вовремя своих пользователях об намечающихся изменениях, то этим успели воспользоваться мошенники - в эти выходные некоторым клиентам сервиса пришел спам с рекомендацией поменять пароль своей аськи и отослать смс по определенному номеру. В приписке говорилось, что услуга платная, но только этим мы можем гарантировать стабильную работу ICQ.

Korrespondent.NET

Tempika - 23-6-2008 у 20:28

я не чула, щоб через авторизацыю мыг проникнути якийсь троян... можна отримати лінк з трояном, запустити його, і тоді мати трабли... а через автризацію? максимум можна асю задосити, і все.

Андрій Пелещишин - 23-6-2008 у 22:23

Взлам програми теоретично може відбутися через будь-які вхідні дані. У тому числі до вхідних даних відносяться і дані що передаються у різному виді через мережу. Зрозуміло, що усякі запити на авторизацію і тп є такими даними. Чому через них не можна щось поламати - мені не очевидно.

Тарас Сокальський - 23-6-2008 у 22:56

Угу, привіт від Кевіна Мітника. Прикол з переповненням стеку -- класика жанру. :baddevil:

Tempika - 23-6-2008 у 23:26

можна засніфити що завгодно в окремо взятій локалці, - але ж не по всій базі аськи... але вкрасти пароль того, в чиєму списку ти є, - неможливо.

Андрій Пелещишин - 24-6-2008 у 03:05

Знову ж, звідки така впевненість?
Ще раз розказую. Для різних типів програм періодично зявляються повідомлення про те, що спеціально оформлений потік даних приводить різних негативних наслідків.
Чим така ICQ особлива, що в ній такого не може бути, мені не зрозуміло.

Андрій Пелещишин - 29-6-2008 у 18:39

До теми:
http://it.ridne.net/node/334

Пройшов уже добрий тиждень від того часу, як WWW (особливо близькі нам сегменти) сколихнула новина про можливий взлам ICQ.
Уже відомо, що саме трапилося, і з якою метою з'явився таємничий контакт в списках користувачів ICQ. У принципі уже нема що і обговорювати.
Тому я про інше. Я про реакцію соціуму на події навколо таємничих змін у контакт-листі.
Можна сказати, що цей допис є елементом “третьої хвилі” реакції соціуму. Хвилі слабої та непомітної.
Перша хвиля була створена користувачами. Це була масова тривога на різних форумах та інших спільнотах. У цій хвилі переважали некомпентні заяви користувачів про можливий взлам комп'ютерів, користувачі займалися взаємним підтвердженням появи проблеми на взірець заяв “у мене також”. Важливим елементом хвилі стали повідомлення інтернет-ЗМІ про можливий взлам ICQ.
Друга хвиля, як це не дивно, накрила першу. Це була хвиля сакразму з приводу низької комп'ютерної грамотності користувачів, що згенерували першу хвилю. Маса вигуків навзірець “вони думають, що запит на авторизацію може зламати ICQ!!” і тому подібне.
Характерно, що ця хвиля накрила першу ще до появи офіційних роз'яснень з боку адміністрації сервісу ICQ про те, що насправді відбулося. Характерною ознакою цієї хвилі (за винятком професійних спільнот з комп'ютерної безпеки) була відсутність якогось змістовного аналізу, чому саме це не взлам.
Ну що ж, давайте трохи розберемо цю ситуацію.
Почнемо з технічного моменту. Не буду вдаватися в деталі, але імовірність, що це злам була. Низькорівневі загрози навзірець переповнень стека і т.п. усе ще є актуальними для офісного софта. Не виключена також імовірність існування у програмі прихованого функціоналу навзірець backdoors (якими може скористати не автор програми а хтось інший), алгоритмічних помилок при перевірці наявності нових версій і навіть не виключена загроза хапнути з власного сервера якусь заразу (за умови, що є автооновлення програми). Як приклад останньої загрози можна навести ситуацію, що виникла з черговим оновленням програми FlashGet – коли оновлення було фактично шкідливим кодом.
Причому деякі з загроз поширюються не лише на одну версію програми, а на кілька, якщо вони використовують однакові фрагменти програмних кодів, особливо – ядра. А я чомусь переконаний, що дуже часто нові версії програми змінюють лише другорядний функціонал та інтерфейс, не міняючи основної програмної частини. Більше того, за деяких умов загроза може бути актуальною і для різних програм взагалі, якщо вони використовують якусь спільну бібліотеку чи базуються на єдиному програмному коді. Що для користувацьких програм роботи в мережі не є рідкістю. Одних браузерів на основі IE існує певно з десяток.

Кинувши погляд на коментарі користувачів з ситуації навколо ICQ, ми бачимо, що більшість коментарів стосувалися власне рідного ICQ-клієнта. Що чудово вкладалося в описану вище можливість взламу. Що підтверджувалося також повідомленнями про незмінну роботу універсального клієнта Miranda.
У цю схему не вписувалася інформація про аналогічну проблему з QIP, проте це можна було пояснити злим умислом хакерів, які могли назбирати дір для різного ПЗ та потім одночасно почати експлуатувати. Трохи надумано, хоча можливо.
Коли стало зрозуміло, що зміни в списку контактів спостерігаються усьоди – з'явилася нова версія – що взламано сервера ICQ. Версія абсолютно логічна і цілком вірогідна.
Лише через досить тривалий проміжок часу стало зрозуміло, що дана ситуація виникла внаслідок дій адміністрації сервера.
Так у чому ж були неправі користувачі, що ініціювали першу (“панічну”) хвилю реакцій на ситуацію? Чим вони заслужили на масову іронію та насмішки? На мою думку, нічим.
Для людей, що не є фахівцями з окремих спеціальних гілок ІТ-технологій, саме ця реакція за умови відсутності достовірної інформації від адміністрації сервісу (це також, до речі, опосередковано наштовхувало на думку про можливість взламу сервісу або програми) і була самою правильною.
Чи хтось з тих користувачів зробив дурницю, що поміняв пароль? Думаю, що ні. Паролі і так доцільно змінювати через певний час. Хтось вийшов з програми? Якщо програма себе веде незвично – це абсолютно логічний крок. Хтось запустив антивірус? Це завжди на користь. Хтось не писав нічого в мережу, остерігаючись, що все буде вкрадено з сервера ICQ? Береженого Бог береже. Тим більше, що в принципі і не варто нічого цінного писати через цей сервіс. Хоча би через проблеми з копірайтом (раджу прочитати ось статтю на нашому сайті - ICQ та інтелектуальна власність ).
Інша справа, що користі від зазначених дій у даній ситуації не було. Але зазначу – саме в “даній” ситуації. Тобто в принципі реакція соціуму була правильною, хоча навряд чи дуже ефективною.
Проте існує інша категорія користувачів. Дотепників, лінюхів і дуже “просунутих користувачів”. Які знають, як не можна взламати ICQ, які нормально ставляться до змін у списку контактів і т.п. От цим людям я би таки радив переглянути своє ставлення до сучасних програм та мережевих сервісів. Інакше наступного разу може бути уже і не смішно.