Anti-Pinch

SploiT · 05.02.2008, 21:55

AntiPinch 2.0

Программа AntiPinch специально создана для противодействия Pinch, и представляет собой систему защиты от кражи паролей IM-клиентов ICQ: Miranda , Trillian, RQ и пр.

IM-клиенты по-прежнему играют большую роль в общении по интернету. В России это ICQ, на западе – AIM, Yahoo и MSN. В связи с такой популярностью расплодилось много форумов данной тематики с разнообразными мануалами по угону красивых скриннеймов и icq номеров. Данная статья наоборот поможет вам не стать жертвой этого асечного произвола ).
Два самых популярных метода – подбор паролей и всевозможные троянские программы.
Нас больше интересует второй метод так как он требует большего участия со стороны пользователя. Даже самый малофункциональный троян включает в себя возможность кражи паролей от мессенджеров.

Возьмем для примера Pinch.Он ворует пароли из таких клиентов как Trillian, &RQ, Miranda и из всех официальных вплоть до ICQ lite 4.
Остановимся на каждом поподробнее.

0x00.Miranda

Самый продвинутый и функциональный клиент на момент написания статьи. Дает много возможностей для защиты. Во-первых, это клиент с открытыми исходными кодами и исправить их для грамотного человека не составит труда. Если же у вас плохо с этим, можно пойти по другому пути – спрятать миранду от Троянов. Для этого достаточно просто рассмотреть как они действуют. Открываем пинчевый модуль miranda.asm и сразу же в глаза бросается вот эта запись

@AllocStr , <"SOFTWAREMiranda"> @AllocStr , <"Install_Dir">

Значит он считывает путь к миранде из реестра. Можно просто удалить этот ключ, но мы сделаем иначе – откроем миранду HEX – редактором и изменим строку Install_Dir на Path, после изменяем имя строкового параметра в реестре на Path.

Стоит заметить что все пароли хранятся в dat файлах и в сети полно мануалов по расшифровке алгоритма криптования пароля в этом клиенте. Проделываем туже операцию что и с Install_Dir только меняем строку .dat на что-то свое, допустим .icq Существует также плагины для обеспечения безопасности миранды. Например SecureIm позволяет обмениваться зашифрованными сообщениями. Минусы данного способа – у собеседника должен стоять такой же клиент с таким же плагинов.Или же mSecure который ограничивает загрузку профиля по паролю.

0x01.Andrq

Как и миранда является клиентом с открытыми исходными текстами. Пароль хранится в файле andrq.ini в папке с профилем. Алгоритм шифрования давно известен и является довольно легким. Смотрим файл &RQ.asm

@AllocStr , <"SOFTWAREMicrosoftWindowsCurrentVersionUninsta l l&RQ"> @AllocStr , <"UninstallString">

Этот путь нужен только uninstaller`у и делает Крысу очень уязвимым клиентом. Достаточно просто удалить этот путь, не думая о том что возникнут конфликтные ситуации. Имея малейшие знания Delphi можно перестроить файл andrq.ini. Совсем не обязательно менять алгоритм шифрования пароля. Трояны находят зашифрованный пасс по строке crypted-password те достаточно поменять очередь этой строки в ini файле и ее название.

0x02.ICQ 4/5

С официальным клиентом ситуация посложнее. В реестре хранится информация о путях к смайлам, скину и самому клиенту. Удаление ключа повлечет за собой крах клиента. Можно также подредактировать файл HEX – редактором , но это требует немалых усилий так как помимо самого exe придется редактировать и dll файлы. Краже паролей подвержены только клиенты до icq lite 4 значит icq 5 уязвимым не является. Это является лучшим способом защититься.

0x03.QIP

Появился сравнительно недавно и успел завоевать популярность не только в России.Путь к клиенту можно найти в ветку Uninstal/Qip .После удаления ключа QIP прекрасно работал. Одним из плюсов является тот факт что функцию расшифровки зашифрованного пароля найти нетак легко и только последние версии Пинча могут это делать.

0x04.Fake Plugins

Такие клиенты как AndRQ и Miranda поддерживают плагины и исходники комплектуются PDK ( Plugin Dev Kit ) и примерами.Плагины для крысы еще не так развиты хотя существуют фейки.В противоположность крысе миранда без них не может существовать так как каждый протокол реализован в виде dll файла ( icq.dll / aim.dll … ).Существуют различные сборки и альтернативные icq библиотеки.Нелишним будет упомянуть что сборками можно пользоваться только проверенными,а библиотеки качать только с офф сайта или же isee от Bio ([Для просмотра данной ссылки нужно зарегистрироваться] )

0x04.AntiPinch

Отечественная разработка virii кодера. Кому как не им знать все аспекты кражи паролей : ) На момент написания статьи программа защищала Миранду, Крысу и QIP. Также можно сделать тест на уязвимость клиентов.

P.S Лично от меня, эта программа нужна для тех кто не хочет лишиться своих пассов, проверено на себе!!!!

[Для просмотра данной ссылки нужно зарегистрироваться]

***RuSnnov*** · 06.02.2008, 09:40

А pinchem еще кто-то пользуется? Только если у ламаков полных угонять таким способом.

SploiT · 07.02.2008, 21:29

Не знаю, но ведь пинч не только нубам можно бросать но и клеить с чем нибуть...

T-34 · 08.02.2008, 01:33

Цитата:

Сообщение от SploiT

Лично от меня, эта программа нужна для тех кто не хочет лишиться своих пассов, проверено на себе!!!!

Угоняли юины, пока не начал юзать сабж?

Правила форума	Все альбомы	Сообщения за день	Регистрация
Поиск	Галерея		Пользователи

05.02.2008, 21:55	#1
SploiT Evil Man Регистрация: 13.08.2007 Адрес: perl exp.pl Пол: М Провайдер: ВТ Сообщений: 60 Поблагодарил: 92 Поблагодарили 22 раз в 8 сообщениях Открыли хайд : 0 в этом сообщении 0 Всего	Anti-Pinch AntiPinch 2.0 Программа AntiPinch специально создана для противодействия Pinch, и представляет собой систему защиты от кражи паролей IM-клиентов ICQ: Miranda , Trillian, RQ и пр. IM-клиенты по-прежнему играют большую роль в общении по интернету. В России это ICQ, на западе – AIM, Yahoo и MSN. В связи с такой популярностью расплодилось много форумов данной тематики с разнообразными мануалами по угону красивых скриннеймов и icq номеров. Данная статья наоборот поможет вам не стать жертвой этого асечного произвола ). Два самых популярных метода – подбор паролей и всевозможные троянские программы. Нас больше интересует второй метод так как он требует большего участия со стороны пользователя. Даже самый малофункциональный троян включает в себя возможность кражи паролей от мессенджеров. Возьмем для примера Pinch.Он ворует пароли из таких клиентов как Trillian, &RQ, Miranda и из всех официальных вплоть до ICQ lite 4. Остановимся на каждом поподробнее. 0x00.Miranda Самый продвинутый и функциональный клиент на момент написания статьи. Дает много возможностей для защиты. Во-первых, это клиент с открытыми исходными кодами и исправить их для грамотного человека не составит труда. Если же у вас плохо с этим, можно пойти по другому пути – спрятать миранду от Троянов. Для этого достаточно просто рассмотреть как они действуют. Открываем пинчевый модуль miranda.asm и сразу же в глаза бросается вот эта запись @AllocStr , <"SOFTWAREMiranda"> @AllocStr , <"Install_Dir"> Значит он считывает путь к миранде из реестра. Можно просто удалить этот ключ, но мы сделаем иначе – откроем миранду HEX – редактором и изменим строку Install_Dir на Path, после изменяем имя строкового параметра в реестре на Path. Стоит заметить что все пароли хранятся в dat файлах и в сети полно мануалов по расшифровке алгоритма криптования пароля в этом клиенте. Проделываем туже операцию что и с Install_Dir только меняем строку .dat на что-то свое, допустим .icq Существует также плагины для обеспечения безопасности миранды. Например SecureIm позволяет обмениваться зашифрованными сообщениями. Минусы данного способа – у собеседника должен стоять такой же клиент с таким же плагинов.Или же mSecure который ограничивает загрузку профиля по паролю. 0x01.Andrq Как и миранда является клиентом с открытыми исходными текстами. Пароль хранится в файле andrq.ini в папке с профилем. Алгоритм шифрования давно известен и является довольно легким. Смотрим файл &RQ.asm @AllocStr , <"SOFTWAREMicrosoftWindowsCurrentVersionUninsta l l&RQ"> @AllocStr , <"UninstallString"> Этот путь нужен только uninstaller`у и делает Крысу очень уязвимым клиентом. Достаточно просто удалить этот путь, не думая о том что возникнут конфликтные ситуации. Имея малейшие знания Delphi можно перестроить файл andrq.ini. Совсем не обязательно менять алгоритм шифрования пароля. Трояны находят зашифрованный пасс по строке crypted-password те достаточно поменять очередь этой строки в ini файле и ее название. 0x02.ICQ 4/5 С официальным клиентом ситуация посложнее. В реестре хранится информация о путях к смайлам, скину и самому клиенту. Удаление ключа повлечет за собой крах клиента. Можно также подредактировать файл HEX – редактором , но это требует немалых усилий так как помимо самого exe придется редактировать и dll файлы. Краже паролей подвержены только клиенты до icq lite 4 значит icq 5 уязвимым не является. Это является лучшим способом защититься. 0x03.QIP Появился сравнительно недавно и успел завоевать популярность не только в России.Путь к клиенту можно найти в ветку Uninstal/Qip .После удаления ключа QIP прекрасно работал. Одним из плюсов является тот факт что функцию расшифровки зашифрованного пароля найти нетак легко и только последние версии Пинча могут это делать. 0x04.Fake Plugins Такие клиенты как AndRQ и Miranda поддерживают плагины и исходники комплектуются PDK ( Plugin Dev Kit ) и примерами.Плагины для крысы еще не так развиты хотя существуют фейки.В противоположность крысе миранда без них не может существовать так как каждый протокол реализован в виде dll файла ( icq.dll / aim.dll … ).Существуют различные сборки и альтернативные icq библиотеки.Нелишним будет упомянуть что сборками можно пользоваться только проверенными,а библиотеки качать только с офф сайта или же isee от Bio ([Для просмотра данной ссылки нужно зарегистрироваться] ) 0x04.AntiPinch Отечественная разработка virii кодера. Кому как не им знать все аспекты кражи паролей : ) На момент написания статьи программа защищала Миранду, Крысу и QIP. Также можно сделать тест на уязвимость клиентов. P.S Лично от меня, эта программа нужна для тех кто не хочет лишиться своих пассов, проверено на себе!!!! [Для просмотра данной ссылки нужно зарегистрироваться] __________________ Последний раз редактировалось The Godfather; 18.04.2008 в 10:00.

07.02.2008, 21:29	#3
SploiT Evil Man Регистрация: 13.08.2007 Адрес: perl exp.pl Пол: М Провайдер: ВТ Сообщений: 60 Поблагодарил: 92 Поблагодарили 22 раз в 8 сообщениях Открыли хайд : 0 в этом сообщении 0 Всего	Не знаю, но ведь пинч не только нубам можно бросать но и клеить с чем нибуть... __________________

06.02.2008, 09:40	#2
*RuSnnov* ·Internet Addict· Регистрация: 01.09.2007 Адрес: NN Пол: M Провайдер: Эр-Телеком Сообщений: 2,972 Поблагодарил: 927 Поблагодарили 4,828 раз в 1,012 сообщениях Открыли хайд : 0 в этом сообщении 8,040 Всего	А pinchem еще кто-то пользуется? Только если у ламаков полных угонять таким способом.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Результаты поиска
Тема	Раздел