[@Славка]

Довольно часто ломают аськи, в том числе и у наших пользователей, поэтому решил здесь разместить одну статейку.
Немного большая, но думаю осилите.

Как уже было сказано, у каждого пользователя ICQ есть свой уникальный идентификационный номер, или UIN. В настоящее время наиболее распространены девятизначные номера, однако многие пользователи хотят, чтобы их UIN совпадал с номером мобильного телефона, был симметричным или содержал одинаковые цифры. Такие UIN’ы удобны для запоминания, а для кого-то подобный номер – вопрос престижа. Особенно ценятся так называемые «красивые» ICQ-номера – пяти-, шести- или семизначные UIN’ы, содержащие, например, только две цифры.

«Красивые» номера продаются, и их цена, как правило, достаточно высока. На многих сайтах существует услуга «заказ номера»: за установленную плату владельцы сайта обещают с некоторой долей вероятности «достать» приглянувшийся заказчику UIN. Кроме того, покупателям предлагают оптовые партии ничем не примечательных девятизначных номеров, которые представляют интерес для любителей массовых рассылок. Использование большого количества номеров при проведении спам-рассылок позволяет спамерам обойти «черные списки», куда разгневанные пользователи заносят номера, с которых приходят спам-сообщения.

Продавцы «престижных» номеров редко рассказывают о методах их получения. В электронных магазинах покупателей уверяют, что «красивые» UIN’ы продаются на законных основаниях. Но на самом деле в большинстве случаев такие ICQ-номера добываются нелегальным путем.

Для кражи UIN’ов злоумышленники используют несколько способов. Многочисленные интернет-магазины, торгующие «красивыми» номерами, зачастую занимаются «промышленным» перебором паролей и кражей аккаунтов. Еще один способ – подбор пароля к primary email и изменение исходного пароля к UIN’у пользователя без ведома последнего. Рассмотрим этот способ подробнее.

Если пользователь забыл пароль к своему UIN’у, служба поддержки ICQ предлагает определенную схему его восстановления. Она неоднократно усложнялась, дорабатывалась и в настоящее время представляет собой систему, более или менее надежно защищающую пароль от кражи. Пользователю предлагается ввести ответы на установленные им самим вопросы. Если же он забыл ответы, то вопросы можно сменить при помощи primary email – почтового адреса, введенного в контактную информацию при регистрации. Схема достаточно надежна, но если злоумышленник каким-либо образом получил доступ к primary email, то UIN, можно сказать, у него в кармане. Подобрав пароль к primary email, можно связаться со службой поддержки ICQ и от имени владельца аккаунта попросить выслать новый пароль, поскольку старый якобы забыт. После получения нового пароля злоумышленник может лишить владельца доступа и к ICQ, и к primary email, сменив старые пароли. Следует отметить, что такой способ кражи достаточно непрост: для перебора паролей к почтовому ящику, с которым связан номер ICQ, необходим мощный компьютер или даже сеть.

Однако наиболее популярна кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует Trojan-PSW.Win32.LdPinch. Данное семейство угрожает пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам (например, Miranda), но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д. Существуют специальные программы-конструкторы для создания необходимого злоумышленнику троянца – они позволяют задавать параметры установки вредоносного ПО на зараженный компьютер, определять, какие именно пароли вредоносная программа будет воровать у пользователя, и т.д. После конфигурирования преступнику остается лишь указать электронный адрес, на который будет отправляться конфиденциальная информация. Именно простота создания таких вредоносных программ приводит к тому, что они часто встречаются не только в почтовом, но и в IM-трафике.

Распространение вредоносных программ

Если в почтовом трафике вредоносные программы, распространяющиеся самопроизвольно или благодаря спаму, являются представителями самых разных семейств, то через ICQ распространяются в основном три группы подобных программ:

1. IM-черви – вредоносные программы, использующие клиент как плацдарм для саморазмножения.
2. Троянские программы, нацеленные на воровство паролей, в том числе и к номерам ICQ (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch).
3. Вредоносные программы, классифицируемые «Лабораторией Касперского» как Hoax.Win32.*.* (сюда относится вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем).

Каким же образом распространяются вредоносные программы через ICQ?

Распространение IM-червей происходит без участия (или почти без участия) пользователя. Многие IM-черви после попадания на компьютер пользователя распространяют ссылку на себя по номерам, содержащимся в контакт-листе IM-клиента зараженной машины. Функционал IM-червей достаточно разнообразен: это и упомянутое выше воровство паролей, и создание ботнетов, а иногда – обычная деструктивная деятельность (например, удаление всех файлов формата .mp3 на компьютере пользователя). Через ICQ активно распространялись такие зловреды, как Email-Worm.Win32.Warezov и Email-Worm.Win32.Zhelatin (Storm Worm).

Однако в большинстве случаев для успешного проведения атаки злоумышленникам необходимо участие пользователя. Тем или иным способом они пытаются спровоцировать потенциальную жертву перейти по ссылке, размещенной в полученном сообщении, а если по ссылке загружается вредоносная программа – открыть загружаемый файл. Для достижения желаемого результата мошенники часто применяют методы социальной инженерии.

Вот пример атаки, конечной целью которой является загрузка на компьютер жертвы вредоносного ПО. Для начала злоумышленник регистрирует некоторое количество пользователей с привлекательной для знакомства информацией (например, «симпатичная девушка 22 лет ищет парня»). Затем он «привязывает» к этим номерам боты (небольшие программы с примитивным интеллектом, способные поддержать простой разговор). В самом начале беседы заинтересованные пользователи обычно хотят увидеть фотографию «симпатичной девушки», для чего бот предлагает им перейти по ссылке. Стоит ли говорить, что по указанному адресу любопытного пользователя ожидает не фотография, а вредоносная программа?

Еще один вариант – внесение ссылки на вредоносную программу в личные данные «симпатичной девушки». Этот вариант атаки требует от злоумышленника дополнительных усилий: ему необходимо не только заполнить хотя бы несколько основных полей в личных данных и выбрать потенциальных жертв атаки, но и самому общаться с ними, пытаясь заинтересовать их «красивыми фотографиями с побережья Тихого океана», ссылка на которые размещена в личных данных «собеседницы».

Распространение вредоносных программ с помощью ICQ-спама также не обходится без методов социальной инженерии. При этом рассылается не сама вредоносная программа, а ссылка на зловреда.

Ссылки в спаме могут вести и на сайты (легальные, но взломанные, либо специально созданные злоумышленниками), страницы которых заражены кодом троянцев-даунлоадеров. В задачу даунлоадеров входит загрузка другого вредоносного ПО на компьютер жертвы. Ниже приведено более подробное описание такой атаки.

Для загрузки вредоносного ПО с помощью зловредного кода, внедренного на веб-сайт, чаще всего используются ошибки, или уязвимости, браузеров (в основном, Internet Explorer). Для начала злоумышленник атакует легальный и, как правило, достаточно популярный веб-сайт, на страницы которого он внедряет код (например, iframe или зашифрованный Java-script), устанавливающий вредоносную программу на компьютеры посетителей данного сайта. Другой вариант – на дешевом или бесплатном хостинге создается простой сайт с подобным загрузочным кодом. Затем производится массовая IM-рассылка с рекламой данной веб-страницы. Если пользователь переходит по предложенной ему ссылке, происходит незаметная загрузка вредоносного ПО на его компьютер. При этом пользователь может даже не подозревать о том, что сайт, на который он зашел, был атакован или является поддельным. А на его компьютере тем временем уже вовсю орудует LdPinch или IRCBot.

Программы для мгновенного обмена сообщениями также имеют уязвимости, которые могут быть использованы для атаки. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе или получить доступ к удаленному компьютеру без ведома и согласия его владельца.

Если преступник встроит в код вредоносной программы, которая будет запускаться в системе после переполнения буфера, функцию самораспространения с использованием той же уязвимости на других машинах, то такая программа может в короткие сроки проникнуть на компьютеры значительной части пользователей, использующих уязвимое приложение, и вызвать настоящую эпидемию. Однако использование уязвимостей IM-клиентов для атаки требует от злоумышленников высокого уровня технической подготовки, что несколько ограничивает их возможности.