Информационные технологииStfw.Ru 🔍

Вся правда об ICQ

Последние секреты тети Аси
🕛 28.08.2008, 15:52
Со времен последних факов и мануалов по ICQ-хакингу прошло довольно много времени. Что-то осталось, что-то стало неактуальным и кануло в прошлое. Все давно умеют пользоваться ipdBrute, знают, откуда достать базы PM (primary mail) и как их чекать. Поэтому в статье я расскажу о действительно новых тонкостях из ICQ-мира.

Свеженькие пятизнаки

Хочу развеять стереотипное представление о том, что абсолютно все пятизнаки регистрировались в бородатом году и пятерок с простыми паролями уже не осталось. В этом, конечно, есть доля правды, но открою тебе один секрет. Как всем известно, пятизнаков отнюдь не 99999-10000, а гораздо меньше - немногим более двух тысяч. Так вот составленная при помощи программы errwolker собственная база «живых» пятизнаков существенно отличается от старой, что выкладывалась на асечке. В новом списке откуда-то появились левые номера, большая часть из которых элитная, наподобие ХХуХХ.

Решив проверить свежак на простейшие пароли, после недолговременного брута я получил весьма неплохой результат: наикрасивейшие пятизнаки «летели» на пароли типа «inteet» и даже «12345». Как оказалось, это были номера новых работников ICQ и их друзей. Несмотря на успешный улов, погоду немного портило то, что процент возвращений уина хозяевам был велик, но что-то все же оставалось. Учитывая легкость их добычи, это, в общем-то, устраивало.

Расскажу о веселом случае, произошедшем с моим другом. Он снял номер bcdea на пароль «opress», естественно, поменял его и отложил, но брут продолжал работать, и в листах еще был этот уин. Каково же было его удивление, когда уин снова выпал в бруте, но с уже более простым паролем «susi». Как оказалось, хозяином уина была подруга админа, которая после угона ее номерка поставила пароль еще проще. Так что следи за появившимися пятерками и дерзай ;).
Админы vs асечники

Не секрет, что люди из Мирабилис посещают порталы, посвященные ICQ-хаку. Они прекрасно понимают, что происходит на подобных сайтах, знают адреса наших магазинов и никаких действий не предпринимают. Ведь мы фактически продвигаем их продукт, от асечников они узнают о различных багах, связанных с асей. Но в каждом стаде есть паршивая овца…

Одним прекрасным утром я включаю компьютер и первым делом захожу в аську. Не проходит и пяти минут, как на экране выскакивает табличка «Ваш номер используется на другом компьютере». Я сразу понимаю, что аська не угнана. Проверяю статус своего номерка программой ICQinfo и вижу страшное - уин удален из базы.

Чекаю уин напарника по магазину - аналогичная ситуация. Я в шоке и некоторое время не могу дать объяснение случившемуся. Иду на форум асечки с надеждой найти там ответы. Вижу тему про анреги, в ней отписались ребята, у которых тоже в этот день убили уины. Топик на форуме в считанные часы разрастается до множества страниц - люди предлагают различные версии причин случившегося, но я колеблюсь между двумя: админы ICQ или турки. Админы стоят под большим вопросом, так как удалили только контактные номера с шопов, а не их содержимое. Могли и турки, так как любят ковыряться и находить баги, к тому же они не особо жалуют русских. На форуме паника, постояльцы скрывают свои уины масками, многие магазины на время прекращают свою деятельность.

После долгих расследований причина была найдена. Сверив логи посещения наших шопов, мы нашли одинаковый IP. Рефер был из Яндекса по запросу «продажа ICQ-номеров». Whois-сервис выдал, что IP принадлежит America Online ICQ. Все стало на свои места, владельцы шопов оперативно забанили сетку AOL’а на своих сайтах и зажили счастливо. Только этот олень все не мог успокоиться: в логах было видно, как он много раз пытается проникнуть на сайт. Видать, что такое прокси, ему никто не говорил. Как потом удалось выяснить, этим админом был Lior Grafi и у него почему-то ненависть к русским. Может, он обиделся, что его старый пятак тыранули и он лежит у нас ;), но странно, почему он его тогда не возвращает.
ICQ fishing

Наверняка, многие пользователи, имеющие красивый номерок, подвергались разводкам различных «кис», «похотливых попок» и т.д. Например, сидишь ты, попиваешь пивко, и вдруг с неизвестного уина приходит мессага от некой обожательницы, мол, ты обязан зайти по данной ссылке посмотреть на ее сиськи или что-нибудь скачать. В этот момент от нехватки женского общества твой подпитый мозг принимает решение все же взглянуть на фото. Проснувшись утром с головной болью, ты пытаешься зайти в асю, но тут выскакивает непонятная табличка «Неверный пароль», а все твои пассы улетели к «неизвестной даме». В то время как ты ломаешь голову над восстановлением паролей и избавлением от коняги, какой-то паренек от твоего имени разводит твой же контакт-лист, занимает деньги или впаривает троя.

Также часто спам в аську имеет похожий характер. Не буду вдаваться в подробности, но хочу предупредить хозяев длинных номеров: не стоит думать, что раз номер кривой, то надо ставить пароль «123» и он никому не нужен. Для спама, флуда и т.д. требуется много уинов, а горячо любимые мирабы постоянно прижимают ICQ-спамеров и строят разные козни, делая нереальным авторег кучи уинов. Поэтому сбрутить необходимое количество уинов актуальнее.

Для прекращения страданий от назойливого спама из эбаута номера необходимо удалить все инфо, кроме ника. Дело в том, что спамерский софт работает целенаправленно, то есть если в графу «Язык» вписан, например, албанский, а заказчику спама нужен только албанский контингент, то твой уин автоматом попадает под его спам. Кроме того, можно убрать галку с «Показывать мой статус для веб и поиска» (веб-индикация), чтоб цветок был белым.
PM-базы - эффективный способ угона?

Рассмотрим разные новшества, введенные мирабами при ретриве. В последнее время работники ICQ так часто что-то меняли в системе восстановления пасса, что сами запутались и наделали косяков.

Итак, сама система ретрива образовалась в далеком 1999 году, на страничке ICQ.com/password появилась возможность высылать пароль на вписанный в деталях номера e-mail. Система работала стабильно, и особых трудностей с отправкой пароля не было. Примерно в середине 2004 года возникло понятие «номер-невидимка» - номер, который не виден в поиске (ака вайтпагах). При долгой отлежке у номера пропадал контакт-лист и все инфо. Четко определенного промежутка времени, за который неюзаемый номер становился невидимым, не было: иногда номер исчезал из поиска за год, в некоторых случаях и за два номер не становился невидимым. Чтобы номер вернулся к жизни, нужно было вписать детали в инфо номера или же залогиниться в него альтернативным клиентом типа миранды или &RQ. Номеров-невидимок становилось все больше, и к концу 2004 года около 30% пяти, шести-, семи- и восьмизначных номеров были невидимками. Инвизы считаются самыми надежными номерами, так как невидимость - это гарант того, что у номера нет примака.

Первые интересные изменения в ретриве появились в начале января 2005 года, когда у всех номеров-невидимок отвалился праймари-мейл. Наиболее популярно было мнение, что это попросту глюк в базе и праймари у невидимок отвалился из-за некомпетентности работников ICQ. Я слабо в это верю и считаю, что это вполне обдуманные действия мирабов с целью обрезать крылышки любителям угонять номера через праймари-мейл ;).

Следующие изменения произошли 28 марта 2005 года: при ретриве пароля на номер в обязательном порядке стало нужно устанавливать секретные вопросы, после чего праймари-мейл, с которого их ставили, просто отваливался. С этого дня сервис по восстановлению пароля с натяжкой можно было назвать стабильным. Творились чудеса: праймари у номеров то сами по себе отваливались, то вновь волшебным образом «воскресали», и на них снова можно было отослать пароль. Бывало, страница www.ICQ.com/password подолгу не открывалась или зависала на какой-то стадии ретрива.

Более-менее система стабилизировалась в феврале 2006-го. Произошло и еще одно изменение: теперь праймари-мейл не отваливался после установки вопросов при условии, если это первый вписанный мейл. И наконец, в июне 2006-го, на радость всех брутеров, отвалились примаки почти у всех, за редким исключением, номеров, вписанных до начала 2006 года. Таким образом, утверждение, что чем старее база, тем она лучше и правдивее, стало неактуальным. Своими действиями работники ICQ добились желаемого: форма ретрива используется по прямому назначению, на мыльные сервисы перестали лететь тонны пакетов от чекеров.

Но недавний баг немного оживил ситуацию. При серче уина вписанное в детали мыло показывалось независимо от того, стояла галочка «Не показывать адрес емейла» или нет. В момент были собраны новые базы, и новые примаки, которые все скрывали, были в этой базе. Конечно, выжать из этих баз удалось не особо много, но все же что-то удалось. Безусловно, больше повезло первым из тех, кто прочекал новую базу, в которой накопилось достаточно заброшенных адресов мыла.
IPD SE - брут нового поколения

Итак, дорогой дружок, ты, наверняка, слышал и, возможно, даже видел и пользовался такой чудесной программой для перебора паролей к уинам (или, говоря человеческим языком, брутом ;)), как Ipdbrute2/udc Lite, или ее модификацией, умеющей автоматически менять пароли на сбрученных номерах, - Ipdbrute2/udc Pro. Но открою тебе небольшой секрет: есть еще и специальная приватная версия, которая именуется Ipdbrute2/udc Pro SE. VKE(автор IPD) не стал ее выкладывать в паблик, а распространил среди своих друзей и хороших знакомых с наставлением не раздавать ее всем подряд и использовать только для своего блага. Как мы уже выяснили, в каждом стаде есть паршивая овца, и брут не так давно все же просочился в паблик. Тщательный осмотр пациента в нашей IСQ-лаборатории позволил представить тебе отчет, приведенный ниже ;). Итак смотрим, чем же так хорош этот Ipdbrute2/udc SE и почему 2 года его не рисковали выложить на всеобщее обозрение.

При первом запуске заметно мало отличий от Ipdbrute2/udc Pro, разве что изменилась надпись в шапке с «Ipdbrute2/udc Pro (с) 20002-2003 VKE» на «Ipdbrute2/udc SE (с) 1980-2004» и в «About» появились приветы от автора небезызвестным на ICQ-сцене личностям. Интерфейс программы не претерпел каких-либо изменений. Теперь посмотрим на саму работу брута. Во втором издании брут работает через разные серверы ICQ, которые можно редактировать самому в файле macroses.xml. Благодаря этой возможности новый брут выигрывает у своей предыдущей версии, которая логинится только к стандартному серверу на 5190 порту.

Итак, мы взяли 130 скоростных проксей и попробовали угнать какую-нибудь шестизначку на пароль «vegas». Значение threads (потоки) мы выставили в 500, cleanup (отсеивание мертвых проксей) был каждые 30 минут. Количество потоков выставляется методом проб индивидуально под каждый конфиг компа и канал инета.

Теперь посмотрим на сравнительную таблицу работ брутов:

Как мы видим, Ipdbrute2/udc Pro значительно проигрывает в скорости Ipdbrute2/udc Pro Se, так что выкидывай свой старый брут и переходи на более продвинутую версию SE. Что касается результата, то в ходе эксперимента было выловлено 26 шестизначек :).
Вся правда об админах ICQ
Каждый из нас когда-то думал:
1. На каких же номерах сидят работники ICQ? 2. Могут ли простые смертные сидеть на таких номерах? 3. Реально ли поиметь админа ICQ?

Нам удалось подобраться очень близко к ответам на все эти вопросы.
Отвечаем:
1. На www.newuin.ru/in/cl.txt лежит контакт одного из админов; знакомые говорят, что этот список самый полный. В группах Co-Workers, Ex-ICQ, General, Support сидят боги ICQ.

Отметим несколько групп в его контакте.

Family;342764160;YaelAlon;0

Family;44448;ziv;0

Family;59995;yael sis;0

Пятизнаки xy - жене и ребенку, теще - кривой девятизнак ;).

ICQ uins i give;55515;stanislav - dev;0

ICQ uins i give;87778;Leon - web;0

За отдельную плату я дам номер админа =). Как это ж надо было просить, чтоб он дал пятизнак xy.

my fans;39666;Fallen Angel;0

my fans;661186;o2 Goodiez;0

Админы столь популярны, что у них есть фанаты ;).

И больше всего порадовала группа эта группа:

hackers;102030404;NukedX's Bot;0

hackers;799499;NukedX's Bot;0

Иногда работникам влом лезть в БД ICQ, и они поверяют примаки номеров по боту S3TUP'а.
2. Могут, но чаще всего хорошенькие номера не долго задерживаются в чужих руках. 3. Реально, и случается это довольно часто. Но бывает и наоборот.

По этому списку можно сверять свои пятерки, админские они или нет. И, например, если пятизнак подходит под группу Ex-ICQ, то есть человек уже не работает на Мирабилис, то много шансов, что этот номерок осядет у тебя надолго. Но крайне не советую стучать в эти номерки и чего-либо просить - минимум отделаешься игнором ;).
Как привязать пятизнак к мылу?

До недавнего времени считалось, что у пятизнаков не может быть праймари-мейла и восстановить пароль от пятизнака невозможно. Однако теперь это стало возможно при помощи локализованных версий аськи, таких как, например, Rambler-ICQ (версий много, но используем русскую - роднее =)).

Итак, расскажу все по порядку. Для начала идем на официальную страничку http://icq.rambler.ru, где лицезреем скрин с красивым номером 10-110 (думаю, вряд ли он у них есть ;)), а справа от него видим предложение скачать Rambler-ICQ, что мы и делаем. Скачав и установив программу, смело запускаем и видим предложение ввести номер ICQ и пароль, логинимся со своим пятизнаком, который желаем привязать к мылу. Открывается окошко регистрации, в котором нам предлагают либо ввести свой логин на Рамблере, если такой имеется, либо зарегистрировать новый. В целях безопасности я все же рекомендую зарегистрировать новый ящик, который никому не будет известен, так как именно он будет привязан к нашему пятизнаку. На следующем этапе нам предлагают ввести пароль и секретный вопрос с ответом на него, пароль на нашем пятизнаке изменится на пасс от мыла. Так что вводим либо свой действующий пароль, либо что-то более изощренное, чем «qwerty» ;). После этого, наконец, логинимся в номер, бережно записав перед этим адрес привязанного мыла в блокнотик. Все, на этом процедура привязки завершена. Чтобы восстановить пароль от своего пятизнака, идем на страничку http://id.rambler.ru/script/reminder.cgi, вводим логин своей почты на Рамблере, которую привязали к пятизнаку, после чего отвечаем на свой секретный вопрос и устанавливаем новый пароль. Пароль на нашем пятизнаке, соответственно, тоже меняется.

Эта система применяется не только к пятизнакам. Также, вследствие этой фичи, появилось много риперов, которые, продавая пятизнаки за копейки, с помощью этого метода возвращали их обратно. Поэтому хочу рассказать, как узнать, привязан ли номер ICQ. Для этого достаточно глянуть инфу номера в клиенте QIP (www.qip.ru) на вкладке «Дополнительно» окошка «Информация». Там мы можем увидеть вот такую запись:
Это означает, что номер привязан.

Если номер присобачен, например, к nana.co.il, то отвязать первичный e-mail можно, перепривязав его к другому мылу того же nana.co.il. И соответственно, Рамблер режется Рамблером.
Html-инъекция на страницах icq.com

Как и многие программы мгновенных сообщений, интернет-клиент ICQ не лишен своих различных недочетов и уязвимостей. Сейчас я поведаю тебе о свеженьком баге в WHITEPAGES ICQ, благодаря которому ты сможешь получить практически любой понравившийся UIN.

Итак, толчком для исследований стала нашумевшая новость автора популярного альтернативного интернет-пейджера QIP (qip.ru). Inf сообщил о том, что его UIN каким-то образом привязали к локализованному e-mail без его ведома. В связи с этим Inf'ом досрочно была выпущена новая альфа-версия ICQ-клиента QIP, с помощью которой стало возможно узнать, к какому конкретно локализованному e-mail-адресу привязан или не привязан твой элитный номерок. Эта новость заинтересовала гуру ICQ-хакинга с ником ТурисТ - Алексея Шакирова, и он вспомнил о том, что зимой этого года, копаясь в HTML-кодах web-ресурсов icq.com, он нашел интересные строки: «<input type="hidden" id="uin" name="uin" value="target uin"» - и пытался при помощи банальной подмены номера получить на свой e-mail его пароль. В итоге, докопаться до истины оказалось легко, а позже он поделился ею со мной. Суть бага, к великому сожалению, оказалась примитивной.

Итак, опишу пошагово действия, которые нас интересуют:

Во-первых, необходимо дать понять серверу, что ты - друг, и нашим первым шагом станет удачный логин на страничке www.ICQ.com. Для этого тебе потребуется любой UIN и правильный пароль от него. Конкретнее, нужно зайти на https://www.ICQ.com/register/email_attach.php и сделать удачный логин. Далее, вбей в адресную строку браузера «https://www.ICQ.com/register/email_attach_step2.php» и жми «Enter».

(Товарищ! Перед тем как нажать «Enter», подумай, какой могущественной силой обладает эта кнопка).

Вторым шагом будет сохранение странички к себе на винчестер. Для этого выбери в меню браузера «File -> Save As» и сохрани страничку локально.

Действие третье, как уже упоминалось выше, - это простая подмена понятий, а именно - необходимо отредактировать сохраненную страничку.

Итак, открываем HTML-код сохраненной паги в блокноте (правый клик мыши по файлу - «Открыть с помощью -> Notepad»). Далее при помощи поиска («Ctr+H», «Найти и заменить») находим тот номер ICQ, c которым мы прилогинились, то есть ищем строку «<input type="hidden" id="uin" name="uin" value="наш уин, с которым мы сделали удачный логин">». В этой строке меняем наш UIN на UIN, который хотим заполучить, и сохраняем весь этот HTML-фарш. Также нам придется найти и поменить строки «email_attach_step2.php» на «https://www.icq.com/register/email_attach_step2.php». Делается это для снятия локальности нашего нового HTML-кода. Сделано? Теперь браузер будет видеть страницу не как локальную =).

«И в чем тут замес?» - спросишь ты. Так вот теперь необходимо сделать самое главное. Открываем страничку с новым кодом. В поле «Пароль» вписываем пароль от старого UIN, с которым мы совершили удачный логин. Вписываем в поле «E-mail» наш или свежезарегистрированный e-mail-адрес. Жамкаем пимпу «SUBMIT». Если ты прочитал все внимательно и проделал все действия без ошибок, то на экране монитора увидишь следующее:

Теперь все просто и понятно - на наш почтовый адрес падает письмо с конфирм-кодом от ICQ team, в котором будет написано, что-то вроде этого:

«Привет! Твой номерок 54321. Желаешь подтвердить регистрацию e-mail attachmend? Тогда нажми на URL из нашего письма».

А вот что произойдет после того, как ты нажмешь URL из письма, увидеть сможешь только ты.

Здесь описана только одна сторона нового бага, и во избежание повального угона номеров (привет, баг на BIGFOOT.COM) я не стану говорить о том, как полностью взять контроль над конкретным номером и какие номера были захвачены в результате проведения экспериментов. На сегодняшний день найденная уязвимость уже отнесена к разряду критических, так как с ее помощью можно изрядно наломать дров. Поэтому было принято решение немедленно осведомить работников компании Mirabilis, которые, в свою очередь, «оперативно» фиксят HTML-код своих web-ресурсов. Но, как всегда, не до конца… =)

INFO

Сейчас самыми короткими уинами считаются пятизнаки, но раньше существовали трех- и четырехзначные уины. Они считались тестовыми номерами. В настоящее время существуют одно- и двузначные уины, но их нельзя заюзать стандартным клиентом, это только web-сервисные номера.

WAING

Ломая номера мирабов, из охотника легко превратиться в жертву. Не редки случаи, когда админы по IP убивают кому-то пачку номеров. Настоятельно рекомендую взламывать только незанятые уины. Особенно недостойны уважения те, кто тырит уины у своих - русских.

Интернет и сети   Теги: Icq

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉