=(^_^)=

Решил поизвращаться над богомерзким QIP Infium. Зашел на официальный, дважды похеканный сайт qip.ru и самое первое что бросилось в глаза - ссылка на скачку инфиума.
Перед запуском скачанного инфиума врубил средства защиты, мониторы, файрволл, дамперы пакетов на максимум.
[Начало установки]
Инсталлятор не делал ничего подозрительного. Собственно распаковался в temp папку, прочитал из реестра параметры системных переменных и кое какие настройки, пытался найти предыдущую версия квипа. В реестре создал стандартный раздел для себя. В папке windows не производил ничего странного. Коннектиться в инет не лез.
[Запуск]
Квип решил что теперь ему дозволено все. Прочитал из реестра инфомацию о системе, автозапуске, драйверах и т.д. Активно общался с папкой куда его установил(C:\FUCKQIP\), папкой для временных файлов, dll-ками из c:\windows\system32\.
Вдруг
Производит манипуляции с профилями в квипе 2005.
Затем пересылает найденные пароли на свои сервера))
Потом квип полез в инет. Вот сюда,195.68.160.127, 195.68.160.248.
Короче, диапазон одной сети. Что нам скажет хуиз?
% This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '195.68.160.0 - 195.68.160.255' inetnum: 195.68.160.0 - 195.68.160.255 netname: SOVINTEL-MSK-MediaMir-NET descr: 105023 Russia, Moscow descr: Dubovaya Roschya, 25a descr: Media World Ltd country: RU admin-c: MWNO-RIPE tech-c: MWNO-RIPE status: ASSIGNED PA mnt-by: SOVINTEL-MNT source: RIPE # Filtered role: Media World NOC address: Media World RosBusinessConsulting 78-1, Profsoyuznaya st. Moscow, Russia, 117393 remarks: SPAM issues: abuse@relax.ru Scans/Hacking attempts: noc@relax.ru abuse-mailbox: abuse@relax.ru phone: +7 495 363-1111 ext. 2439 admin-c: AGNV-RIPE tech-c: AGNV-RIPE nic-hdl: MWNO-RIPE mnt-by: MEDIAWORLD-MNT source: RIPE # Filtered % Information related to '195.68.128.0/18AS3216' route: 195.68.128.0/18 descr: EDN Sovintel origin: AS3216 mnt-by: AS3216-MNT source: RIPE # Filtered

Домен relax.ru. Заходим, ЛЮБУЕМСЯ.
Файлообменник/Видео/Порево и тому подобный стафф. Хостинговая площадка к тому же.
Помните, qip.ru был взломан? Ходили слухи, что слили базу данных. Да, база была слита, но не с паролями от асику) Другая база, к ней смс сайта коннектится.
А база данных с паролями от ась, мыл, скриншотами экранов, данных о системе пользователей квипа хранится... да, на площадке relax.ru.
[Коннекчусь к асе]
Дабы лишний раз не выкладывать масштабные дампы пакетов, сразу сообщу результаты. Основной диапазон причастных к этому говнозаговору айпишников: 195.68.*.*
Здесь встречаются такие серваки как kiborg.relax.ru, harm.relax.ru и другие. К ним коннектиться препоганый квип. То к 80 порту, то к 5222 порту. Сливает туда пользовательские приватные данные. Авторизация в самой асе проходит через серваки этого диапазона. В ходе работы квипа происходит постоянный обмен данными TCP, HTTP, AIM.
Улыбаемся дальше.
"Фишка" инфиума - работа с джаббер протоколом. Криворукие разработчики квипа с разрешения разработчиков миранды, взяли для джаббера модуль из миранды. Вот он ваш джаббер в квипе:

Изолировать бы джаббер сервера из сетей, принадлежащих квипу. Хотя бы в файрволле можно заблочить диапазон 195.68.160.* ))
Общение по джабберу в инфиуме так же тупо и небезопасно, как и в асе.
Кстати, в дампе можно найти абсолютно все события. Отправление сообщения по асе, прием сообщения, добавление в контакт лист и т.д. Даже номера ась находил.


Все еще хотите юзать квип?) Я понимаю что юзверям все равно что юзать, и клали они на защиту своей информации, но айтишникам этот долбаный квип нах не сдался.
Будущее за джаббером!1 За альтернативными IM клиентами!)