Gefahren, Sicherheitslücken und Angriffsmöglichkeiten bei ICQ
(ICQ-Exploits/ Attacks)

Einleitung

ICQ hat sich in den letzten Monaten zu einem der Renner auf dem Internet entwickelt. Natürlich haben Hacker dieses umfassende Gebiet (Mirabilis spricht von 60 000 neuen Anwendern pro Tag und weit über 15 Mio. eingetragenen Benutzern) für sich entdeckt. Daran hat auch der Kauf durch AOL nichts geändert. Inzwischen liegt zwar die neue Version ICQ99avor, an den Gefährdungen hat sich jedoch nichts geändert, da die prinzipielle Arbeitsweise dieselbe geblieben ist.
Diese Page soll durch Informationen auf diese Sicherheitslücken und Gefahren (sog. "Exploits") hinweisen und so weit möglich Lösungen vorstellen.
Links am Ende der Seite und die wichtigsten Programme, die hierzu eingesetzt werden können, bieten die Möglichkeit das Thema an weiterer, meist englische Quellen, zu vertiefen.

Gefahren und Bedrohungen("Exploits"/ "Attacks")

Bereits auf meiner Seite über (falsche) E-Mail-Viren ("Hoaxes") habe ich das Thema "Spam-Messages" bei ICQ aufgegriffen, das hier nicht nochmals behandelt werden soll.
Es gibt inzwischen aber auch Programme, die zur Störung des ICQ-Betriebes (bombing, flooding, spamming) bzw. zum Ausspionieren (hacking, spoofing) von verdeckten Informationen verwendet werden können.

Bombing, Flooding, Spoofing

Hierbei handelt es sich um Programme, die einen Partner mit größeren Mengen unsinniger Messages überschütten und hierbei ggf. sogar eine andere Identität vorzutäuschen, so dass das Opfer nocht nichteinmal nachvollziehen kann, wer den Angriff durchgeführt hat.
Darüberhinaus gibt es auch Patches, die einen normalen "E-Mail-Bomber" für den Gebrauch bei ICQ adaptieren.

Trojanische Pferde, Fakes

Sniffing, Hacking

Mit solchen Programmen ist es möglich verschiedene Informationen (auch ohne das Wissen und den Willen des Anwenders) auszulesen. Hierzu gehören z.B. die (versteckte) IP-Adresse, das ICQ-Password oder auch den ganzen Datenstrom! Diese Utilities bereiten hiermit sozusagen den Weg für den Einsatz anderer Hacker-Tools (z.B. WinNuke). Weitere Informationen zur Funktionsweise von ICQ finden sie auf meiner "icq.htm"ICQ-Page.
Wenn sie allgemein an Sicherheitslücken im Internet interessiert sind, schauen sie bitte auf meiner "security.htm"Security-Page vorbei!
Weitere Interessante Infos und Links rund um ICQ finden Sie auf meiner ICQ-Seite.

Sicherheitsloch beim ICQ 99a im Webserver

Seit Version 99a (BUILT 1700) kann unter "Services" der Punkt "Activate Homepage" aufgerufen werden, mit dem Dateien, die auf dem eigenen PC im Verzeichnis /ICQ99/Hompage/Root/<ICQ-Nummer>/personal abgelegt sind anderen ICQ-Anwendern zur Verfügung gestellt werden können. Durch einen Bug ist es möglich, daß man sich im Verzeichnisbaum ind die nächst höheren Verzeichnisse begibt. Hierbei sind für jedes höhere Verzeichnis nur vier Punkte ("/...../" = ein Verzeichnis höher, "/........../" = 2 Verzeichnisse höher usw.) einzugeben. Die Datei c:\test.html erreichen Sie demnach mit dem Befehl http://<ICQ-Nr.>/............./test.html. Dateien mit einer anderen Endung als .html sind normalerweise nicht abrufbar - über einen Trick funktioniert es dennoch. Die Datei c:\config.sys erreichen Sie z.B. über http://<ICQ-Nr.>/.html/............./config.sys.
Weitere Informationen zu diesem Thema finden Sie hier.
In der neuesten Version (BUILT 1701) hat sich Mirabilis bemüht, diesen Bug zu beheben - was jedoch nur teilweise gelungen ist. Man kann zwar jetzt keinen Download von Files mehr durchführen, es ist aber weiterhin möglich, die Existenz eines Files abzufragen und eigene Files auf den anderen rechner zu transferieren (Upload). Weitere Informationen finden Sie hier.
Ich kann also nur folgenden dringenden Tip geben: Nutzen Sie die Funktion "Activate Homepage" unter keinen Umständen!
Die aktuellste Version von ICQ liegt hier zum Download bereit.

ICQ-Hackprogramme:

ISoaQ oder
ISoaQ
Mit ISoaQ-Patcher und ISoaQ-Tweaker können alle denkbaren Patches bequem unter Windows durchgeführt werden; außerdem funktioniert es mit allen existierenden ICQ-Versionen (incl. ICQ 2000), die es automatisch erkennt. ICQ darf allerdings nicht aktiv sein. The one and only!!! Programm muss - nach dem Entpacken - im selben Directory liegen wie der "icq.exe"-File. ICQ darf nicht geöffnet sein.
icqsniff.zip Programm zum Ausspähen von IP-Adressen, wenn sie vom Anwender auf "nicht sichtbar" gestellt worden sind. Funktioniert recht zuverlässig. Kann u.U. sogar eingesetzt werden, wenn Anwender "invisible" sind. KEIN PATCH!
Wichtiger Hinweis: Neuere Virenscanner melden bei diesem Prgramm einen Trojaner! Das war 1998, wie das Programm von mir upgeloaded wurde nicht der Fall. Um mich nicht dem Verdacht auszusetzen, ich würde meine Besucher hintergehen wollen, möchte ich diese Information jedoch nicht vorenthalten!
icqprotector.zip schützt durch Öffnen von vielen Ports vor möglichen Bombs/Floods! Nicht getestet - kann jedoch kein 100%-iger Schutz sein!
Unter Umständen ist es besser den Empfang von WWP-Messages und Messages von UINs, die nicht auf der Kontakt-Liste stehen zu deaktivieren

Links:

ICQ Utilities eine der umfangreichten Seiten zu dem Thema ICQ-Exploits (englisch)
ICQ-Tools eine weitere Seite mit vielen ICQ-"Utilities" und Hinweisen/ Patches, wie man sich gegen Angriffe schützt!
ICQ-Bomber-Site sehr ausführliche Beschreibungen (und Programme)
ICQ-War der Name sagt alles!
Hackware nicht nur für ICQ!
Wired News eine sicherheitsrelevante Einschätzung von ICQ durch "Wired"

Haben Sie sich schon in meinem Gästebuch eingetragen?
Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 22.07.98,
der letzte Update fand statt am 05.10.2001)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg