Hiho,
seit ein paar Tagen treiben ein paar üble Spambots im ICQ-Netzwerk die Pidgin-Nutzer in den Wahnsinn. Ich selbst war auch davon betroffen, und im deutschen Pidgin-Supportforum hat sich schon ein dreiseitiger Support-Thread aufgetan. Durch einen Bug bzw. in der liboscar.dll, welche das ICQ-Protokoll in Pidgin implementiert, können Spambots falsche Autorisierungsanfragen an beliebige ICQ-Nutzer schicken. Pidgin wertet diese Anfragen dann aus und lässt ein Popup-Fenster aufpoppen, welches dann die Spam-Nachricht inklusive einem Link zu einer Porno-Website beinhaltet.
Die Spam-Meldungen traten bei mir bei Version 2.10.0 und 2.9.0 auf, auch alle älteren Versionen dürften betroffen sein. Ein offizielles Update seitens der Pidgin-Entwickler, welches diese Spambots aussperrt, ist derzeit noch nicht verfügbar, es wurde allerdings eine .patch-Datei veröffentlicht, welche den Quellcode des Patchs enthält, aber “nur” im Quellcode zur Verfügung steht. Im Pidgin-Bugtracker ist das Problem bereits bekannt. Ein Nutzer des deutschsprachigen Pidgin-Forums hat einen inoffiziellen Patch erstellt, der die liboscar.dll aktualisiert.
Dieser Patch ist scheinbar nur mit Vorsicht zu genießen, wie man aus dem Thread im Pidgin-Supportforum herauslesen kann. Allerdings hat der Autor auch eine plausible Erklärung dafür, dass 5 von 42 Virenscannern im Virustotal.com-Test Alarm schlagen. Hier liegt es im Ermessen jedes Nutzers zu entscheiden, ob er den Patch nutzen will oder nicht. Ich bin derzeit noch etwas vorsichtig und warte lieber solange ab, bis ein Experte die Datei einmal “zerpflückt” hat, oder zumindest die Vorgehensweise des Autors über diesen “Patch-Generator” dUP2 nachvollzogen hat (mir fehlt da ein wenig das nötige Hintergrundwissen…).
Update: Betroffen sind neben Pidgin offenbar auch ICQ, QIP, Adium, Pidgin, Miranda, Gaim, Trillian und R&Q, da diese Clients ebenfalls die betroffene liboscar.dll nutzen, um das ICQ-Protokoll zu nutzen. Der inoffizielle Patch müsste prinzipiell bei diesen Clients auch funktionieren, da die DLL-Datei direkt gepatcht wird.
Wichtiges Update! Ich habe den inoffiziellen Patch von einem Experten prüfen lassen. Laut seiner Aussage ist der Patch mit einem Backdoor-Trojaner infiziert. Dazu ändert der Trojaner die Einträge für die Windows-Update-Server, d.h. auf einem infizierten System werden die Windows-Updates nicht mehr nur von vertrauenswürdigen Quellen heruntergeladen. Wer immer den Patch ausprobiert hat, sollte umgehend alle Passwörter von einem sicheren System aus ändern und den Rechner neu aufsetzen!
So long
Horrorkid
Mir ist auch noch eine andere Variante aufgefallen, bei dem nur ein Popup inkl. einem Smilie bei Pidgin dann angezeigt wird.
Ja, von dem Smilie-Popup wird im Forum auch berichtet, aber ich denke, dass es sich prinzipiell um ein und denselben Bug handelt.