Как спрятать Pinch от антивирусов?!
Автор: stupor
Данная статья носит чисто информационный характер, чтобы показать как на ваш компьютер могут посадить, троя и все ваши (даже самые новые) антивирусы окажутся бессильными. Также я расскажу, как косвенно можно определить, что на вашем компе появился "дружественный" трой, и как попытаться избежать его успешного функционирования.
Вы решили проверить свой комп на уязвимость к Pinch и что он может утянуть у вас. Для начала нужно сконфигурировать трояна под ваши нужды.
Как его сконфигурировать есть подробная статья Terabyte хочу остановится на некоторых моментах: "упаковать FSG" НЕ Ставьте галочку! внутренний упаковщик нам только повредит, еще я не стал отмечать(за не надобностью мне) пункты FTP,Total Commander, Self Delete, Consol, Add Icon, Key-log. Прописываем адрес почтового ящика, куда будут приходить отчеты. Выбираем способ отправки через НТТР, прописываем адрес скрипта через который будут отправляться письма. Жмем конфигурировать, появилось окно что мол все ок, у кого Р-4 ждем пару секунд потом нажимаем на это окно и закрываем конфигуратор(у кого машина помедленней время ожидания умножаем на три). У вас появился файл Pinch.exe. Поздравляю! Осталось его проверить на работоспособность, (так как при одних и тех же настройках после компиляции, трой иногда работает иногда нет...). Забыл сказать, при всех манипуляциях у вас должен быть отключен антивирус ( иначе не даст работать). Включаем инет, запускаем пинча, смотрим в процессах: работает; смотрим в папке WINDOWS: прописался; Идем в почтовый ящик: отчет пришел, копируем текст в буфер обмена открываем Parser.exe жмем правую кнопку мышки выбираем пункт Process data... читаем. Если вы видите инфо по вашему компу, поздравляю вы успешно заражены пинчем и он работает! =) Теперь сделайте копию пинча (резервную на всякий пожарный). Начинаем прятать его от антивирей. Удалите его из процессов, удалите из папки WINDOWS. Берем замечательную прогу Afx!AvSpoffer (автор fij _www.fi7.net)Открываем в ней нашего пинча, ставим галочки крипт и рандом, можно еще отметить бекап на всякий случай. жмем процесс. Выходим из Afx!AvSpoffer, проверяем пинча антивирусом- он ругается. замечательно! проверяем работоспособность пинча - работает!(как проверять вы уже знаете) После каждой проверки работоспособности удаляйте его из папки Windows. Опять натравливаем на пинча Afx!AvSpoffer, но теперь отмечаем пункт крипт, а рандом не включаем! Процесс! Потом берем AsPack сжимаем троя, проверяем. Каждая проверка вам нужна для того чтобы знать на каком этапе ваш трой перестал работать =) или его перестали видеть антивири, и при не обходимости использовать другой алгоритм "прятанья" у всех может быть поразному, я описываю как у меня сработало.
Мой веббер ругается! Хорошо, опять с помощью Afx!AvSpoffer выбрав пункт крипт. шифрую пинча, проверяю, Веббер сдох! Каспер молчит! (бедняга уже 32 дня не обновлялся ему простительно). Пол дела сделано.
Теперь у вас есть настроенный и спрятанный пинч весом в 16 кб. Как заставить вашего друга запустить его? Можно сказать - проверь антивирем и запусти прога улет! только он ни чего не увидит и задумается... Давайте прикрепим нашего пинча к красивой фотографии девушки нашего друга в обнаженном виде (и при посылке напишем Она тебе изменила!!! я думаю он откроет такой файл...)клеим с помощью MicroJoiner v1.6 © coban2k _http://www.cobans.net. Проверяем, Каспер заорал! берем опять Afx!AvSpoffer но уже ставим галочку только на пункте рандом. Процесс, проверяем. Ну вот собственно и все! Веббер4.31в молчит, Каспер персонал-5 тоже ни чего не увидел. запускаем любуемся на картинку, проверяем почту, читаем отчет, если все работает, замечательно, если нет начинаем с начала и пробуем другие комбинации (а кто сказал что легко будет? иногда бывает достаточно убрать в пинче какой-нибудь не сильно нужный пункт например пароли на диалап).
Если при тестировании пинча в свойствах IE поставить галочку работать автономно то при запуске троя у вас вылезет окно "эта страница не доступна в автономном режиме подключиться?" Как это использовать в целях своей безопасности я думаю, вы сами догадались.
Эта статья написана исключительно в образовательных целях. Чтобы показать, что нельзя полностью полагаться на антивирусы, даже самые "крутые", и иногда думать головой при открывании файлов скачанных в Интернете или полученных по почте.
За использование данных материалов в противоправных действиях ответственность ложится только и исключительно на твои плечи!