Данная статья носит чисто информационный
характер, чтобы показать как на ваш
компьютер могут посадить троя и все ваши (даже
самые новые) антивирусы окажутся
бессильными. Также я расскажу как косвенно
можно определить, что на вашем компе
появился "дружественный" трой, и как
попытаться избежать его успешного
функционирования.

Для начала нужно сконфигурировать трояна
под ваши нужды. Как его сконфигурировать
есть подробная статья Terabyte,  хочу
остановится на некоторых моментах. 1) "Упаковать
FSG" НЕ ставьте галочку! Внутренний
упаковщик нам только повредит. 2) Еще я не
стал отмечать (за не надобностью пункты FTP,
Total Commander, Self Delete, Consol, Add Icon, Key-log. Прописываем
адрес почтового ящика, куда будут приходить
отчеты. Выбираем способ отправки через НТТР,
прописываем адрес скрипта через который
будут отправляться письма. Жмем
конфигурировать, появилось окно что мол все
ок, у кого Р-4 ждем пару секунд, потом
нажимаем на это окно и закрываем
конфигуратор (у кого машина помедленней
время ожидания умножаем на три). У вас
появился файл Pinch.exe. Поздравляю! Осталось
его проверить на работоспособность (так как
при одних и тех же настройках после
компиляции  трой иногда работает иногда
нет…). Забыл сказать, при всех манипуляциях
у вас должен быть отключен антивирус (иначе
не даст работать). Включаем инет, запускаем
пинча, смотрим в процессах — работает,
смотрим в папке WINDOWS —  прописался, идем в
почтовый ящик — отчет пришел, копируем текст
в буфер обмена, открываем Parser.exe, жмем правую
кнопку мышки, выбираем пункт Process data…
читаем. Если вы видите инфу по вашему компу —
поздравляю, вы успешно заражены пинчем и он
работает! =)

Теперь сделайте копию пинча (резервную, на
всякий пожарный). Начинаем прятать его от
антивирей. Удалите его из процессов,
удалите из папки WINDOWS. Берем замечательную
прогу Afx!AvSpoffer (автор fij www.fi7.net).
Открываем в ней нашего пинча, ставим
галочки крипт и рандом, можно еще отметить
бекап на всякий случай. Жмем процесс.
Выходим из Afx!AvSpoffer, проверяем пинча
антивирусом — он ругается. Замечательно!
Проверяем работоспособность пинча —
работает (как проверять вы уже знаете).
После каждой проверки работоспособности
удаляйте его из папки Windows. Опять
натравливаем на пинча Afx!AvSpoffer, но теперь
отмечаем пункт крипт, а рандом не включаем!
Процесс! Потом берем AsPack и сжимаем троя,
проверяем. Каждая проверка вам нужна для
того, чтобы знать на каком этапе ваш трой
перестал работать =) или его перестали
видеть антивири, и при необходимости
использовать другой алгоритм "прятанья",
у всех может быть по разному, я описываю как
у меня сработало.

Мой веббер ругается! Хорошо, опять с
помощью Afx!AvSpoffer (выбрав пункт крипт.) шифрую
пинча, проверяю, Веббер сдох! Каспер молчит!
(бедняга уже 32 дня не обновлялся ему
простительно). Пол дела сделано. Теперь у
вас есть настроенный и спрятанный пинч
весом в 16 кб. Как заставить вашего друга
запустить его? Можно сказать — проверь
антивирем и запусти "прога улет",
только он ни чего не увидит и задумается…
Давайте прикрепим нашего пинча к красивой
фотографии девушки нашего друга в
обнаженном виде (и при посылке напишем "Она
тебе изменила!!!", я думаю он откроет такой
файл…) клеим с помощью MicroJoiner v1.6 © coban2k http://www.cobans.net.
Проверяем — Каспер заорал! Берем опять
Afx!AvSpoffer, но уже ставим галочку только на
пункте рандом. Процесс, проверяем. Ну вот
собственно и все! Веббер4.31в молчит, Каспер
персонал-5 тоже ничего не увидел. Запускаем,
любуемся на картинку, проверяем почту,
читаем отчет, если все работает —
замечательно, если нет — начинаем с начала и
пробуем другие комбинации (а кто сказал что
легко будет? иногда бывает достаточно
убрать в пинче какой-нибудь не сильно
нужный пункт, например пароли на диалап).

Если при тестировании пинча в свойствах IE
поставить галочку "Работать автономно",
то при запуске троя у вас вылезет окно "эта
страница не доступна в автономном режиме
подключиться?" Как это использовать в
целях своей безопасности я думаю, вы сами
догадались.

Оставить мнение

Check Also

Карманные трояны. Как работают мобильные банкеры

Одним солнечным апрельским утром мой завтрак был прерван телефонным звонком приятеля — пре…