Pinch
Pinch — одна из наиболее активно используемых троянских программ в Рунете. Автором программы является программист Александр Демченко[1][2] в 2003 году.
История развития программы
Программа изначально была задумана как новая троянская программа от Lamers Death Team. Именно поэтому её первоначальным названием был LdPinch. Впоследствии LD Team распалась, однако развитие троянской программы не остановилось. Программа распространялась с открытым исходным кодом и существовало некоторое количество доработанных версий от различных разработчиков. Вторая версия программы задумывалась автором как коммерческий продукт, но некоторые обстоятельства заставили Александра отказаться от продолжения разработки и исходные коды незавершенного проекта были отданы общественности, что привело к его усовершенствованиям, доработкам и модификациям сторонними разработчиками.
Структура и принцип работы программы
Pinch состоит из двух частей: клиента и сервера. Серверная часть написана на языке ассемблера (MASM) и после компиляции и упаковки обладает небольшим размером — около 20 кб. При попадании на компьютер, сервер, в наиболее распространенной своей модификации, собирает все сохранённые пароли из таких программ как:
- FTP-клиенты (CoffeeCup Direct FTP, CuteFTP, FAR Manager, FileZilla, FlashFXP, FTP Commander, SmartFTP, Total Commander, WS_FTP);
- Интернет-браузеры (Internet Explorer, Mozilla Firefox, Opera);
- Программы мгновенного обмена сообщениями (&RQ, Gaim, ICQ99b-2003a/Lite/ICQ2003Pro, Miranda ICQ, MSN Messenger, SIM, Trillian ICQ&AIM, QIP, Агент@Mail.ru);
- Программы дозвона до провайдера (E-Dialer, V-Dialer);
- Почтовые клиенты (Becky, Eudora, Mozilla Thunderbird, Microsoft Outlook, The Bat!);
- Менеджеры закачек (USDownloader, RapGet)
Кроме этого, Pinch собирает сведения об установленной операционной системе и конфигурации компьютера (маркировка и частота процессора, объем оперативной памяти, количество и размер жестких дисков). В последующих версиях троянской программы появились функции удаленного контроля и доступа к файловой системе компьютера жертвы, возможность скрытой установки SOCKS 5 и прокси-сервера, кейлоггера, отправки скриншота и ряд других. Стоит отметить, что список поддерживаемых программ и функций Pinch может сильно варьироваться в зависимости от модификации.
После того, как данные на компьютере жертвы были собраны, создается временный файл — C:\out.bin, в который упаковывается и зашифровывается вся похищаемая информация. Данный файл может отправляться злоумышленнику по электронной почте, через протоколы HTTP (посредством указания данных в POST-запросе) или FTP. Как правило, всё происходит незаметно для жертвы. Полученные данные расшифровываются злоумышленником с помощью специальной клиентской программы Parser.
Известные модификации
В рунете заслуживает большую популярность троян под названием UFR Stealer(Usb File Rat Stealer) , написанный на Delphi с использованием кода пинча. Программа имеет множество функций для ухода от отладочных программ и т.п. Автором является Геннадий vazonez Вазгенов. Также был известен Xinch, переписанный пинч с добавлением различных функций.
Пинч в настоящее время
В настоящее время Александр Демченко создал коммерческий продукт Multi Password Recovery, в котором используется парсер пинча.
Примечания
- Coban2k: Я не боюсь УК (недоступная ссылка) (27 июня 2006). Дата обращения: 18 января 2011. Архивировано 27 августа 2010 года.
- За год ФСБ отразила почти полтора миллиона интернет-атак . Дата обращения: 14 марта 2013. Архивировано 16 марта 2013 года.