I wrote 2 months ago about Multi Locker being updated to ver.3 (stabily recognized by Microsoft as : Tobfy.H ), made a brief history and showed inside view
Since then the code of the locker and the server side have leaked on underground forum.
FretLine, the handyman of this stuff, was not that happy and react on both the post of the "leak" and his own official topic somewhere else, presenting apologize to his customers.
On the 25-01-2013 he announced the new version :
 |
| "snipshot" of his advert |
------------------------------------------
Subject : Multi-Botnet ver.4 (Loader, Locker). x32-x64, all windows support.
------------------------------------------
Приветствую всех, кто заглянул в эту тему.
Прошло уже много времени с момента, когда третья ветка нашего продукта утекла в открытый доступ. Уже было много сказано по поводу того, что люди, которые выложили мой бот - ган*оны и тд, по этому не будет останавливаться на этом. Хочу отметить только то, что я обещал всем моим клиентам и не только клиентам, что я вернусь с новой версией, с более крутой версией. Кто-то верил в это, кто-то говорил, что я не вернусь, кто-то материл и ругал меня, а кто-то даже блек написал) Но я сдержал обещание и вот теперь я тут с новым продуктом перед вами.
Итак начнем)
Что же мы сделали? По первых была проделана огромнейшая работа, я трудился не один, над ботом работала целая команда. Я решил покорять новый рынок, рынок лоадеров и перед мой командой стояла задача сделать охренительный бот с потрясающим отстуком. Мы добились своей цели, мы сделали по настоящему крутой лоадер с крутым локером, который обладает своеобразным буткитом и руткитом. Финальные тесты показали, что продукт имеет отстук в районе 93% со связки. А живучесть ботнета просто феноменальна. Ну а теперь давайте по порядку.
Винлокер:
1. С нуля написаный бот. Локер писали профессионалы, за основу взят совсем другой язык, другая архитектура. Отстук самого локера заметно вырос. Стабильность работы на высоте. Но теперь локер - это плагин к нашему лоадеру.
2. Реализована система моментальной блокировки, и самое важное моментальной разблокировки компьютера жертвы. Если помните, раньше после анлока приходилось жертву заставлять ребутнуть компьютер, теперь же после того как вы нажмете анлок в админке, компьютер жертвы моментально разблокируется и он продолжит работу с того места, с которого закончил. (Если конечно сам не будет дергаться и перезагружать.)
3. Внедрен ring-3 rootkit. Локер теперь просто так не снять, у нас теперь инжект в процессы и различные фишки по самовосстановлению.
4. Реализован своебразный буткит (не MBR). Теперь мы блокируем Безопасный режим не только в Win XP, но и в Win 7 и Win 8. Но стоит отметить, что данным метод нестабильно работает, если у жертвы включен UAC.
5. Внедрен алгоритм RC4-Encryption, теперь все очень хорошо шифруется между админкой и ботом. Уделили внимание и антиреверсу.
6. Добавлены Резервные урлы для отстука о который так долго нас просили, теперь при создание билды вы можете указать до 5 резервных урлов и в случае блокировки одной из админок никакой потери ботнета.
7. Локер вырос в размерах, но ничего страшного нет, так по умолчанию вы грузите сначала лоадер, а затем уже подгружаете локер в случае необходимости.
8. Новая админка объединенная с лоадером.
9. Лендинги на выбор, легенда адальт или не лицензионный софт. В зависимости от тематики вашего трафика.
Лоадер:
1. Подробная статистика по странам, по ботнету, по статусу ботов, по системам, по заданиям.
2. Загрузка, удаление, апдейт EXE или DLL с локального файла или удаленной ссылки
3. Поддержка разделения заданий по странам.
4. Полная поддержка всей линейки windows от 2000 до Win 8. x32-x64
5. ring-3 rootkit, скрытие процессов, файлы и записи в реестре от пользователя, only x32
6. Простейшее криптование, ничего внутри себя бот не содержит.
7. Размер ~30kb
8. Полная поддержка unicode
9. Добавлены обходы проектировок актуальных версий Avira, Avast, Касперский, Panda. На других не тестировали.
10. До 5 резервных урлов при билде.
Цена:
Multi-Loader+Multi-Locker = 1499$
Multi-Loader = 999$
Резервных урлов до 5 в билд.
Ребилд - Бесплатно.
Контакты:
1. support@profidns.net
2. ПМ
__________________
jabber: support@profidns.net fretline@on.ezjabber.com
------------------------------------------
Translated by Google as :
------------------------------------------
I welcome all who looked into this topic.
It's been a long time since when the third branch of our product leaked publicly available. It has already been a lot said about the fact that the people who have put my bot - gan * ones, and so on, this will not stop here. I want to note only that I promised to all my clients, not only to customers, I will be back with a new version, with a steeper version. Someone believed in it, someone said that I do not return, some of mother and swore at me, and some even wrote Black) But I kept my promise, and now I'm here with a new product to you.
Now let's begin)
What have we done? On the first huge work, I worked not one of a team working bot. I decided to conquer a new market, a market in front loaders and my team was to keep ohrenitelny bot stunning otstuk. We achieved our goal, we have made for really cool loader with steep Locker, which has a peculiar bootkit and rootkit. Final tests showed that the product has otstuk in 93% of the bunch. A botnet is phenomenal vitality. Now, let's order.
Winloker:
1. Unused contribute written robot. Locker wrote professionals, taken as a basis entirely different language, a different architecture. Otstuk locker itself has grown significantly. Stability of work at height. But now, locker - is a plugin for our loaders.
2. Implemented a system of instant lock, and the most important immediate release of the victim computer. If you remember, earlier after unlocking had to make a sacrifice rebutnut computer, but now when you click unlock in the admin panel, the victim's computer immediately released and it will continue from the point at which he graduated. (Unless of course he will not be jerky and reboot.)
3. Introduced ring-3 rootkit. Locker now do not just take off, we now inject into the processes and different chips to heal itself.
4. Implemented svoebrazny bootkit (not MBR). Now we block safe mode, not only in Win XP, but in Win 7 and Win 8. But it is worth noting that this method becomes unstable when the victim turned UAC.
5. Implemented algorithm RC4-Encryption, now everything is very well encrypted between the admin and bot. Anti-reverse and paid attention.
6. Added Backup URLs for otstuk about which we have been asked for so long, now when creating builds, you can specify up to 5 URLs backup in case one of the locking adminok no loss of zombies.
7. Locker has grown in size, but nothing serious, so by default you ship loader at first, and then are loading locker if necessary.
8. The new admin panel combined with the loader.
9. Landing on the choice, the legend adalt or licensed software. Depending on the topic of your traffic.
Loader:
1. Detailed statistics on the countries on the botnet, status bots, to systems for the task.
2. Upload, delete, update EXE or DLL file from a local or remote reference
3. Support for job separation by country.
4. Full support for the entire line of windows from 2000 to Win 8. x32-x64
5. ring-3 rootkit, hiding processes, files and registry entries from the user, only x32
6. Simple encryption, nothing inside the bot does not.
7. The size of ~ 30kb
8. Full support for unicode
9. Added workaround projections recent versions Avira, Avast, Kaspersky, Panda. On the other not tested.
10. Up to five backup URLs in build.
Price:
Multi-Loader + Multi-Locker = $ 1499
Multi-Loader = $ 999
Backup URLs to 5 build.
Rebuild - Free.
Contacts:
1. support@profidns.net
2. PM
__________________
jabber: support@profidns.net fretline@on.ezjabber.com
------------------------------------------
 |
| Login Screen (sound familiar ? yes it's based on Aldi bot Panel) |
 |
| Statistics |
 |
| Bots |
 |
| Tasks |
 |
| Command dropdown list in Tasks tab |
 |
| Plugins |
 |
| Settings |
 |
| Winlocker - Vouchers |
 |
| Winlocker - Control Tasks |
 |
| Winlocker - Control Tasks - Command Dropdown list |
C&C :
 |
| C&C Call after infection from NL |
POST http://[..]/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/plugin.uplgdat 200 OK (text/plain)
POST http://[..]/gate.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/tds.php 302 Found to NL.php
GET http://[..]/admin/plugins/winlocker/NL.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/img/nl/recet.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/style.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/ie7-nl.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/nl.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/nl/bg.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/btn.jpg 200 OK (image/jpeg)
GET http://[..]/admin/plugins/winlocker/img/bbg.png 200 OK (image/png)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
User-Agent:
 |
User-Agent: umbra |
Only once i find one that does not disclose this C&C