2012-12-12 - Advert
Carberp, the renaissance (?)
![]() |
"not for you" image used by Carberp |
Carberp never really stopped but seems like it was not spread massively/updated anymore since huge operation against gang using it in Russia back in February/March 2012.
But it seems we will have to deal with this banker again.
2 days ago :
![]() |
Carberp Advert (2012-12-10) |
Банкбот Carberp
Мы решили возобновить продажи после долгого перерыва в связи с выходом новой версии бота с буткитом.
По сравнению с предыдущей версией улучшились стабильность, живучесть и функциональность.
Так же хочу отметить появление возможности аренды софта.
Все наши текущие клиенты, по каким-либо причинам потерявшие с нами связь, могут получить обновление своей сборки.
В качестве обновления будет предоставлена одна из вариций минимальной сборки, в зависимости от ранее приобретенной комплектации.
Новым клиентам такие вариации предоставляться не будут, для них существует только одна минимальная сборка.
Мы открыты для разного рода предложений, в т.ч. по написанию АЗ и работе под %.
Предложения с условиями, при которых вы получаете текущий софт бесплатно, рассматриваться не будут.
Все вопросы и предложения просьба отправлять в jabber.
Все что оставляете в текущей теме, отправляете в PM или куда-то еще может остаться без внимания.
При накоплении достаточного количества вопросов я организую FAQ.
Краткое описание:
Каждая последующая сборка включает в себя предыдущие
- Лоадер
- ФТП граббер (31 клиент)
- Пассворд граббер
- Форм граббер (IE, FF, Opera)
- ФТП сниффер
- Граббер basic-авторизации в IE
- Удаление cookie и sol в IE и FF
- Socks5 прокси
- Поддержка инжектов в IE и FF
- Программа для написания и отладки инжектов с удобным GUI
- Шифрование траффика
- Билдер
- Многофункциональная админка бота
- Граббер сертов из IE
- Модуль Хантер
- Универсальный кейлоггер
- Автообновление крипта и доменов
- Поиск слов в документах и отправка в админку
- Запись видео на боте для отладки инжей и АЗ
- Расширенный функционал в админке
- VNC (win xp/vista/7 admin/user) и RDP (win xp admin)
- MBR-загрузчик бота (win xp/7)
Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес
Буткит - $40к или $10к/мес
Тест возможен по договоренности
Гарант приветствуется
Принимаем исключительно LR
Связь: [email protected]
PGP-ключ можно взять в полном описании
Ссылка на полное описание: http://www.sendspace.com/file/7119sj (pass - lcTJTCDs)
Translated by google as :
Bankbot Carberp
We decided to resume sales after a long break due to the release of a new version of the bot bootkit.
Compared with the previous version improved stability, durability and functionality.
Also I want to note the appearance of the possibility of renting software.
All of our current clients, for whatever reason, have lost touch with us, can upgrade their assembly.
As an update will be given one of varitsy minimal assembly, according to previously purchased a complete set.
New customers such variations will not be provided, for them there is only one minimal assembly.
We are open to all kinds of proposals, including AZ on writing and working under%.
Proposal with the conditions under which you get the current free software will not be considered.
All questions and suggestions please send to jabber.
Leave all that in the current theme, send a PM or anywhere else can be ignored.
With the accumulation of a sufficient number of questions I organize FAQ.
Short description:
Each subsequent assembly includes previous
- Loader
- FTP grabber (31 client)
- Passvord grabber
- Form Grabber (IE, FF, Opera)
- FTP sniffer
- Grabber basic-authentication in IE
- Remove cookie and sol in IE and FF
- Socks5 proxy
- Support injected in IE and FF
- A program for writing and debugging injected with convenient GUI
- Encrypted Traffic
- Builder
- Multi-bot Admin
- Grabber Serta from IE
- Module Hunter
- Universal keylogger
- AutoUpdate crypt and Domains
- Search words in documents and send to the admin panel
- Video recording on the boat for debugging inzhey and AZ
- Enhanced functionality in the admin
- VNC (win xp/vista/7 admin / user) and RDP (win xp admin)
- MBR-loader bot (win xp / 7)
Minimum - $ 5k or $ 2k/mes
Extended - $ 10k or $ 3.5k/mes
Complete - $ 15k or $ 5k/mes
Bootkit - $ 40k or $ 10k/mes
The test is available by arrangement
Guarantor welcome
Accept only LR
Communication: [email protected]
PGP-key you can take in the full description
Link to the full description: http://www.sendspace.com/file/7119sj (pass - lcTJTCDs)
And here is the full description original text :
Отстук 60-90%
Win XP/Vista/7 x86
Каждая последующая включает в себя предыдущие
- Лоадер
- ФТП граббер (31 клиент)
- Пассворд граббер
- Форм граббер (IE, FF, Opera)
- ФТП сниффер
- Граббер basic-авторизации в IE
- Удаление cookie и sol в IE и FF
- Socks5 прокси
- Поддержка инжектов в IE и FF
- Программа для написания и отладки инжектов с удобным GUI
- Шифрование траффика
- Билдер
- Многофункциональная админка бота
- Граббер сертов из IE
- Модуль Хантер
- Универсальный кейлоггер
- Автообновление крипта и доменов
- Поиск слов в документах и отправка в админку
- Запись видео на боте для отладки инжей и АЗ
- Расширенный функционал в админке
- VNC (win xp/vista/7 admin/user) и RDP (win xp admin)
- MBR-загрузчик бота (win xp/7)
Список программ граббера
Miranda, ICQ2003, RQ,
Trillian, ICQ99b, MSN, Yahoo,
AIM, Gaim, QIP, Odigo, IM2,
SIM, GTalk, PSI, Faim, LiveMessenger,
PalTalk, Excite, Gizmo, Pidgin, AIMPRO,
MySpace, Pandion, QIPOnline, JAJC, Digsby,
Почтовые клиенты
Becky, The_Bat, Outlook,
Eudora, Gmail, MRA, IncrediMail,
GroupMailFree, VypressAuvis, PocoMail,
ForteAgent, Scribe, POPPeeper,
MailCommander, Windows_Mail_Live, Windows_Mail_Vista
ФТП клиенты
Total Commander, FAR Manager, WS_FTP, CuteFTP,
FlashFXP, FileZilla, FTP Commander, FTP Navigator,
BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeeCup,
Core FTP, FTPExplorer, Frigate3, UltraFXP, FTPRush,
SecureFX, Web Publisher, BitKinex, Classic FTP PC,
Fling, SoftX FTP Client, Directory Opus, FreeFTP,
DirectFTP, LeapFTP, WinSCP
Firefox, Safari, Opera, IE, Chrome
SysInfo, WinVNC, ScreenSaver,
ASPNET, RDP, FreeCall, CamFrog,
PCRemoteControl, NetCache, CiscoVPN,
Socks5 прокси
Для приема ботов используется серверное windows-приложение
Когда бот отстукивает, сервер его соединяет и вешает его на отдельный порт
Делает из ботов SOCKS5-прокси
Веб-интерфейс для подсоединения и управления ботами
Инжектирование работает на IE и FF
Поддерживаются параметры G, P и L
Синтаксис 1в1 как у зевса, но на всякий случай нужно проверять на работоспособность
Есть удобная программа-отладчик инжектов, с помощью которой легко проверить работоспособность своих инжей и написать новые
Шифрование траффика
Весь траффик от бота до админки и обратно шифруется уникальным для каждого ботнета ключом
Боты не могут стучать на админку с другим ключом
Все запросы от бота в админку идут на скрипты со случайными именами
Все плагины, скачиваемые ботом из админки, так же шифрованы
Модуль Хантер
При посещении определенного url бот запрашивает из админки определенную команду, так например можно включить рдп всем ботам которые зашли в банк или подгрузить какой-либо ехе
Универсальный кейлоггер
Через админку определяется список процессов, в которых необходимо логировать нажатия клавиш
Боты получают список и отправляют в админку логи сразу после их появления
В админке логи разделяются не только на процессы и отдельных ботов, но и на разные запуски приложения
Автообновление крипта и доменов
Обновление ботам крипта на чистый и доменов для отстука без перебилдинга и обновления ботов
В админку добавляется список доменов и загружаются криптованные билды
Админка сама их проверяет на сервисах scan4you и chk4me
Раз в полчаса бот стучит в админку за новыми доменами и билдом
В зависимости от установленного на боте ав, админка отдает ему чистый билд и домены
При обновлении билда данным способом, преф и домены у бота остаются неизменными, вне зависимости от того что вшито в билд
Есть возможность просто проверять домены, без выдачи их ботам
Если у вас свой криптор в виде ехе, админка может сама криптовать билды, делая по 10 криптов за раз, проверить их, выбрать самый чистый и отдавать ботам, либо сделать постоянную линку на чистый билд для связки, а так же обновлять ехе криптора и уведомлять в jabber если крипт палится
Поиск слов в документах
Искать можно как отдельные слова, так и словосочетания
Поиск производится внутри документов txt, doc, docx, xls, xlsx, pdf, rtf, odt, лежащих на диске, даже если они упакованы в zip или rar архив
Все найденные документы запаковываются в один архив и отправляются в админку
Запись видео
При посещении определенного url в окне браузера на боте включается запись видео
Видео отправляется на windows-сервер, где запущен принимающий модуль
Видео пишется в нашем собственном формате, максимально сжатое и оптимизированное, ч/б 2fps
Для просмотра используется наш собственный плеер, в нем для удобства реализован быстрый поиск по названиям активных окон
По запросу можно индивидуально настроить запись видео - старт при определенном событии, запись полного экрана, запись в течение определенного времени и т.п.
Удаленное подключение к ботам управляется через единое серверное windows-приложение
После подключения к серверу достаточно выделить бота и нажать кнопку подключения
Сервер пробросит один из своих портов и присвоит его боту, после этого можно подключаться и работать
Сервер, отличный от основного сервера с админкой, перенаправляющий запросы от ботов в админку, и отдающий ботам ответы от нее
Основная задача гейта - скрыть админку бота от абуз
Для гейта подойдет обычный впс, тут главное не железо, а канал
При абузе можно оперативно развернуть новый гейт, время установки ~30 минут
Гейтов может быть несколько, и все вести на одну админку
Есть несколько видов реализаций, в т.ч. на основе OpenVPN, но мы рекомендуем обычный Nginx-вебсервер, настроенный как прокси
Работает на Win XP/7, отстук ~60-80%
Устанавливается на ринг3 бота, поэтому если установка не удалась, ринг3 на боте останется в работоспособном состоянии
После установки происходит перезагрузка, и при удачном запуске бота из ринг0, ринг3 версия удаляется
АВ буткит найти не могут, так же как и бота, запускаемого через буткит, поэтому криптовать и обновлять не требуется
Даже если в будущем некоторые АВ смогут его найти, то все равно не смогут удалить, юзеру поможет только переустановка системы
Живучесть 65% и более через месяц после прогруза
Правила предоставления лицензии
В одну лицензию входит админка на одном сервере с привязкой по ip + билдер бота и настройка одного гейта. За дополнительную плату можно настроить нужное количество гейтов. Ограничение лицензии в количестве серверов с админкой. Одна лицензия - один сервер.
Перенаправление ботов на ip, на который не ставилась наша админка, а равно где стоит отвязанная наша, либо своя, написанная под нашего бота, админка, запрещается. Мы следим за каждой лицензией очень внимательно, и если возникнет подозрение на попытку нарушения лицензии или отвязки бота/админки, мы оставляем за собой право принимать адекватные меры, вплоть до аннулирования лицензии и ddos доменов/серверов нарушителя.
Админка защищена системой IonCube последней версии. Бот защищен системами нашей собственной разработки. Так же в них присутствует дополнительное внутреннее шифрование, и специальные закладки, которые определяют ip/домены привязки. Если будет установлено, что бот/админка отвязаны, закладки вносят в работу системы случайные искажения, в итоге бот/админка начинают работать не правильно, выполнять не те команды, либо просто глючить. В итоге ботнетом станет невозможно управлять, будут теряться логи, боты будут дохнуть куда быстрее и т.п. Причем на первый взгляд отвязанный бот может работать и отстукивать так же, как и обычный. Дефекты можно будет обнаружить только при детальном анализе. С каждой новой версией, вместе с доработками по функционалу и улучшению отстука, также будет меняться и усложняться защита.
Софт предоставляется как есть, манибэк не предусмотрен. Перепродажа софта запрещена.
Планы по разработке
- Инжекты и формграббер для Chrome
- 64-битность
- RPD под Win 7
- Лоадер минимального размера для всех комплектаций
- p2p для восстановления контроля над ботнетом
Курсивом отмечены обновления, которые будут распространяться бесплатно, при условии что модуль, к которому относится обновление, уже был приобретен
Если у вас есть собственные пожелания, мы добавим их в этот лист, определив приоритет разработки сами
Багфиксы в текущих модулях и мелкие дополнения к функционалу бесплатны
Новые модули и серьезные дополнения к текущим за отдельную плату
За дополнительную плату возможны любые доработки
Грабберы и АЗ любой сложности
Мы принимаем заказы на написание грабберов и АЗ
У нашей команды огромный опыт в написании грабберов паролей, ключей, балансов и АЗ любой сложности под любые системы
Нами уже написаны грабберы и АЗ под системы на основе:
- HTML / Javascript
- ActiveX
- Java
- Win32
Благодаря тесному сотрудничеству наших программистов, мы можем подправить и дописать нашего бота под заказанные у нас АЗ для получения максимальных результатов
Есть полнофункциональная админка АЗ
Цены и условия оговариваются для каждого заказа отдельно
Это не сервис по написанию мелких инжей, работаем только с крупными заказчиками
Прайс и контакты
Минимальная - $5к или $2к/мес
Расширенная - $10к или $3.5к/мес
Полная - $15к или $5к/мес
Буткит - $40к или $10к/мес
Установка админки - $100
Тест возможен по договоренности
Гарант приветствуется
Принимаем исключительно LR
Связь: [email protected]
Version: GnuPG v1.4.10 (GNU/Linux)
Removed - useless here
Требования к Админке бота:
php >= 5.3.3
IonCube Loader
php-geoip (можно и без него есть выносной но он менее производительный так что лучше этот откомпиленный прямо в пхп)
Lighttpd + Lighttpd FastCGI + FastCGI Alow-XSendFile (Можно и Apache 2.2 но он мнее производительный, если захотите ставить его то к нему обязательно mod_xsendfile)
Translated by google as :
Otstuk 60-90%
Win XP/Vista/7 x86
Complete set
Each successive includes previous
- Loader
- FTP grabber (31 client)
- Passvord grabber
- Form Grabber (IE, FF, Opera)
- FTP sniffer
- Grabber basic-authentication in IE
- Remove cookie and sol in IE and FF
- Socks5 proxy
- Support injected in IE and FF
- A program for writing and debugging injected with convenient GUI
- Encrypted Traffic
- Builder
- Multi-bot Admin
- Grabber Serta from IE
- Module Hunter
- Universal keylogger
- AutoUpdate crypt and Domains
- Search words in documents and send to the admin panel
- Video recording on the boat for debugging inzhey and AZ
- Enhanced functionality in the admin
- VNC (win xp/vista/7 admin / user) and RDP (win xp admin)
- MBR-loader bot (win xp / 7)
Program list grabber
Miranda, ICQ2003, RQ,
Trillian, ICQ99b, MSN, Yahoo,
AIM, Gaim, QIP, Odigo, IM2,
SIM, GTalk, PSI, Faim, LiveMessenger,
PalTalk, Excite, Gizmo, Pidgin, AIMPRO,
MySpace, Pandion, QIPOnline, JAJC, Digsby,
Email clients
Becky, The_Bat, Outlook,
Eudora, Gmail, MRA, IncrediMail,
GroupMailFree, VypressAuvis, PocoMail,
ForteAgent, Scribe, POPPeeper,
MailCommander, Windows_Mail_Live, Windows_Mail_Vista
FTP clients
Total Commander, FAR Manager, WS_FTP, CuteFTP,
FlashFXP, FileZilla, FTP Commander, FTP Navigator,
BulletProof, SmartFTP, TurboFTP, FFFTP, CoffeeCup,
Core FTP, FTPExplorer, Frigate3, UltraFXP, FTPRush,
SecureFX, Web Publisher, BitKinex, Classic FTP PC,
Fling, SoftX FTP Client, Directory Opus, FreeFTP,
DirectFTP, LeapFTP, WinSCP
Firefox, Safari, Opera, IE, Chrome
SysInfo, WinVNC, ScreenSaver,
ASPNET, RDP, FreeCall, CamFrog,
PCRemoteControl, NetCache, CiscoVPN,
Socks5 proxy
To receive a bot uses windows-server application
When bot knock, the server connects and hangs it on a different port
Makes bots SOCKS5-proxy
Web-based interface for connection and control bots
Injection works on IE and FF
Is supported by G, P, and L
Syntax 1B1 as Zeus, but just in case you need to check on the performance of
There is a convenient debugger injected with which it is easy to check its inzhey and write new
Traffic Encryption
All traffic from the spammer to admin and back encrypted unique key for each botnet
Bots can not knock on the admin area to another key
All requests from the bot to go to the admin scripts with random names
All plug-ins, download bot from admin, just encrypted
Module Hunter
When you visit a particular url bot requests from admin certain command, so for example you can include all of the DSA bots who went to the bank or upload any exe
Universal keylogger
Through admin defined list of processes that need to benefit from logging keystrokes
Bots get a list and send the admin logs as they become available
In the admin logs are divided not only on the processes and individual bots, but for different applications launch
AutoUpdate crypt and domains
Update bots crypt to clean and domains without otstuk perebildinga and update bots
In the admin panel added a list of domains and loaded kriptovat builds
Admin checks for their own services and scan4you chk4me
Every half hour boat knocks in admin for the new domains and builds
Depending on the set on the boat AB admin panel gives it a clean build and domains
When you update the build this way, preferred shares and domains bot are the same, regardless of the fact that the resident in build
It's easy to check domains, without giving them the bots
If you have your own kriptor as exe, admin panel itself can kriptovat builds, making 10 of the crypts at a time, check them out, choose the cleanest and give bots, or to make a permanent link on the net to build chords, as well as update and notify exe kriptora in jabber if crypts palitsya
Search for words in documents
You can search for a specific word or phrase
The search is performed within the documents txt, doc, docx, xls, xlsx, pdf, rtf, odt, lying on the drive, even if they are packed in zip or rar archive
All documents found packed in one file and go to the admin panel
Video recording
When visiting a specific url in the browser on the boat and the recording video
Videos sent to windows-server running receiver module
Video is written in our own format, maximum compression and optimized, b / w 2fps
To view using our own player, it is implemented for the convenience of a quick search on the name of the active window
On request, you can customize video recording - the start of a specific event, record the full screen, a record for a certain time, etc.
Remote connection to the bot is controlled via a single server windows-application
After connecting to the server, just select the bot and press the connect button
Server forwarding one of its ports and assign it to the boat, then you can connect and work
Server other than the primary server with the admin, the request is redirected to the admin panel of bots, bots and giving answers from her
The main objective of the gate - hide admin bot from abuse
For your regular gate UPU, the main thing is not the iron, and the channel
When abuse can quickly deploy a new gate, install time ~ 30 minutes
Gates can be several, and all lead to one admin
There are several types of implementations, including based on OpenVPN, but we recommend the normal Nginx-webserver is configured as a proxy
Works on Win XP / 7, otstuk ~ 60-80%
Mounted on ring3 bot, so if the installation failed, the boat ring3 remain in a healthy state
After installation is restarted, and if successful launch bot from ring0, ring3 version is deleted
AB bootkit can not find, as well as a bot that runs through bootkit kriptovat and therefore do not need to update
Even if in the future some AV can find it, you still can not remove, the user will only reinstall
Vitality 65% or more in a month after progruza
Rules for granting licenses
One license is admin page on the same server with reference to ip + boat builder and configure a gateway. For an additional fee, you can configure the desired number of gates. License restriction in the number of servers from the admin. One license - one server.
Redirecting bots on ip, which was not put our admin panel, as well as where there is untied our or its written under our boat, admin panel, is prohibited. We monitor each license carefully, and if there is a suspicion of attempted violation of the license or otvyazki bot / admin, we reserve the right to take appropriate action, up to revocation and ddos domain / server offender.
Admin protected with IonCube latest version. Boat protected systems of our own design. Just as they present additional internal encryption and special bookmarks that define ip / domains binding. If it is found that the bot / Admin decoupled, bookmarks make to the work of random distortion, resulting in a bot / Admin begin to not work properly, do not carry out the commands, or simply fail. As a result, it becomes impossible to control the botnet will be lost logs, bots will breathe much faster, etc. And at first glance, the bot can work untethered and knock in the same way as normal. Defects can be detected only by detailed analysis. With each new version, along with modifications to the functional and improved otstuk also will change and become more complex protection.
Software is provided as is, manibek not provided. Resale of software is prohibited.
Plans to develop
- Inject and formgrabber for Chrome
- 64-bit mode
- RPD under Win 7
- Loader minimum size for all models
- P2p to regain control of the botnet
Italics marked updates that will be distributed free of charge, provided that the unit to which the update has already been purchased
If you have your own suggestions, we will add them to this list, prioritize the development of themselves
Bug fixes in the current module and minor additions to the functional free
New modules and major additions to the current for a fee
For an additional fee, any possible improvements
Grabbers and AZ of any complexity
We accept orders for writing grabbers and AZ
Our team has extensive experience in writing grabbers passwords, keys, balance sheets and AZ any difficulty under any system
We have already written a grabber and AZ-based systems:
- HTML / Javascript
- ActiveX
- Java
- Win32
Thanks to the close cooperation of our programmers, we can adjust and finish our bot order the AZ for maximum results
There is a full featured Admin AZ
Prices and conditions are specified for each order separately
This is not a service for writing small inzhey, work only with large customers
Price and contact
Minimum - $ 5k or $ 2k/mes
Extended - $ 10k or $ 3.5k/mes
Complete - $ 15k or $ 5k/mes
Bootkit - $ 40k or $ 10k/mes
Setting admin - $ 100
The test is available by arrangement
Guarantor welcome
Accept only LR
Communication: [email protected]
Version: GnuPG v1.4.10 (GNU / Linux)
Removed - useless here
Requirements for Admin bot:
php> = 5.3.3
IonCube Loader
php-geoip (possible and without it there is remote but it is less efficient so it is better this otkompilenny right in php)
Lighttpd + Lighttpd FastCGI + FastCGI Alow-XSendFile (Can and Apache 2.2 but mnee productive if you want to put it to him that necessarily mod_xsendfile)
![]() |
Carberp C&C login screen |
Some fresh comodo sandbox analysis (samples spotted thanks (!) to VirusTotal ) :
Read more about Carberp ? (recent first)
All Carberp botnet organizers arrested -2012-07-02 - Aleksandr Matrosov - Eset
Carberp Gang Evolution: CARO 2012 presentation - 2012-05-29 - Aleksandr Matrosov - Eset
Carberp Reverse Engineering - 2011-07-03 - Evilcry - quequero.org
Under the Hood of Carberp: Malware & Configuration Analysis (PDF) - 2010-10-7 - Trusteer
Inside Carberp Botnet (PDF) - 2010-02 - Francisco Ruiz - MalwareIntelligence
For more readings take a look at the list of References on Botnets.fr Carberp page here :