2013-02-07 - Connect the dots

Inside Multi-Botnet ver.4 c&c Panel



I wrote 2 months ago about Multi Locker being updated to ver.3 (stabily recognized by Microsoft as : Tobfy.H ), made a brief history and showed inside view
Since then the code of the locker and the server side have leaked on underground forum.
FretLine, the handyman of this stuff,  was not that happy and react on both the post of the "leak"  and his own official topic somewhere else, presenting apologize to his customers.

On the 25-01-2013 he announced the new version :

"snipshot" of his advert
Original text of the Advert :
------------------------------------------

Subject :  Multi-Botnet ver.4 (Loader, Locker). x32-x64, all windows support.
------------------------------------------
Приветствую всех, кто заглянул в эту тему.

Прошло уже много времени с момента, когда третья ветка нашего продукта утекла в открытый доступ. Уже было много сказано по поводу того, что люди, которые выложили мой бот - ган*оны и тд, по этому не будет останавливаться на этом. Хочу отметить только то, что я обещал всем моим клиентам и не только клиентам, что я вернусь с новой версией, с более крутой версией. Кто-то верил в это, кто-то говорил, что я не вернусь, кто-то материл и ругал меня, а кто-то даже блек написал) Но я сдержал обещание и вот теперь я тут с новым продуктом перед вами.

Итак начнем)

Что же мы сделали? По первых была проделана огромнейшая работа, я трудился не один, над ботом работала целая команда. Я решил покорять новый рынок, рынок лоадеров и перед мой командой стояла задача сделать охренительный бот с потрясающим отстуком. Мы добились своей цели, мы сделали по настоящему крутой лоадер с крутым локером, который обладает своеобразным буткитом и руткитом. Финальные тесты показали, что продукт имеет отстук в районе 93% со связки. А живучесть ботнета просто феноменальна. Ну а теперь давайте по порядку.

Винлокер:

1. С нуля написаный бот. Локер писали профессионалы, за основу взят совсем другой язык, другая архитектура. Отстук самого локера заметно вырос. Стабильность работы на высоте. Но теперь локер - это плагин к нашему лоадеру.
2. Реализована система моментальной блокировки, и самое важное моментальной разблокировки компьютера жертвы. Если помните, раньше после анлока приходилось жертву заставлять ребутнуть компьютер, теперь же после того как вы нажмете анлок в админке, компьютер жертвы моментально разблокируется и он продолжит работу с того места, с которого закончил. (Если конечно сам не будет дергаться и перезагружать.)
3. Внедрен ring-3 rootkit. Локер теперь просто так не снять, у нас теперь инжект в процессы и различные фишки по самовосстановлению.
4. Реализован своебразный буткит (не MBR). Теперь мы блокируем Безопасный режим не только в Win XP, но и в Win 7 и Win 8. Но стоит отметить, что данным метод нестабильно работает, если у жертвы включен UAC.
5. Внедрен алгоритм RC4-Encryption, теперь все очень хорошо шифруется между админкой и ботом. Уделили внимание и антиреверсу.
6. Добавлены Резервные урлы для отстука о который так долго нас просили, теперь при создание билды вы можете указать до 5 резервных урлов и в случае блокировки одной из админок никакой потери ботнета.
7. Локер вырос в размерах, но ничего страшного нет, так по умолчанию вы грузите сначала лоадер, а затем уже подгружаете локер в случае необходимости.
8. Новая админка объединенная с лоадером.
9. Лендинги на выбор, легенда адальт или не лицензионный софт. В зависимости от тематики вашего трафика.

Лоадер:

1. Подробная статистика по странам, по ботнету, по статусу ботов, по системам, по заданиям.
2. Загрузка, удаление, апдейт EXE или DLL с локального файла или удаленной ссылки
3. Поддержка разделения заданий по странам.
4. Полная поддержка всей линейки windows от 2000 до Win 8. x32-x64
5. ring-3 rootkit, скрытие процессов, файлы и записи в реестре от пользователя, only x32
6. Простейшее криптование, ничего внутри себя бот не содержит.
7. Размер ~30kb
8. Полная поддержка unicode
9. Добавлены обходы проектировок актуальных версий Avira, Avast, Касперский, Panda. На других не тестировали.
10. До 5 резервных урлов при билде.

Цена:

Multi-Loader+Multi-Locker = 1499$
Multi-Loader = 999$

Резервных урлов до 5 в билд.
Ребилд - Бесплатно.


Контакты:

1. [email protected]
2. ПМ
__________________
jabber: [email protected] [email protected]


------------------------------------------
Translated by nezlooy (Thanks a lot for this !!)
------------------------------------------

I welcome all who looked into this topic.

It's been a long time since when the third branch of our product has become available to the public. Has already been a lot said about the fact that the people who posted my bot - gandones, and so on, we'll not stop here. I want to note only that I promised to all my clients, not only to customers, that I will be back with a new version, with a steeper version. Someone believed in it, someone said that I do not return, someone insulted and swore at me, and some even wrote an abuse) But I kept my promise, and now I'm here with a new product.

Now let's begin)

What have we done? First, did a great job, I'm didn't worked alone, a whole team worked on the bot. I decided to conquer a new market, a loaders market and in front of my team had the task: to make a steep bot with stunning response. We achieved our goal, we did a really steep loader with steep locker, which has a peculiar functional of bootkit and rootkit. Final tests showed that the product has response near 93% of the bunch. A botnet has phenomenal vitality. Now, let's in the order.

Winlocker:

1. The bot was written from scratch. Locker was written by professionals, the basis was taken a different language and a different architecture. Significantly increased the response of the locker. Stability of work at height. But now, locker - is a plugin for our loader.
2. Implemented a system of instant lock, and most importantly, the immediate unlock of the victim's computer. If you remember, earlier after unlocking the we had to force the victim off the computer, but now when you click unlock in the admin panel, the victim's computer immediately will be unlocked and he will continue to work from the point from which he was stopped. (Of course unless he will not be jerky and reboot.)
3. Introduced ring-3 rootkit. Now, the locker can't just be removed, now we have injection into the processes and have different ways to self-healing.
4. Implemented a peculiar bootkit (not MBR). Now we block safe mode, not only in Win XP, but also in Win 7 and Win 8. It is important to note that this method becomes unstable when the victim turned on UAC.
5. Was implemented RC4 encryption algorithm, now everything is very well encrypted between the admin and bot. Paid attention to the anti-reverse.
6. Added backup URLs for the response, which so long you've asked for, now with the creation of build, you can specify up to five backup URLs and in case of blocking one of admin-panel will prevent loss of botnet.
7. Locker has grown in size, but that's okay, so by default you load loader as first, and then are loading locker if necessary.
8. The new admin panel combined with the loader.
9. Landing on the choice, the "legend adult"* or unlicensed software. Depending on the topic of your traffic.

Loader:

1. Detailed statistics for each country, of the botnet, statuses of the bots, of the systems and tasks.
2. Upload, delete, update EXE or DLL file from a local or remote references.
3. The division of tasks between countries.
4. Full support for the entire line of windows, from 2000 to Win 8. x32-x64
5. Ring-3 rootkit, hide processes, files and registry entries from the user. only x32.
6. Simple encryption, the bot does not contain anything inside.
7. The size of ~ 30kb.
8. Full support for unicode.
9. Added the ability to bypass the proactive protection of current versions Avira, Avast, Kaspersky, Panda. Not tested on the others.
10. Up to five backup URLs in the build.

Price:

Multi-Loader + Multi-Locker = $1499
Multi-Loader = $999

Backup URLs to 5 build.
Rebuild - Free.


Contacts:

1. [email protected]
2. PM
__________________

jabber: [email protected] [email protected]


------------------------------------------

Login Screen
(sound familiar ? yes it's based on Aldi bot Panel)

Statistics
Bots
Tasks
Command dropdown list in Tasks tab

Plugins

Settings
Winlocker - Vouchers
Winlocker - Control Tasks
Winlocker - Control Tasks - Command Dropdown list

C&C :
C&C Call after infection from NL



POST http://[..]/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/plugin.uplgdat 200 OK (text/plain)
POST http://[..]/gate.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/tds.php 302 Found to NL.php
GET http://[..]/admin/plugins/winlocker/NL.php 200 OK (text/html)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)
GET http://[..]/admin/plugins/winlocker/img/nl/recet.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/style.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/ie7-nl.css 200 OK (text/css)
GET http://[..]/admin/plugins/winlocker/img/nl/nl.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/nl/bg.png 200 OK (image/png)
GET http://[..]/admin/plugins/winlocker/img/btn.jpg 200 OK (image/jpeg)
GET http://[..]/admin/plugins/winlocker/img/bbg.png 200 OK (image/png)
POST http://[..]/admin/plugins/winlocker/gate.php 200 OK (text/html)




User-Agent:
User-Agent: umbra
Files ?
Only once i find one that does not disclose this C&C

BOTNET
inside view botnet CnC Multi-Locker advert inside FretLine Multi-Botnet