2013-11-06 - Affiliate

Inside a (The?) Simda Affiliate : Партнёрка Podmena (formerly Chesto)



Simda being distributed in Affiliate mode can be found via many different infection vectors.
But it's the only payload of what I call "Styx Kein"

First mention of this Styx "instance" I found comes from the wizard behind KahuSecurity :
Analyzing a New Exploit Pack - 2012-08-15
This is where "Kein" comes from. (based on Domains used by this EK)

Styx "Kein" 2013-03-02
Could also be refered  as www312


Styx "Kein" 2013-03-30
(here first call www3. is missing)
Note the domain name


When I wrote about Styx one year ago :
Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS  - 2012-12-22
many noticed the similarities between Styx and Kein.

We can find 2 different kinds of landing for "Styx Kein".

- One titled "Sex Scandals" and featuring EmmaWatson or Paris Hilton then a fake flash player update


 Two Styx Kein Landings - 2013-11-05
("Sex Scandals")
<edit1 2013-11-24>
Seems running Windows XP we now have a "Smart Tools" Fake av page instead of Sex Scandals (which is still displayed with Windows 7)

Styx Kein Landing WinXP 2013-11-24
(Sex Scandals Paris Hilton with Win7)
</edit1>


Styx Kein "Sex Scandals" pass + Social Engineering
2013-11-05
(plugin detect in separate call)
0b80023884a167ebee695837aae4705a  <- Payload.

and the other one more in line with "standard" Styx featuring Yahoo Trends and now Yahoo Stocks

Styx Kein Landing - 2013-10-10

Styx "Kein" Yahoo stocks.
2013-11-05
(plugin detect in landing)
18e3389900a3f6db5c4acfa186a55012 <-- Payload

Payload is always Simda. We can see that it's the same stuff in a different flavor (in one case more adult/soc-eng)

(for those who wants to compare, here is a more "standard" Styx :

Styx Pushing Shylock
2013-10-24
See jar with Random data
)

I won't study the Styx "Kein" in details (at least for know).
Exploitation graph should be not far from the one in Styxy Cool (+ CVE-2013-2472 (?) click2play bypass + CVE-2013-2465  + CVE-2013-2551 + some soc-eng)

So ?

Say Hello to Podmena 2014
Подмена mean Substitution
podmena2014.com
188.138.1.170
8972 | 188.138.0.0/17 | PLUSSERVER | DE | INTERGENIA.DE | INTERGENIA AG

Whois :
-----------
Domain name: podmena2014.com
Registrar: Regtime Ltd.
Creation date: 2013-09-25
Expiration date: 2014-09-25

Registrant:
    Mahmud Perlov
    Email: [email protected]
    Organization: private person
    Address: Voronova 37-48
    City: Hohlovka
    State: Voronezskaja
    ZIP: 589382
    Country: RU
    Phone: +7.4958293920

-----------

Advert :

Podmena 2014 Advert on Underground Forum



Original Text :
------------------------------------------
Подмена выдачи Podmena2014/До 500$ с 1к US/Связка+, Платим с 2009 года. С нами надёжно
--
НОВШЕСТВА
• ДОХОД ДО 500$ C 1K хороших US загрузок за 2 мес
• ДАЁМ КАЧЕСТВЕННУЮ СВЯЗКУ

ПРЕИМУЩЕСТВА
• МЫ ПЛАТИМ С 2009 года
• НОВАЯ СХЕМА КОНВЕРТА КЛИКОВ
• РАБОТАЕМ НА ПРЯМУЮ С ФИД ПРОВАМИ
• ЕСТЬ ВЫПЛАТЫ ПО ЗАПРОСУ
• ОСОБЫЕ УСЛОВИЯ КРУПНЫМ КЛИЕНТАМ
• ТИХИЙ И ЖИВУЧИЙ БОТ
• ПРИНИМАЕМ ВСЁ, КРОМЕ СНГ И КИТАЯ

КОНТАКТЫ
• САППОРТ
◦ JABBER [email protected]

◦ ICQ 983-382

◦ * В сети 24 часа

• МЕНЕДЖЕР
◦ JABBER [email protected]

◦ ICQ 444-846


РЕГИСТРИРУЙТЕСЬ

http://podmena2014.com/?registration
Промо инвайт на октябрь - d3d9446802a44259755d38e6d163e820


* Данный софт, новая версия многим известной CHESTO
[Redacted]
* Данный софт является adware и не является вредоносным по
------------------------------------------
Translated by google as :
------------------------------------------
The substitution issue Podmena2014/Do $ 500 to 1k US / Bundle +, a plateau since 2009. With us safely
--
INNOVATION
• INCOME UP TO 500 $ C 1K good US downloads 2 months
• MAKE A BUNCH OF QUALITY

BENEFITS
• WE PAY Since 2009
• NEW SCHEME CLICK THE ENVELOPE
• Works directly with the PID of Provo
• PAYMENT IS ON REQUEST
• SPECIAL CONDITIONS OF MAJOR CUSTOMERS
• QUIET AND tenacious BOT
• TAKE ALL EXCEPT THE CIS AND CHINA

CONTACTS
• support service
◦ JABBER [email protected]

◦ ICQ 983-382

◦ * Online 24 hours

• MANAGER
◦ JABBER [email protected]

◦ ICQ 444-846


JOIN

http://podmena2014.com/?registration
Promo Invite for October - d3d9446802a44259755d38e6d163e820


* This software, new versions of many well-known CHESTO
[Redacted]
* This software is adware , and is not harmful for
------------------------------------------
For the records, Chesto Ad was like :
------------------------------------------
12.06.2011, 13:47 
 Подмена выдачи "ChESTO V2" - 3й год работы и V2 п
-
Вы сидите за компьютером и читаете, а кто-то сейчас отдыхает?
Многие уже сделали загрузки выгодной партнерки и видят, что деньги капают каждый день!


В честь того, что нам исполнилось 2 года, выпускается обновленный софт партнерки, нацеленный на то, чтобы мы с вами отметили и 5й и 10й юбелей с кучей бабла smile.gif


Что нового в ChESTO v2?

[+] Партнерские отчисления теперь до 20%!
[+] Увеличен отстук экзе, есть данные об отклике 80-90%
[+] Доходность до 300$ за 30 дней с 1к хороших US загрузок
[+] У нас есть боты с 2009г, теперь еще больше увеличили живучесть экзе
[+] Ну очень тихая работа бота в системе
[+] Много небольших доработок в скриптах и экзе


Почему именно партнерка "ChESTO"?

[+] Подмена выдачи приносит постоянный доход, каждый день
[+] Вместе с нашим ботом можете грузить что угодно, хоть зевса, хоть антивирус
[+] Раз сделали несколько кило загрузок, и каждый день получаете до 200 баксов и больше*
[+] Боты живут не то, чтобы вечно, но реально долго приносят вам деньги
[+] Автоматические выплаты на ваш кошелек Webmoney 2 раза в месяц, без холда
[+] Делаются автоматические чистки бота от антивирусов, каждые 6 часов
[+] Особые условия если делаете много загрузок
[+] Более 2 лет стабильной работы партнерки. Идет постоянная работа над увеличением доходности

* Доход зависит от качества загрузок и количества 
** Мы принимаем любые загрузки стран: US, AU, CA, GB
*** Пускаем в партнерку не всех, по собеседованию в аське, пишите



Скрины стат за платежный период (доход / потенциальный доход)
Свежие
518$ / 2402$ - 01.06-12.06.2011
http://s55.radikal.ru/i147/1106/38/cf712c1b6f07.jpg
330$ / 1386$ - 01.06-12.06.2011
http://s05.radikal.ru/i178/1106/f0/f5e1dc42ce43.jpg

1225$ / 6367$
http://s39.radikal.ru/i086/1106/63/99aa3d4eda74.jpg
1604$ / 3597$
http://s42.radikal.ru/i096/1106/f1/45b58e477915.jpg
508$ / 2308$
http://s45.radikal.ru/i107/1106/7a/b529250b629d.jpg
1095$
http://i074.radikal.ru/1106/6d/b1cc7a29a101.jpg
2224$
http://s46.radikal.ru/i112/1106/fc/f95fb51937bc.jpg

... можно и дальше расхваливать и обсуждать софт, но пока реально не увидишь его в работе, не узнаешь, насколько выгодно 
------------------------------------------
Translated by google as :
------------------------------------------
12.06.2011, 13:47 
 The substitution issue "ChESTO V2" - the third year of operation and V2 n
-
You sit at your computer and read , and someone is on a break ?
Many have already done downloading profitable affiliate program and see that the money is dropped every day!


In honor of the fact that we are 2 years old , released updated software affiliate program , which aims to ensure that we are pointed and 5th and 10th yubeley with a bunch of dough smile.gif


What's new in ChESTO v2?

[+ ] Affiliate payments are now up to 20 % !
[+ ] Increased otstuk eczema , there are data on the response of 80-90 %
[+ ] Yield of up to $ 300 within 30 days from 1k good US downloads
[+ ] We have boats since 2009 , is now further increased survivability of eczema
[+ ] Well, very quiet operation robot system
[+ ] Many small improvements in the scripts and eczema


Why affiliate "ChESTO"?

[+ ] The substitution issue brings a steady income every day
[+ ] With our bot can ship anything, even Zeus , though antivirus
[+ ] Once did a few pounds downloads and every day get up to $ 200 or more *
[+ ] Bots live not that forever , but really long time bring you money
[+ ] Automatic payment on your purse Webmoney 2 times a month , without hold
[+ ] Do automatic cleaning robot from antivirus every 6 hours
[+ ] Special conditions if you do lots of downloads
[+ ] More than 2 years of stable work affiliate . Is constantly working to increase the profitability of

* Income is dependent on the quality and quantity of downloads
** We accept all downloads of : US, AU, CA, GB
*** Allowed into the affiliate is not all , after an interview in ICQ , e-mail



Stat screens per pay period ( profit / revenue potential )
fresh
$ 518 / $ 2402 - 01.06-12.06.2011
http://s55.radikal.ru/i147/1106/38/cf712c1b6f07.jpg
$ 330 / $ 1386 - 01.06-12.06.2011
http://s05.radikal.ru/i178/1106/f0/f5e1dc42ce43.jpg

$ 1225 / $ 6367
http://s39.radikal.ru/i086/1106/63/99aa3d4eda74.jpg
$ 1604 / $ 3597
http://s42.radikal.ru/i096/1106/f1/45b58e477915.jpg
$ 508 / $ 2308
http://s45.radikal.ru/i107/1106/7a/b529250b629d.jpg
$ 1095
http://i074.radikal.ru/1106/6d/b1cc7a29a101.jpg
$ 2224
http://s46.radikal.ru/i112/1106/fc/f95fb51937bc.jpg

... you can continue to praise and discuss the software, but still do not really see how it works, do not know how profitable
------------------------------------------

Now here is how it looks inside :

Podmena2014 - News


Original text of the News (fresher than the screenshot) :
------------------------------------------

2013-10-31 11:14:34
Обновлён скрипт для подтягивания юрла связки, просьба всем обновить его у себя. Теперь скрипт учитывает возможность нештатной ситуации при обновлении линка и если что, пересылает траф на предыдущий линк, пишет в лог Redirect to last url.
2013-10-29 14:58:42
Сервера обновлены, всё готово. Можно лить по максимуму
2013-10-29 14:24:24
Переустанавливаем софт на серверах. Сегодня возможны перебои в работе линков и обновления статы. Мы внедряем обновления экзе, которые увеличят живучесть. Скорее всего сегодня вечером или завтра до обеда будет готово.
2013-10-23 20:28:59
Обновлён скрипт для подгрузки актуального линка на связку. Рекомендация всем обновить свой скрипт. Так же, обновлен раздел инфо
2013-10-23 15:24:40
Продолжаем совершенствовать софт. Ряд фиксов в экзе и связке, что повысило отстук
2013-10-21 16:40:03
Сегодня выпущена новая версия экзе. Софт усовершенствован, повысился отстук, сделаны несколько фиксов, оптимизирована работа, что повысит доходность
2013-10-18 16:06:07
Добавлен удобный скрипт для обновления актуального домена связки. Смотрите промо

------------------------------------------
Translated by google as :
------------------------------------------

2013-10-31 11:14:34
Updated script to pull yurla ligament, please update it all for himself. The script takes into account the possibility of contingency when updating link and if that sends cores to the previous link , writes to the log Redirect to last url.
2013-10-29 14:58:42
Server upgraded, you're done. You can pour the maximum
2013-10-29 14:24:24
Reinstall the software on the servers. Today, possible disruptions links and update the stats . We implement updates eczema , which increased vitality. Most likely tonight or tomorrow before dinner is ready..
2013-10-23 20:28:59
Continue to improve the software. A number of fixes in eczema and bundle, which increased otstuk
2013-10-23 15:24:40
Продолжаем совершенствовать софт. Ряд фиксов в экзе и связке, что повысило отстук
2013-10-21 16:40:03
Today released a new version of eczema . Software refined rose otstuk , made ​​several fixes , improved performance of that increase profitability
2013-10-18 16:06:07
Added handy script to update the current domain ligament. See promo


Podmena2014 - Stats
(note : Column Реферральные has now been removed)


Text for Statistics :
------------------------------------------
Показана статистика за период 2013.10.[r] - 2013.10.[r] для [redacted]
Статистика обновлена 2 мин назад

* Бот разгоняется по деньгам в течении 3х дней
* Окончательная стата по деньгам в течении 5 суток (основная стата на следующий день)
* Лейте побольше US загрузок, это принесет вам в десятки раз больше денег 

XML статистика 
------------------------------------------
Google translate as :
------------------------------------------
Shows the statistics for the period 2013.10.[r] - 2013.10.[r] to [redacted]
Statistics last updated 2 minutes ago

* Boat accelerates the money within 3 days
* Final stat on the money within 5 days (the main article the next day)
* Pour more US downloads, it will bring you ten times more money

XML statistics
------------------------------------------

Podmena2014 - XML Stats



Podmena2014 - Promo


Text for Promo :
------------------------------------------
Установщик 

http://podmena2014.com/update.php?name=[redacted]&ukey=[redacted]
* С этой ссылки качайте экзе на свой сервер. Куда-либо "светить" эту ссылку запрещено
* Содержит Rootkit для x64 и хороший инсталл может жить до года
* Скачать экзе можно только раз в 10 минут
* Желательно обновлять экзе каждые 3 часа
* Если вы пользуетесь связкой, то вам этот файл не нужен. Там он уже стоит.
* Для скана экзе пользуйтесь только приватными сервисами типа http://scan4you.net

Exe обновлен: 18 мин назад
Exe_MD5: [redacted md5]

Связка

Получить актуальный линк на связку 
* Домен обновляется каждые 1-3 часа, обязательно перетягивайте линк каждые 5 минут, предыдущий домен сразу же отключается, остаётся работать только текущий.
* По этой ссылке будет содержаться актуальный адрес связки, подтягивайте его к себе на сервер нашим скриптом или сами
* Лейте только УНИКОВ, неуники блокируются. По странам всё, кроме СНГ и Китая
* Средний пробив около 10%, на хорошем трафе до 15-20%. Если у вас меньше, полейте браузер IE x32 уники
* Скрипт для подтягивания линка на ваш сервер. Закачайте к себе этот скрипт в открытую на запись папку и лейте на него траф, он всё делает автоматически, обновляет линк каждые 5 минут.
------------------------------------------
Google translate:
------------------------------------------
http://podmena2014.com/update.php?name = [redacted] & ukey = [redacted]
* With this reference swing eczema on your server. Anywhere "shine " this link is prohibited
* Contains a Rootkit for x64 installs and good to live up to the year
* Download eczema can be only once in 10 minutes
* It is advisable to update eczema every 3 hours
* If you use a bunch , you will not need this file . There he was standing .
* To scan eczema only use private services like http://scan4you.net

Exe updated : 18 minutes ago
Exe_MD5: [redacted md5]

ligament
Get up- link to the bundle
* Domain is updated every 1-3 hours , be sure to tighten link every 5 minutes , the previous domain will be stopped immediately , there is only the current work .
* This link will contain the current address of the bunch, tighten it to your server or our own script
* Pour the only uniques , neuniki blocked . All of the countries except CIS and China
* Average breaking about 10%, on a good trafe up to 15-20 %. If you have less water the browser is IE x32 Unica
* Script to pull link to your server. Upload the script to myself this out in the open on the record folder, and pour it on the cores , it does everything automatically updates the link every 5 minutes.
------------------------------------------

The PHP Script : http://pastebin.com/5Ha9wYD0

The  "update.php" link is for third party Exploit Kit (which will handle the download).
And the script is for Iframe (go check the link every 5 minutes) and store landing locally.
Podmena2014 - Settings

Podmena2014 - Payment
Podmena2014 - part of Faq

Text for FAQ :
------------------------------------------
Поддержка
Jabber: [email protected]
ICQ: 983382

Менеджер
Jabber: [email protected]
ICQ: 444846





  • Формат доходности для подмены
    Например, вы слили 1к US установок. Видите в стате 2$ за день, в течении недели доход разгоняется до 8$. В течении 2 месяцев получается 60*8 = 480$ и продолжает капать
  • Загрузки
    Принимаем любые страны, кроме СНГ и Китая
    При этом, максимум дохода даёт US
    Хороший доход с AU CA AG SG MC
    Остальные страны, тоже, что-то да приносят.
  • Связка
    В промо вы увидите линк на актуальный линк связки, а так же скрипт, которым удобно подтягивать актуальный линк, стоит подтягивать юрл каждые 5 минут.
    Лейте только УНИКОВ, неуники блокируются. По странам всё, кроме СНГ и Китая
    Домены меняем, комплект связки хороший, чистится всё автоматически. Стата по связке появится в статистике. Домен обновляется, в среднем, каждые 1-3 часа, так что перетягивайте линк каждые 5 минут, предыдущий домен сразу же отключается, остаётся работать только текущий.
    Стастистика по связке обновляется каждые 5-10 минут
    Связка самописная, в основном ява
    Лучше всего лить х32 машины (х64 бьются не всегда). Браузер IE x32, ОС любая, XP конечно лучше бьётся.
    Средний пробив около 10%, на хорошем трафе до 15-20%
  • Почему следует лить именно нам?
    С нами вы получаете надёжность. Мы платим с 2009 года и пусть мы не обещаем космические доходы от загрузок, при этом мы можем платить годами, пока другие партнерки закроются. Для примера, какая то партнерка платит 1000 баксов в месяц, партнерка проработала 6 месяцев и принесла 6000. На тех же загрузках у нас, например, 800 баксов, при этом мы можем платить 2 года и вы получите 19200. Хотя вроде бы кажется что конверт был меньше?
    С нами вы надёжно получаете свои деньги длительное время и этим выигрываете.
  • Выходные и праздники
    По выходным и праздником люди кликают меньше, соответственно и доход меньше.
  • Выплаты
    Выплаты автоматом каждые 2 недели в 3го и 18го числа.
    Если у вас сумма больше 200$ в день - сделаем выплату по запросу в течении 2 дней
    Минимальная выплата 50$.
  • Обновление статистики
    Статистика по деньгам уточняется до 5 дней (это зависит от фид провайдеров). При этом, основная часть денег на балансе уже на следующие сутки
    Статистика а админке по установкам, перетягивается каждые 30 минут.
    Статистика по связке каждые 5-10 минут.
  • Экзе файл
    Софт тихий, в системе держится хорошо, юзеру не мешает.
    Содержит Rootkit для x64 и хороший инсталл может жить до года
    Экзе обновляем каждые 3 часа - время обновления криптера может быть произвольным. Стараемся по мере возможностей держать его чистым.
    Запрещено сканировать файл пабликовыми АВ чекерами, типа VirusTotal. Пользуйтесь приватными сервисами, типа http://scan4you.net
  • Как получить максимальный доход
    Лейте хороший, качественный трафик
    Одновременно с нами, желательно, не лить другие партнерки
    Лейте побольше US загрузок
  • ------------------------------------------
    Google translate:
    ------------------------------------------
    support
    Jabber: [email protected]
    ICQ: 983382

    manager
    Jabber: [email protected]
    ICQ: 444846

    • The format of return for substitution

    For example, you have merged US 1k units. You see in the article $ 2 per day , for a week income boosted to $ 8. Within 2 months turns 60 * 8 = $ 480 , and continues to drip

    • Downloads

    Accept any country other than the CIS and China
    Thus , the maximum yield gives US
    Good income from AU CA AG SG MC
    Other countries , too, so bring something .

    • Exploit Kit

    In the promo you will see a link to the actual link ligaments, as well as the script that is easy to pull up- link , is to pull yurl every 5 minutes.
    Leyte only Unico , neuniki blocked . All of the countries except CIS and China
    Domains change , set a bunch of nice , clean all automatically. Articles on bond will appear in the statistics. The domain is updated , on average, every 1-3 hours, so overtighten link every 5 minutes , the previous domain will be stopped immediately , there is only the current work .
    Stastistika by a bunch of updates every 5-10 minutes
    Samopisnaya bunch , mostly java
    It is best to pour x32 machines (x64 struggling at times). Browser IE x32, any OS , XP is certainly better beats .
    Average sample of about 10 % , on a good trafe up to 15-20 %

    • Why should we cast it ?

    With us, you get the reliability . We pay since 2009 and even though we do not promise space revenues from downloads , and we can not pay for years, while others will close affiliate . For example , some sort of affiliate program pays $ 1,000 a month, affiliate worked for 6 months and brought 6000 . At the same batches have , for example, $ 800 , and we can pay the 2 years and you get 19,200 . Although it seems like that the envelope was smaller?
    With us you will surely get your money for a long time and this win .

    • Weekends and holidays

    On weekends and holiday people click less , respectively, and less income .

    • payments

    Payments are automatically every 2 weeks in the third and 18th numbers.
    If you have a sum of more than $ 200 a day - will make the payment on request within 2 days
    The minimum payout is $ 50.

    • update statistics

    Statistics on money specified to 5 days (depending on the feed providers) . At the same time , most of the money on the balance sheet is already on the next day
    Statistics and admin for the settings , overtighten every 30 minutes.
    Statistics on the bond every 5-10 minutes.

    • eczema file

    Soft quiet, the system is holding up well , the user does not interfere.
    Contains Rootkit for x64 installs and good to live up to the year
    Eczema update every 3 hours - time updates kripter can be arbitrary. We try wherever possible to keep it clean .
    Forbidden to scan the file pablikovymi AV checker, type VirusTotal. Use private services , such as http://scan4you.net

    • How to get the maximum income

    Leyte good quality traffic
    Along with us , it is advisable not to pour other affiliate
    Pour more US downloads
    ------------------------------------------

    Now you know what to expect when you see a >900ko file named pod.exe :)

    But to be honest I wonder if I now have not more questions than answers.

    The Podmena is tied to the Styx "Kein" "Yahoo Stocks" landing (maybe to the other. Didn't see it myself)
    I can't say for sure it's the only Affiliate pushing that stuff.
    What are the link between Styx/Styx Kein? We know there are many options in Styx to do exactly what is being done by this Affiliate. The API seems powerful.

    We could talk about CVE appearance order in different instances of Styx but i guess you are already bored enough :)

    ---- 2014-11-07 -----
    Yesterday podmena affiliate started to shift to Miuref binaries (at least for some users...but it could be "counter-intel" move )
    ------------------------

    Read More :
    Styx Exploit Kit installing Simda - 2013-10-08 - Jose Miguel Esparza - Eternal-Todo
    MSRT September 2013 - Win32/Simda - 2013-09-10 - Microsoft
    A "Styxy" Cool EK ! - 2013-07-01
    Inside Styx Sploitpack 4.0 - Exploit Kit Control Panel 2013-05-19
    Crossing the Styx ( Styx Sploit Pack 2.0 ) - Meet CVE-2012-4969 via JS heapspray - 2012-12-22

    BOTNET
    kye Podmena Simda Kein Styx www312 Styx Kein Affiliate