2014-07-15 - Panel
SkyShare : Evolution Mining Botnet System
At begining of the year, an advert for a mining botnet appeared on underground :
![]() |
Piece of the Advert on the Underground |
Original text of the Advert :
Предлагаю стабильную автоматическую систему по майнингу на ботах.
Краткое описание - это полноценная система «под ключ» для долгосрочного и стабильного майнинга.
Поддерживаемые валюты: quark ( рекомендовано ) / scrypt.
Основной функционал:
Drop-system - майнер автоматически устанавливается на зараженную машину сразу после прогруза лоадера (размер - всего 13кб)
Panel - удобная панель по контролю за ботами, вы можете смотреть статистики, курсы валют коинов, прогружать на боты сторонний софт и многое другое. Помимо базовых функций в панель включен стиллер и формграббер, для получения максимального дохода с ботов.
AutoPool - каждому клиенту мы предоставляем удобную панель для майнинга валют на наших пуллах,с возможностью переключения мощностей на самую выгодную в любой момент! Только для кварковых валют: qrk,src,frq,fz,c-note,wiki ( список будет дополнятся, в зависимости появления новых валют на биржах)
Данное обновление решает следующие проблемы:
1) потерю дохода из-за падения курса / увеличения сложностей
2) бан панели управления ботами (лоадером), когда теряется возможность контроля ботов
3) недоступность пулла / бан на пуллах
CPUMaxProfit - вырабатываем quark! Теперь вы получаете максимальный профит с каждого бота, не теряя стабильности заработка! Наш софт поддерживает все доступные виды quark валют, торгующихся на рынке : qrk, src, frq, fz, c-note и wikicoin!
Поддерживаются все версии windows - если раньше quark невозможно было выработать на версиях windows, ниже Windows 7, то теперь это возможно! Работа гарантированна на любой разрядности, будь то 32 или 64бит, а так же на любой конфигурации компьютера! При том, если раньше существенно снижался доход с 32битных машинок, то теперь эта разница минимальна!
Anti-av system - в майнере имеется функция автовосстановления в системе после удаления, в 7 из 10 случаев удаления майнера антивирусником / руками после перезагрузки он будет восстановлен в системе и продолжит свою работу!
Так же при выдаче билд майнера палится минимальным количеством антивирусов, большинство из которых непопулярны. Над усовершенствование фуд’а ведется активная работа. Майнер легко криптуется, при надобности дадим контакты криптосервисов,где вы можете получить скидку при крипте нашего продукта ( работают практически 24/7 )
Включен обход UAC!
Mining Community - для владельцев нашего майнера предоставляем доступ к сообществу, где обсуждаются все последние новости по софту, а так же имеется возможность предложить свою идею по развитию проекта.
Стабильность - за последние 3 месяца работы мы потеряли не более 10% скорости от общего числа производимых коинов и могу смело сказать, что майнеры живут месяцами (а может и годамиsmile.gif
Абузоустойчивость - каждая система располагается на мощнейшем серверном оборудовании, способном выдержать сотни тысяч ботов. К прокси / лоадеру привязаны абузоустойчивые домены, а сверху на систему наложено проксирование посредством технологии FastFlux, благодаря ей вы можете не боятся за свою безопасность во время работы с системой!
Поддерживаемые коины - наш бот поддерживает любые коины на алгоритмах quark / scrypt ( litecoin, dogecoin, securecoin и другие ). В данный момент система направлена на выработку именно quark коинов. Почему именно их? Читаем ниже в faq. Но если вы хотите майнить скриптовые коины - не проблема, все отличие только в том, что автопулл под них пока что не разрабатываем и вам надо будет выбрать пулл , куда будете майнить (Или саппорт подскажет актуальный пулл под вашу валюту).
Ценовая политика:
Только абонементная работа ( ввиду сложности системы ):
750$ первый месяц работы, 400$ последующие.
В цену включено: 2 панели (лоадера и майнера), exe дроппера, а так же exe майнеров и постоянные обновления.
Частые акции и скидки от нас и наших партнеров!
Оплата любым удобным вам видом валюты - от W1, Yandex Money, WM, Perfect, QIWI и до любого актуального криптокоина!
Популярные вопросы и ответы на них:
- А через гаранта работает?
- Работаем.
- Почему в аренду?
- Потому что система требует тонкой настройки и наш сервер тончайшим образом настроен под данную связку, так же мы не одобряем сливы в паблик.
- Криптовать надо постоянно?
- Лоадер - если хотите что бы боты провисели дольше, то да, следует регулярно обновлять крипт на ботах (таск update по текущим ботам), майнеры криптовать только перед прогрузом, далее они работают независимо от дроппера.
- Сколько живут майнеры в системах?
- Месяцами.
- Вы грузите?
- Сейчас - нет, как начнем - объявим обязательно. Для майнинга подойдет любой микс, будь то снг, азия, европа или сша.
- А почему кварк? Алгоритм малопопулярен и курсы низкие!
- Этому выбору есть несколько причин:
1) Сложность практически не изменяется, таким образом вы будете получать столько же коинов,сколько и получали во все время работы.
2) Алгоритм оптимизирован на работу цпу, таким образом асики не выйдут и курсы/ сложности не обвалятся, как это в данный момент происходит со скриптовыми валютами
3) Майнинг возможен на абсолютно любой конфигурации машины.
4) Произведена глубокая оптимизация, и сейчас сервера с пуллами выдерживают огромные скорости со стороны ботнетов, а так же возможно быстрое расширение парка, для поглощения максимальной доли вырабатываемых коинов из общей сети.
5) Касательно курсов обмена - над этим ведется работа, в течении месяца представим вам кое-что крутое wink.gif
- А сколько выдержат ваши пуллы? У меня парк из 100к ботов!
- И 100к выдержат,и в разы больше. Предоставляем несколько потоков для удобного менеджмента ваших скоростей.
- А я не хочу майнить кварк, хочу майнить дог или лайт или любой другой скриптовый коин!
- Без проблем, как делали, так и будем поддерживать скриптовую версию майнера, но автопулл под него делать не планируем и пуллы поднимать так же.
По всем вопросам писать в наш саппорт:
jid: [email protected]
icq: 498758324
По вопросам технического характера, для владельцев майнера , писать на jid: [email protected]
Google Translated as :
Suggest a stable automatic system for Mining on boats.
Short description - a complete system of "turnkey" for long-term and stable Mining.
Supported currencies: quark (recommended) / scrypt.
The main features:
Drop-system - a miner is automatically installed on the victim machine immediately after progruz loader (size - only 13KB)
Panel - convenient control panel to control the bot, you can watch statistics, exchange rates Coin, progruzhat bots on the third party software and more. Besides the basic functions in the panel included Stiller and formgrabber, maximizing proceeds with bots.
AutoPool - every client we provide convenient panel for mining rates on our pool products with the possibility of switching capacity on the best at any moment! Only for the quark exchange: qrk, src, frq, fz, c-note, wiki (a list will be supplemented, depending on the appearance of new currency exchanges)
This update addresses the following issues:
1) loss of income due to depreciation / increasing complexities
2) ban bots control panel (the loader), when lost the ability to control bots
3) the unavailability of the pull / ban for Pullach
CPUMaxProfit - are working out quark! Now you get the maximum profit from each bot without losing the stability of earnings! Our software supports all available types of quark currencies traded in the market: qrk, src, frq, fz, c-note and wikicoin!
It supports all versions of windows - if earlier it was impossible to develop a quark versions on windows, under Windows 7, it is now possible! Work is guaranteed to any digit, whether 32 or 64bit, as well as on any computer configuration! Though, if earlier significantly decreased income from 32 bit machines, but now the difference is minimal!
Anti-av system - a miner has AutoRecover in the system after the removal, in 7 of 10 cases of removal miner antivirusnikah / hands after reboot it will be restored in the system and will continue to work!
Just when issuing build miner palitsya minimum amount of antivirus, most of which are unpopular. Improvement over fud'a active work. Miner easily crypto, if necessary, give kriptoservisov contacts where you can get a discount at the crypt of our product (work almost 24/7)
Included bypass UAC!
Mining Community - for the owners of our miner provide access to the community, where we discuss all the latest news on a software as well as the possibility to propose his idea for the development project.
Stability - the last 3 months of work we have lost more than 10% of total rate produced a coin and I can safely say that the miners live for months (and maybe godamismile.gif
Bulletproof - each system is located on a powerful server hardware that can support hundreds of thousands of bots. By proxy / loader attached bulletproof domains, and on top of the system imposed by proxy technology FastFlux, thanks to her, you can not fear for their safety during the operation of the system!
Supported Coin - our bot supports any Coin on algorithms quark / scrypt (litecoin, dogecoin, securecoin and others). Currently the system is aimed at developing a quark Coin. Why them? Read below in the faq. But if you want to script Mein Coin - no problem, all the only difference is that under avtopull them yet do not develop and you will have to select a pull, which will Maini (Or tell a support under the actual pull your currency).
Pricing policy:
The subscription only work (due to the complexity of the system):
$ 750 first month, $ 400 the next.
Price includes: 2 panels (loader and miner), exe dropper, as well as exe miners and constant updates.
Frequent promotions and discounts from us and our partners!
Pay any way you view currency - from W1, Yandex Money, WM, Perfect, QIWI prior to any actual kriptokoina!
Popular questions and answers:
- A guarantor through work?
- Working.
- Why rent?
- Because the system requires fine-tuning and our server is configured under the subtlest way this bunch, because we do not approve of public plums.
- Kriptovat must constantly?
- Loader - if you want that bots hung longer, then yes, you should regularly update the crypt on boats (TASK update on current bots), just before the miners kriptovat progruz, then they work regardless of dropper.
- How many miners live in the systems?
- A month.
- Do you ship?
- Now - no, we start - declare mandatory. Suitable for mining any mix, whether CIS, Asia, Europe or the United States.
- And why the quark? Malopopulyaren algorithm and low rates!
- This choice has several reasons:
1) Complexity is practically unchanged, so you'll get the same Coin how to obtain all the work.
2) The algorithm is optimized to work cpu so Asik will not leave and courses / complexity not cave in, as is currently happening with scripted currencies
3) Mining is possible on any machine configuration.
4) Produced deep optimization, and now server Pulliam kept tremendous speeds by botnets, as well as possible the rapid expansion of the park, to absorb the maximum share of the total produced Coin network.
5) Regarding the exchange rates - on this work is being done within a month will introduce you to something cool wink.gif
- And how many will survive your Pulliam? I have a fleet of 100k bots!
- And 100k survive, and many times more. Provide multiple threads for easy management of your speed.
- I do not want Mein quark want Mein dog or light or any other scripting a coin!
- No problem, as we did, and we will support scripting version miner, but avtopull under it and do not plan to raise Pulliam as well.
On all questions write to our support:
jid: [email protected]
icq: 498758324
For questions of a technical nature, for owners miner writing on jid: [email protected]
Thanks again to an Independant researcher from Russia who shared some referer driving to what looks like a TDS I face a new for me infection chain.
![]() |
3 tds call then Nuclear Pack pushing 2 samples |
The .ok call was triggered on mouse move :
![]() |
killbot function in the redirector Not sure how much bot would be stopped by this... |
Two Payloads :
a40db0fb9bfaf25dfddcd1aaf068d133 (Tofsee) and 9d82ce5c093390003a0f8b976610e479 ( an Andromeda)
Here are some request from that Andromeda :
http://yaybit.net/0x0x/image.php | POST /0x0x/image.php HTTP/1.1 |
06/24/2014-01:45:07.423116 [**] [1:2404163:3496] ET CNC Zeus Tracker Reported CnC Server group 14 [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} -> |
06/24/2014-01:45:07.877385 [**] [1:2003492:16] ET MALWARE Suspicious Mozilla User-Agent - Likely Fake (Mozilla/4.0) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} -> |
06/24/2014-01:45:08.566311 [**] [1:2016223:8] ET TROJAN Andromeda Checkin [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} -> |
A look at the C&C:
![]() |
Binary don't lie :) We have an andromeda 2.06 Forked Panel surely based on the leaked version. 2014-06-24 - 57k bots |
![]() |
Meaningfull Background :) |
![]() |
Sky Share version (bottom right of the Panel) |
The botnet was growing really fast. 57k in one week. Then 1 week of rest and a jump in 1 day to 72k total (including dead one) bots.
![]() |
2014-07-01 - 72k bots |
Geo repartition :
![]() |
That Sky Share geo repartition - 2014-06-24 |
![]() |
Tasks List (the miner) |
minerd.exe -a scrypt -o stratum+tcp://zerofloor.net:16166 -u 16166 -p x
![]() |
In the stats it's just the current values of main crypto currencies |
![]() |

The andromeda form grabber :
![]() |
RU/UA focused RegExp |
Someone was selling this kind of setup on underground :
Лодер на базе андромеды прогружает ехе майнера.
В наличии ботнет 27к ботов (боты за ближайшие сутки 24часа).
Отдам всё что давали с лицензией: некриптованый файл лодера, два ехе майнеров(для 32 и 64 битных ос), стиллер-граббер пассов из браузера+грабер кошелей биткоин, доступ на лодер+стата активных майнеров (лодер хотится на FastFlex овнерами майнера - не надо парится за абузы и хостинг) .
Лицензия+не_хилый_парк_ботов= 2300$.
СРОЧНО, пишите в ПМ контакт кому надо.
Причина продажи: срочно нужны деньги.
Loder based Andromeda progruzhat exe miner.
Available 27k botnet bots (bots for the next day 24hours).
I will give all that gave license: nekriptovany file Loder, two miners exe (for 32 and 64 bit OS), Stiller grabber passes from browser + Graber Koshelev Bitcoin, access to Loder + become active miners (Loder hotitsya on FastFlex ovnerami miner - not need for steamed abuzy and hosting).
License + ne_hilyy_park_botov = $ 2300.
URGENT, write to the PM who should be contacted.
Reason for sale: need money urgently.
Author did not reply to questions about the incomes...but we can guess those were not that huge.
So. Bummer. Andromeda and a stratum coin miner. I like that post as less as i liked the "Silence Exploit Kit" one.
Fiddler : NuclearPack_Andro_Tofsee_2014-06-24