DreamLoader 1.0, продажа нового лоадера

[karabas-barabas]

Рады представить вашему вниманию DREAMLOADER v 1.0

новый на рынке лоадер с новой продвинутой системой внедрения, возможностью использования плагинов, максимальной живучестью и сокрытием себя в системе. Новая концепция реализации лоадера обеспечит высокую эффективность, контроль,гибкость и отдачу от трафика. В первую очередь это лоадер, однако с помощью плагинов может неограниченно
наращивать дополнительный функционал, сохраняя при этом простоту управления.

Характеристики бота:
- написан на с++ с asm вставками, возможность варьировать размер билда от 27 до 42 кб, упакованный и неупакованный соответственно.
- обход множества проактивных защит HIPS, тестировался на нескольких известных АВ-продуктах с мощной проактивкой
- работа в системе без создания процесса и доп модуля в существующих процессах
- использование руткит-технологий для дополнительного сокрытия модуля в системе
- работа во всех версиях windows начиная с NT (2000, XP, 2003, Vista, 7),
как под админом так и под обычным пользователем
- Админка со статистикой по странам,возможностью давать одновременные задания как по странам
так и отдельному боту
- Возможность самообновления бота через админку
- Возможность задания в настройках резервного хоста, который будет использоваться лоадером в случае недоступности основного
- Лоадер написан с использованием Unicode-аналогов функций, поддерживая таким образом
все страны, локали и кодировки
- Использование антиотладочных и антиав трюков, а также дополнительных трюков затрудняющих обнаружение и "поимку"
модулей лоадера
- Благодаря этому после многодневных тестирований на загрузках, бот как не палился, так и не палится
ни одним антивирусом
- Также бот внешне максимально иммитирует безвредное win-приложение, чтобы обходить АВ с параноидальными настройками (напр. Avira)
- Все модули лоадера легко и непринужденно криптуюся сторонними крипторами

Уникальные характеристики бота:
- Лоадер выполнен в виде инсталятора и самодостаточного модуля dll (который и является непосредственно ботом).
Благодаря чему эту дллку можно грузить сразу со связки, подкорректировав шеллкод связки с запуска исполняемого файла,
на подгрузку длл-модуля, обеспечивая таким образом максимальный пробив.
- Лоадер поддерживает несколько видов команд, одна из которых - это установка плагина (.dll), при этом
не нужно заново пробивать все антивирусы и HIPS, также присутствует команда самообновления бота.
- Админка содержит дополнительную вкладку Logs, которая зарезервирована для использования плагинов,
присылающих перехваченные данные.
- Каждый загруженный плагин использует коммуникацию с ботом, и имеет доступ к получаемым
ботом командам и настройкам бота (сервер,гейт...), админка сделана таким образом, что
пользователь сам набирает название команды. Таким образом это придает админке большую гибкость,
при появлявлении новых команд и доп возможностей, не нужно ждать пока админка будет переделываться
и приспособляться, кроме того, весь этот механизм позволяет объединить разные виды ботов в рамках
одной универсальной админки. Не нужно судорожно листать свои блокноты и записные книжки, чтоб вспомнить
данные доступа к админке фтп-бота или ддос-бота .
- Совсем скоро планируется создание множества дополнительных плагинов:
ftpgrab, socks5, ddos, socks5backconnect,keylog и т.д. То есть из лоадера
его можно скомплектовать только нужными вам модулями в свой "зевс"
- Управление лоадером и доп возможностями мы постарались сделать максимально
упрощенно, интуитивно понятно и централизованно.Без лишней избыточности, заморочек
и головоломок.
- первые покупатели бесплатно получат первые 2 плагина, по окончанию их разработки (это скорей всего будет ftpsniffer и socks5).

Цена и поддержка:
- Стоимость одного билда на ваш домен - 550$
- Rebuild на новый домен - 30$
- По поводу чисток,на первых порах советуем вам пользоваться огромным предложением сторонних криптеров, так как
мы не занимаемся профессионально криптом, однако чистки возможны и у нас в случае реальной необходимости.
- возможность приобретения версии с билдером оговаривается отдельно.
- при приобретении лоадера, обеспечиваем бесплатными обновлениями модулями лоадера текущей версии: модуль бота, админка и обновления плугинов.
- всегда оказываем бесплатную поддержку в настройке и установке лоадера.

Связь - 607673570

Скрины:
1
2
3
4
5

 

[DarckSol]

от 30 до 65 кб

Я конечно же уважаю чужой труд и всё такое, но на мой взгляд для лоадера это очень многовато...

 

[karabas-barabas]

Я конечно же уважаю чужой труд и всё такое, но на мой взгляд для лоадера это очень многовато...

размер поправил немного, сжатый UPX-ом 27 кб, если убрать все иконки,манифест и подписи, а также объединить секции при компиляции - размер можно сбить до 18 кб, но вопрос стоит ли оно того ? Мое мнение - однозначно нет, 5-10 кб уж точно роли не сыграют - это лишь твои догадки и стереотипы, что лоадер должен быть 10-15 кб ( что будет добавлять доп "балы" у антивирусов и той же авирой, каспером и др выдавать предупреждение, что файл является подозрительным
, это явно не повысит пробив ).

 

[TrueUser]

Скажу доброе слово в пользу ТС.
С ним работаю давно, то что кодит толково - 100%, кое где подсказывал по этому творению, и результаты тестов знаю не по наслышке.
Сам думаю использовать в некоторых проектах. Что немаловажно для меня - использование самописных плагинов. При желании можно закрыться одним ботом полностью по всем вопросам.

Рекомендую к эксплуатации, ждем обзора от Ареса!

 

[karabas-barabas]

вот хочу предоставить результаты теста, который я решил провести по просьбе клиента, которого заинтересовал мой лоадер...
Испытание проводил на его трафе US + EU mix + mix, огромное спасибо Ar3sу, который согласился предоставить для тестов свою связку, сделав мне там на время реселлерский акк.
К сожаленью, в спешке да и время было позднее, я забыл специально обработать лоадер, чтобы обходить подобные предупреждения проактивок kis, что забрало определнный проц с отстука.
В итоге результат 74% + 3-4%(которые не сразу отстукиваются, связано из-за особенностей пробива) + забыл обработать файл специально - то есть реальный отстук от 80%
ниже прилагаю скрины моей админки и статы связки Ar3sa

1
2

 

[b3jiom]

Взял... пока все зер гут...
ждемс обновок...

karabas-barabas :punk:
довольно приятен в общении и весел)

:fuck:

 

[AluAdib]

Обзорчик бы увидеть)

 

[Ar3s]

2 ALL
Обзор будет. Автор сейчас доделывает новую версию и после обкатки сделаем обзор.

 

[karabas-barabas]

b3jiom

Взял...

ты выдаешь желаемое за действительное
а в остальном я с тобой согласен...

как я уже упоминал в какой-то теме готовлю новую версию лодыря - 1.1 , все не так быстро движется как хотелось бы... теперь лоадер будет в виде только одного екзе, как практика показала - отпадет много гемора и возни с дллкой, что сохранит и преумножит нервы клиентов и их лавэ на чистки
но смысл работы останется прежний - по ситуации он может трансформироваться в длл и обратно в екзе при внедрении в систему. Также революционно новое что я хочу добавить в этой версии это - возможность запуска подгружаемых троев в контексте доверенного процесса, что напорядок снизит детект и повысит отстук прогружаемого софта...также добавиться фича - "режим максимальной выживаемости". вместе с софтом будет выдаваться конфигуратор - где можно будет задавать нужные опции (таймаут, руткит режим, выживаемость). Ну вообщем думаю к концу этой недели будет релиз

 

[ko3ak]

karabas-barabas, привет! Как твоя версия - 1.1 ? Ждем релиза.

 

[karabas-barabas]

сейчас тестирую на пробив , на XP показывает 80-95% , а вот на vista и 7 резко упал пробив - делаю фиксы и экспериментирую, вскоре поправлю.Планирую еще добавить усовершенствованный режим руткита без палева прогами типа Rku и им подобным, чтобы эффект руткита - не стал его демаскирующим эффектом (вот как попался мне один из последних билдов spyeye благодаря его паблик-руткит технологиям быстро вычислил файлики). Идей много времени мало , плюс параллельно несколько проектов веду очень приоритетных.
А также ставлю эксперименты на трафе - как тестирование лодыря , так и ресерчи например статистика % АВ на трафе и др. (желающие помочь всегда велком! )

 

[wwwall]

плагин ftpgrab когда готов будет?

 

[karabas-barabas]

Вышла новая версия продукта - DREAMLOADER 1.2

с новыми интересными и уникальными возможностями,
которые вы не встретите ни в одном известном продукте
на рынке. Мы учитывали опыт использования предыдущих 2
версий, пожелания тех, кто приобрел данный продукт, а также тех
кто заинтересован в приобретении, сделали необходимые выводы
в ходе активного тестирования версии 1.1 (данная версия, носила характер тестовой
и распространялась в основном для тестов в ограниченном кругу людей)
на us трафике. В результате исходный код лоадера был переписан почти наполовину,
по сравнению с версией 1.0,сделаны изменения и добавлены новые возможности:
- добавлена новая команда, которая позволяет запускать полностью корректно ваш exe из образа доверенного процесса, то есть запуск софта происходит в обход антивирусного ПО,влияя, таким образом, на общий пробив софта и на его "спаливаемость". Хотя данная функция идет с приставкой "бета", однако после тестов она показала очень хорошие результаты.

- добавлен новый режим - "режим выживания", который обеспечит повышенную невидимость софта в системе, в обход различных менеджеров автозагрузки , мониторов процессов и модулей,антируткитов,анхукеров и т.д., даже запущенных на разных уровнях привилегий(касательно Vista и 7).Что позволит увеличить период чистоты софта.

- Тело бота, в отличие от версии 1.0, теперь состоит из одного файла - что значительно облегчает, поддержку, использование и крипт софта.

- Написан специальный минибилдер, который позволит самостоятельно изменять все параметры бота кроме основного и резервного доменов, это - путь к гейту, интервал отстука и режимы работы софта.
Также в комплект, добавлено 2 тулзы, для теста новой команды описанной выше и для проверки является ли домен недоступным для софта.

- учтены и исправлены мелкие недочеты предыдущих версий

Цена 600$ на ваш домен + резервный домен ( в случае недоступности основного)
Цена с фтп-плугином 750$

 

[G100M]

Фаерволы я так понял все пробивает?

 

[karabas-barabas]

Все виртуалки пробивает и все фаерволлы, кроме Outpost v 1.0 (на совесть раньше делали софт) !

p.s. много пробивает, но не все - уж очень там много ньюансов разных

 

[System_Matrix]

- добавлен новый режим - "режим выживания"

Avira и Каспер что об этом говорят???

Outpost v 1.0 (на совесть раньше делали софт) !

Это точно :lol2:

 

[gribodemon]

то есть реальный отстук от 80%

ГГ.
Дубли не отсеивал чтоле?

А то будет что-нить типа:

gribodemon (12:15:37 10/10/2010)
Ты бы сделал на всякий случай

gribodemon (12:15:43 10/10/2010)
Чтобы с одним IP не вставлялось

Evgen (12:16:34 10/10/2010)
зачем ? там же по id ориентируется

gribodemon (12:16:48 10/10/2010)
А. Тогда хорошо

Evgen (12:17:18 10/10/2010)
ну я так сделал - что впринципе не должно

Evgen (12:17:41 10/10/2010)
по крайней мере до этого когда я гонял мелкие тесты вроде не было такого

Evgen (12:17:53 10/10/2010)
хотя теритически может быть

gribodemon (12:20:45 10/10/2010)
212.103.201.130__8_118_-832626281
212.103.201.130__8_118_-832626281

gribodemon (12:20:53 10/10/2010)
93.182.144.13__8_221_-251698232
93.182.144.13__8_221_-251698232

gribodemon (12:20:57 10/10/2010)
Фигня какая-то

gribodemon (12:21:02 10/10/2010)
90.218.138.208__9_242_-736948171
90.218.138.208__9_242_-736948171

gribodemon (12:21:04 10/10/2010)
Таких много

gribodemon (12:21:22 10/10/2010)
Сделай короче в базе свой чтобы дубли удалялись

gribodemon (12:21:28 10/10/2010)
Я пока через excel прогоню

gribodemon (12:21:49 10/10/2010)
88 дублей

gribodemon (12:21:51 10/10/2010)
Ничо так

Evgen (12:22:57 10/10/2010)
да я в php не силен

Evgen (13:09:17 10/10/2010)
<?php

if (isset($_POST['id'])&&($_POST['id']) != "kall")
{
$bot_id = $_POST['id'];
$ip_address = $_SERVER['REMOTE_ADDR'];

$file = fopen("db.txt","a");
flock($file, LOCK_EX);
fwrite($file,$ip_address."_".$bot_id."\r\n");
fflush($file);
flock($file, LOCK_UN);
fclose($file);
echo "_pizda_";
}

?>

Evgen (13:09:24 10/10/2010)
это скрипт принимающий

Да и вообще - как считается отстук? До или после того как лоадер встанет в систему?

 

[karabas-barabas]

ГГ. Дубли не отсеивал чтоле?

я понимаю твое тонкое чувство юмора , но ты путаешь грешное с праведным , ты думаешь в моем лоадере вот такая админка ?

if (isset($_POST['id'])&&($_POST['id']) != "kall")
{
  $bot_id = $_POST['id'];
  $ip_address = $_SERVER['REMOTE_ADDR'];
  
  $file = fopen("db.txt","a");
                flock($file, LOCK_EX);
                fwrite($file,$ip_address."_".$bot_id."\r\n");
                fflush($file);
                flock($file, LOCK_UN);
                fclose($file);  
echo "_pizda_";  
}

?>

то что писалось для тестов стукачей было сделано на быструю руку без всяких проверок и пересмотра кода, как сами скрипты так и стукач, хоть в стукаче был небольшой косячок, однако он на результаты теста не сказался (кроме дублей, которые были в итоге удалены ) - ибо тратить вагон времени на их написание и написание админки не хотелось.
Для лоадера админка писалась совсем другим человеком, который в отличие от меня, в php на 2 головы выше меня и много делал подобных проектов, код лоадера постоянно безжалостно тестируются и проверяется на нескольких системах и нескольких АВ ПО с приставкой Internet Security.
Отстук сейчас немного ниже заявленного, но на то время и на том трафе он выдавал 80% +- , но сейчас я вставляю парочку новых обходов и думаю пробив должен заметно увеличиться. Все цифры я говорю на тестах со связки на US трафе , на гавноинсталах показатель близкий к сотне.
В лоадер постоянно добавляются новые фичи - как по пробиву так и трюки по скрытности

Да и вообще - как считается отстук? До или после того как лоадер встанет в систему?

конечно же после и из памяти доверенного процесса

а подсчет ботов по IP это теоретически неправильно, хоть на малых объемах трафа это может и не сказаться...
а то что при тестировании стукачей появились дубли в том минискрипте дало мне новую почву для размышлений...

 

[Left4Dead]

karabas-barabas
На какой связке проводил тест? (тот что с отстуком 80%)
Можно взять софт на тест? (билд на твой домен, твой сервер, я прогружаю 5-10К по связке и смотрим на результаты отстука и отчеты)

 

[karabas-barabas]

to Mr.Bogus
вопрос с тестами и пробивами сейчас решаю с другими людьми, тестируем разные пробивы и обходы - чтобы выбрать лучшее решение для лодыря, постоянно мучительно думаю и изобретаю новые фичи, которые помогут максимально усложнить отлов бота и продлить жизнь ботов в системах, обеспечивая максимальную невидимость в системе , однако можно и погонять, стукни в аську пообщаемся....
то была eleonora

Сейчас готовлю бюджетную версию своего лоадера , седня-завтра планирую выпустить в свет ее. Стоимость 130 баков, впринципе лоадер с хорошими показателями вцелом с возможностью юзать его как лоадера (админ-панель управления) так как и разовый даунлоадер (билдер с неограниченным количеством урл), но как обычно без извращений я не могу - будет добавлено не мало фич которые удут препятсвовать детекту бота и гейта вцелом.