Umbra Loader

[hermalit]

Version:
- 2.0.0 Private

Features:
- unlimited amount of connection host, dont loose bots if host gets shut down
- runs on admin/limited accounts without UAC Popup
- stable on Windows 2000/WindowsXP/WindowsVista/Windows 7
- works on x86/x64
- small size (~12-14 KBytes)
- no dropping Dll's, no TLS, easy to crypt
- written in ASM/Delphi -> no depencies
- small server load, optimized protocol
- Download external/internal file
- Update external/internal file
- multiple commands by country / max. executions
- nice/fast panel
- autoinstallation with install.php
- spreads on usb drives
- unicode compatible
- extendable with plugins

Скриншот|Screenshot

Prices:
Binary - 200$
Reverse Socks5 - 150$
Anti-Analysing/Botkiller/Usermode Unhooking Bundle - 80$
Rebuild - 10$

Payment:
Liberty Reserve only!

Contact:
hermalit@exploit.im

 

[demien]

помню что автор умбры вообще Slayer616, ради интереса погуглил и вправду данному человеку автор разрешил продолжать проект.

Future of Umbra Loader

Yesterday i contacted "hermalit", who created a second version of Umbra Loader himself. He stated that he wants to continue this project, which in my eyes is a really good idea since i ve put so much effort in it.
The only difficulties we both had was about the publication of the sourcecode: He denied to make his current/future work opensource and after a pretty long discussion I accepted his decision.
The main reason was that he wants to sell plugins later, which eventually will be digitally signed, so he can keep control of the published plugins/can earn some extra money...

I wish the best for him and his project. I cant provide links, since he has no website, BUT you can visit him on the skid forum or via jabber:
hermalit@jabber.ru

ссылка на офф блог Slayer616'а

 

[Pernat1y]

Пересобирай @ Продавай.
На месте Слеера, я-бы его нах послал. Но, всем пофиг

 

[hermalit]

Proof:
http://ss-rat.blogspot.de/p/umbra-loader.html

I completely rebuild loader, it has no similarities with Umbra Loader 1.1.0. Sent waaho copy to verify it.

 

[waahoo]

[mod][waahoo:]
Проверка пройдена, лоадер в наличии имеется.

Чуток реверса показал:
- вся работа происходит из своего процесса с использованием WinInet+ShellExecute
- инжекта как небыло так и нет
- под UAC'ом инстальнется в юзерский профиль
- есть BuildIn USB спредер

Единственное качественное изменение которое я увидел, это сокращение размера до 14кб (то что мне удалось найти в паблике весило ~62кб) и отсутствие TLS.

зы: бот отстукивает в админку каждые 2 минуты, а она, админка, постоянно выдает боту текущие установленные команды и похуй ей выполнял бот задание или нет. может баг, а может так и было задумано.
[/mod]

 

[shyrka]

Ну если нет инжекта , то какой процент отстука , и какой процент что он скачает и запустит файл??

 

[hermalit]

- ShellExecuteW replaced with CreateProcessW
- Injection optionally added

Injection is disabled because it will alert up behavior scanners. I implemented it today, if you want it, i will enable it in the build for you (Free).

 

[Ragnar]

lol, it depends on injection method.
don't use writeprocessmemory\createremotethread.
btw normal behavior scanner won't allow even to execute file from browser(I don't mean java in this case)

 

[BUNNN]

@hermalit This has traffic encryption ?

Btw, the loader looks fine to me.

 

[Left4Dead]

хотел сперва гневно отписаться по поводу коммерческих говнопродуктов типа этого ShellExecute-ра (лоадером назвать язык не поворачивается), но потом подумал - а че, лохи пускай покупают, вливают деньги в экономику андерграунда

 

[DarckSol]

Сори за Офф....
Но в СКРИНЕ админки, отображаемая версия только меня смутила? Или так задумано?

 

[waahoo]

DarckSol, я тоже на это обратил внимание, но автор в районе тех версий и передал умбру вроде как, да и это всего лишь константа в бинарнике, написать можно хоть 5.8.21, сути это не меняет.

 

[hermalit]

@DarkSol Its an old Screenshot, do not mind version numbers.
@Left4Dead: No ShellExecuteW execution anymore.