Thursday, 30 August 2012

Ulocker

I've see the advert on a private carding board if i remember correctly but can't find the thread...
No idea if author trashed it or...
So here you go... in plain text:
Ulocker - софт для монетизации евро загрузок.В качестве оплаты принимает Ukash,Psc ваучеры по 50,100 евро.
На данный момент AT,CH,CY,DE,ES,FI,FR,GR,IT,NL,PL,PT,RO,SE . Вы сможете добалять и изменять количество языков.

Детали:
1.Вес ~22кб без сжатия
2.Убивает MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe, taskmgr.exe
3.Принимает Ukash,Psc.
4.Скрывает пуск и панель.
5.Блокирует системные клавиши.
6.Возможность удалённо менять текст.
7.Не включается при отключенном интернет(Опционально).
8.Автозагрузка.
9. Отлючение Безопасного режима(хп)
10.Висит поверх всех окон.
11.После ввода не снимается.
12. Возможность быстро и удобно добавлять свои языки для работы с конкретными странами(!)

Серверная часть:
1й вариант - без панели пишет в файл дата || ip || ukash || номинал || страна .C psc аналогично.Пишет отклики в файл.
2й вариант - простенькая панель ,вывод ваучеров(ukash,psc) ,вывод откликов.Необходимо Php+MySql.
Отклик - отстук зараженной машины,не обязательно уникальный.

Цена:
Первым 3 покупателям - 250$ 0/3 .
Цена не зависит от варианта серверной части.

Покупателю:
1. Консультации при покупке.
2. Мелкие апдейты бесплатно.
3. Крипт лежит на вас.
4. Помощь в добавлении языков для работы локера. Не создании,а добавлении.На примере,очень просто.
5. Билдера пока нет(!).Ребилд бесплатно.
6. На валид ваучеры не чекаются.Если есть сервисы для чека,можно добавить.

Запрещено:
1. Сливать билд на паблик чекеры АВ.
2. Выкладывать софт.

При нарушении в бан,без возврата средств.
Скрины админки http://www.sendspace.com/file/8rxwjj

Гарант ,проверка приветствуется.
Icq ********
*****@jabber.ru

Сообщение отредактировал xfrzx - 30.07.2012, 13:35

Now, for the winlock:

Firstly before adding a startup key and everything it call the gate directly:

The gate return your country code ('FR' for me) and use it to call landing:

The landing source is parsed and look if it contain '404' somewhere:

Everything is cool, so we call the same page again

Then it look for "ApplicationJ", if not found, the app crash like a crap later:

So.. let's troll it again:

Everything is cool again, the malware hide himself (READONLY|HIDDEN|SYSTEM)

Finaly he do some shit in registry, FirewallDisableNotify:

He retrieve APPDATA and...
Well, fuck this shit...
Let's have a look on the C&C
• dns: 1 ›› ip: 95.105.73.107 - adresse: HOPOBTOP.HOPTO.ORG

Directory listing enabled, seem the guys is totally dumb:

AT:

CH

CY:

DE:

ES:

FI:

FR:

GR:

IT:

NL:

PL:

PT:

RO:

SE:

RU (This one is interesting because it target Russia and the name of this file was in lower case not like the rest of landing who was in upper case, the page was also added to the server not at the same time as the rest according to the modification date, author have probably do the translation himself):
Russian people can buy Ukash vouchers but no paysafecard, i'm not sure if the guys behind know what's he doing.

ip.txt:

Html2:

Include:

l - копия:

1 (EN):

*.php.bak (ok guys, i will not troll this):

l2:

stat - копия:

Stat:

Stat:

Ukash details:

PSC details:

Ukash simple:

PSC Simple:

Even the panel is lame, based on Aldi bot



Screenshots from the Ulocker coder.
 Dashboard:

Ukash:

PaySafeCard:




Ah also... remember SpyEye idiots ?
They are back on Citadel, leaving install folders:

• dns: 1 ›› ip: 89.46.251.181 - adresse: LOMDEBIPS.COM



Thanks Aleksa :)
http://temari.fr/Ulocker-panel-only.zip

18 comments:

  1. Happy birthday Xylitol
    http://image.noelshack.com/fichiers/2012/35/1346313949-1345019840226.png

    ReplyDelete
  2. Happy birthday Steven,may you have a great success in what you do and in your life generally :-D .

    ReplyDelete
  3. Happy birthday (?) Steven!, from QNX_MIND.

    ReplyDelete
  4. Comment tu as fais pour obtenir le panel ? Et tu pourrais peut être crack le panel Citadel, non ?

    Bon anniversaire Xyli ! :)

    ReplyDelete
  5. Many happy returns Xylitol ! Hope you have a great Birthday .

    ReplyDelete
  6. Happy birthday man, i love your blog, keep writting !

    ReplyDelete
  7. Happy birthday! :) By the way, what's the password for the Ulocker zip?

    ReplyDelete
  8. A common password used by the AV industry.

    ReplyDelete
  9. Plis autor i em password for the Ulocker zip

    ReplyDelete
  10. Anonymous if you don't know the password maybe it's not for you :)

    ReplyDelete
  11. What your pass ulocker.zip Xylitol
    Happy birthday

    ReplyDelete
  12. need password please man :S

    ReplyDelete
  13. This is a debug version of the panel and the exe. Therefore Directory listing enabled. Next FR.php <> fr.php so is the second request, elementary.

    ReplyDelete
  14. Why do you stifle learning by refusing to tell people the password. Not everyone is a malware researcher, some of us are now learning

    ReplyDelete