Tuesday 30 August 2011

Review of the SpyEye Toolkit v1.3.45

Requested by alot of people, finaly found the motivation to write something.

The pack i got was bought in August, constituted of 5 archives, all strongly password protected by gribodemon himself. (you will never crack it with brute force, trust me)
  • !client.7z
  • !default pack.rev014.7z
  • !ftp pack.rev003.7z
  • !socks pack.rev003.7z
  • !ccgrabber pack.rev001.7z
  • !ffcertgrabber pack.rev001.7z
  • !rdp pack.rev014.7z
  • Sedeb.rev002.7z
These 8 archives make a total size of 824Mb and more than 3,60Gb when unpacked, Sedeb.rev002.7z is the most heaviest file on the package.
This pack is not full, and like cars all is in options, and have a price.
  • Base Builder: $2,000 WMZ
  • FireFox Web Injects: $2,000 WMZ
  • Anti-Rapport: $500 WMZ
  • Socks5: $1,000 WMZ
  • RDP: $3,000 WMZ
  • FTP Back Connect: $300 WMZ
  • Fire Fox Certificate Grabber:  $300 WMZ
  • Credit Card Grabber: $200 WMZ
  • Opera & Chrome Form Grabbers: $1,000 WMZ
These are the prices from late July (which I have not seen change)
Thanks to Sean M. Bodmer of Damballa for that.

!client.7z contain the SpyEye web panel (SYN1 and CN1, Formgrabber and main panel)
 Default configurations:

The formgrabber (SYN1) is a PHP interface used for search infos in the collector database, this admin panel is not intended to be found on the server.

!default pack.rev014.7z is a huge package of folders and subfolders.


!Docs contain the SpyEye Plugin's SDK manual and a 'general' SpyEye manual (in two languages Russian and English)



SpyEye manual changelog.txt:
[ v0.23 | 7:50 26.04.2011 ]
[+] Configuration : Client : Plugins : jabbernotifier

SpyEye Plugin's SDK changelog.txt:
[ v0.22 | 7:50 26.04.2011 ]
[+] API : TakeGatePipeSendMsg

---
On the folder Client you will find the subfolder 'Builder' who contain the builder of course and two 'tools' a 'SpyEye unistaller' and a 'Config decoder'
If you want try SpyEye on your own machine...

Screenshot of the builder with default options and default collectors.txt

unistaller.exe: This tool is for uninstall the bot from system, it use infos contained in settings.ini for proceed.

configdecoder.exe: This tool is for see the contents of config.bin, it use also infos contained in settings.ini for proceed.

configdecoder.exe, is protected by VMProtect.

Builder changelog.txt:
[ v1.3.07 | 0:35 28.01.2011 ]
[!] Теперь трой перетирает config.bin только в случае соответствующей команды из главной панели управления, а не каждый раз при инсталле, как это было раньше
[+] Добавлен хук ntdll!NtSetInformationFile для противодействия удалению файлов троя

[ v1.3.08 | 3:57 29.01.2011 ]
[!] Исправлены баги в модуле скриншотов при работе в IE8+
[~] При работе на x64 ОС, SpyEye имеет теперь собственный отдельный 32-битный процесс (палевнее, но, надёжнее)

[ v1.3.09 | 5:40 29.01.2011 ]
[!] Исправлен баг в функции GetPage() - не грузились URL'ы, содержащие пробелы
[!] Инсталлятор бота, в случае ошибки установки бота, прибивает старого бота. Поиск процесса ведётся по имени. Стало быть, при выборе имени бота, выбирайте имя строго отличное от имён системных сервисов Windows

[ v1.3.10 | 16:30 06.02.2011 ]
[!] Добавлена critical section на доступ к файлу config.bin, при чтении его crc32

[ v1.3.25 | 5:26 14.03.2011 ]
[+] Переписан движок бота по инжекту в процессы, kernel32!CreateRemoteThread() теперь не используется. Вместо этого используется хук ntdll!NtClose().
Такой подход позволяет боту работать в системах, где установлен Trusteer Rapport (Emerald Build 1006.37), т.к. в нём используется хук SDT - NtCreateThread.
Так же это позволяет инжектиться в процессы, принадлежащие другим пользователям, т.к. теперь при вызове NtOpenProcess не используется флаг PROCESS_CREATE_THREAD
[+] Изменена отрисовка курсора на скриншотах. Теперь он полупрозрачный
[+] Добавлен дополнительный функционал по обновлению бота (pe-loader, просто replace exe'шника)
[~] Контент типа "application/x-fcs", "application/x-compress" теперь в коллектор не отправляется, так как считается мусорным
[~] Ключ для автозапуска бота теперь называется немного иначе (сделано с целью того, чтобы не палил Trusteer Rapport)
[~] Убран детект nrgbot'а
[~] Убран детект SpyEyeDetect'а ( http://www.nordea.no/Privat/Internett+og+telefon/R%C3%A5d+om+Internett+og+telefon/Hvordan+benytte+SpyEye+Detection+verkt%C3%B8yet/1469022.html )
[!] Изменён uninstaller
[~] При обращении к гейту, UserAgent теперь определяется динамически, с помощью urlmon!ObtainUserAgentString

[ v1.3.26 | 21:38 16.03.2011 ]
[-] В FF инжектах пофиксен баг при использовании request-хедера Proxy-Connection

[ v1.3.32 | 6:29 26.03.2011 ]
[!] Конфиг несовместим со старыми версиями (изменён configdecoder.exe)
[+] Добавлена поддержка формграбберов для Opera, Chrome (платные модули). Also, скриншоты и кейлоггеры для этих браузеров тоже работают

[ v1.3.33 | 3:16 29.03.2011 ]
[+] Добавилась поддержка self-signed сертификатов при работе с функциями GetPage, GetPage2. Это может быть использовано в плагине customconnector для размещения gate'а на вебсервере с поддержкой ssl.

[ v1.3.34 | 13:00 01.04.2011 ]
[~] В config'е теперь прописывается CRC32 ника владельца билдера

[ v1.3.35 | 22:45 02.04.2011 ]
[!] Пофиксен баг при работе с динамической памятью в формграббере Opera. =/ Баг проявлялся только если в конфиге находился screenshots.txt. Баг мог приводить к крэшу

[ v1.3.36  | 2:06 03.04.2011 ]
[!] Пофиксен коварный баг в вебинжектах браузера FF. ( Проявлялся крайне редко, только в случаях если в заголовке ответа вебсервера было нечто вроде "Content-Length: 022634". В этом случае, длина контента вычислялась в восьмиричной системе счисления, а не в десятичной. Это приводило к тому, что иногда FF не дочитывал страницу до конца )
[*] На заметку для пользователей antirapport'а. Spy по-прежнему противодействует Trusteer Rapport'у, однако, есть основания полагать, что Rapport (Emerald Build 1008.35) имеет базу данных имён exe'шников, которых он блочит прямо во время старта. Стало быть, имеет смысл менять имя exe'шника (и, возможно, имя mutex'а) время от времени. С другой стороны, смена имени exe'шника будет довольно палевным с точки зрения проактивных защит. =/ Поэтому, на данный момент, наиболее оптимальный вариант - это изменение имени exe'шника при каждом новом потоке трафа на связку.

[ v1.3.39  | 14:19 09.04.2011 ]
[+] Добавилась возможность указывать DNS для ресолвинга доменов из конфига customconnector'а и из файла collectors.txt. Подробности в мануале
[!] В последнем Rapport'е (Emerald Build 1008.35), в RapportCerberus_25641.sys был обнаружен код по блокированию работы бота. Исправлено.

[ v1.3.41  | 9:01 26.04.2011 ]
[+] Добавилась поддержка jabber_notifier'а
[~] Пофиксен баг, связанный с отказом в ресолвинге доменов, указанных в collectors.txt, без использования файла dns.txt
[!] В последнем Rapport'е (Emerald Build 1008.35), в RapportCerberus_26169.sys был обнаружен модифицированный код по блокированию работы бота. Исправлено.
Надо сказать, что алгоритм по блокированию как Zeus'а, так и SpyEye'я, в Rapport'е реализован схожим образом - блокирование потока, из которого ведётся запись в ключ реестра, отвечающий за автозапуск троя.
Пока не особо понятно как с этим лучше всего поступать.

[ v1.3.44  | 11:52 03.06.2011 ]
[!] Пофиксен редковстречаемый баг в работе инжектов, связанный с некорректной обработкой enter'ов в тэгах data_before, data_after.
[+] Расширен SDK - добавилось API для загрузки сосбтвенных DLL из памяти, так же как это делает SpyEye с плагинами. Документации пока на эти функции нет, ибо мне влом и я занят. Если потребуется - отправлю сэмпл.
[+] Выяснилось, что Rapport детектит троя по константному названию файла конфига (config.bin). Всвязи с этим, теперь имя файла бота и имя файла конфига псевдорандомизируются, таким образом получаются уникальные имена файлов билда бота и конфига для каждой зараженной машины. Эти файлы не скрываются, но скрывается папка, в которой они находятся (название папки можно задать в билдере, точно так же как раньше задавалось имя exe).
В общем, на данный момент, трой бесшумно работает на системе с установленным раппортом (Emerald Build 1008.42).

[ v1.3.45 | 1:20 07.06.2011 ]
[!] Убран предыдущий фикс по инжектам

Google translate (Russian » English):
[v1.3.07 | 0:35 28.01.2011]
[!] Now triple config.bin fray only when the appropriate command from the main control panel, but not every time installs, as it was before
[+] Added a hook ntdll! NtSetInformationFile to oppose removal of Trojan file

[v1.3.08 | 3:57 29.01.2011]
[!] Fixed some bugs in the module screenshots when running in IE8 +
[~] When you work on x64 OS, SpyEye now has its own separate 32-bit process (palevnee, but reliable)

[V1.3.09 | 5:40 29.01.2011]
[!] Fixed a bug in the function GetPage () - do not load the URLs that contain spaces
[!] Installer bot, in case of an error installing the bot, old nails bot. Search process is carried out by name. So, when choosing a name bot, choose a name other than strictly on the name of Windows system services

[v1.3.10 | 16:30 06.02.2011]
[!] Added critical section to access the file config.bin, when reading his crc32

[v1.3.25 | 5:26 14.03.2011]
[+] Rewritten engine bot to inject into the processes, kernel32! CreateRemoteThread () is no longer used. Instead, it uses a hook ntdll! NtClose ().
This approach allows the bot to work in systems where installed Trusteer Rapport (Emerald Build 1006.37), because It uses hook SDT - NtCreateThread.
Also it can inject into the processes belonging to other users, because Now when you call NtOpenProcess flag is not used PROCESS_CREATE_THREAD
[+] Changed the drawing cursor in the screenshots. Now he is semi-transparent
[+] Added additional functionality to update the bot (pe-loader, just replace exe'shnika)
[~] Content-type "application / x-fcs", "application / x-compress" Now the collector is sent as is rubbish
[~] Key for auto-bot is a bit different now (made to order not fired Trusteer Rapport)
[~] Removed detector nrgbot'a
[~] Removed detector SpyEyeDetect'a ( )
[!] Changed uninstaller
[~] When applying to the gate, UserAgent is now determined dynamically by urlmon! ObtainUserAgentString

[v1.3.26 | 21:38 16.03.2011]
[-] The FF injection produce fixed a bug when using the request-header Proxy-Connection

[v1.3.32 | 6:29 26.03.2011]
[!] Config is not compatible with older versions (modified configdecoder.exe)
[+] Added support for formgrabberov Opera, Chrome (pay-ins). Also, screenshots and keylogging for these browsers are also working

[v1.3.33 | 3:16 29.03.2011]
[+] Added support for self-signed certificates when working with functions GetPage, GetPage2. This can be used in a plug for placement customconnector gate'a the webserver that supports ssl.

[v1.3.34 | 13:00 01.04.2011]
[~] In config'e now prescribed CRC32 nick holder Builder

[v1.3.35 | 22:45 02.04.2011]
[!] Fixed bug when working with dynamic memory in formgrabbere Opera. = / Bug manifested itself only if the config was screenshots.txt. Bug could lead to a crash

[v1.3.36 | 2:06 03.04.2011]
[!] Fixed an insidious bug in the browser vebinzhektah FF. (Seen very rarely, only in cases where a web server in response header was something like "Content-Length: 022 634." In this case, the length of the content was calculated in octal notation, not decimal. This led to what is sometimes not FF finished reading down the page)
[*] Note to users antirapport'a. Spy still opposes Trusteer Rapport'u, however, there is reason to believe that Rapport (Emerald Build 1008.35) has a database of names exe'shnikov, which he just a block during the launch. Therefore, it makes sense to change the name exe'shnika (and possibly the name of mutex'a) from time to time. On the other hand, the name change will be quite exe'shnika palevnym in terms of proactive protection. = / So for now, the best option - it changes the name of exe'shnika every new thread on a bunch of traf.

[v1.3.39 | 14:19 09.04.2011]
[+] Added ability to specify DNS for the domain resolvinga from config file of customconnector'a and collectors.txt. Details in the manual
[!] In the latter Rapport'e (Emerald Build 1008.35), was detected in RapportCerberus_25641.sys code to block the bot. Fixed.

[v1.3.41 | 9:01 26.04.2011]
[+] Added support jabber_notifier'a
[~] Fixed a bug related to failure to resolvinge domains specified in collectors.txt, without using file dns.txt
[!] In the latter Rapport'e (Emerald Build 1008.35), was detected in RapportCerberus_26169.sys modified code to block the bot. Fixed.
I must say that the algorithm is to block as Zeus'a and SpyEye'ya in Rapport'e implemented in a similar way - blocking the flow of which are recorded in the registry key responsible for the startup of Troy.
While not particularly clear how this is best to do.

[v1.3.44 | 11:52 03.06.2011]
[!] Fixed a bug in redkovstrechaemy injector associated with incorrect handling of tags enter'ov data_before, data_after.
[+] Extended SDK - added API to load the DLL from memory sosbtvennyh, as well as it does SpyEye plug-ins. Documentation until these functions are not, for I am broke and I'm busy. If you need to - send a sample.
[+] It was found that Detective Troy Rapport in a constant file name config (config.bin). This makes it important, now the file name and file name of the bot config psevdorandomiziruyutsya thus obtain a unique file names and build a bot config for each infected machine. These files are not hidden, but it hides the folder in which they are located (the folder name can be specified in the builder, just as the earlier name was specified exe).
In general, for now, Troy quietly working on a system with established rapport (Emerald Build 1008.42).

[v1.3.45 | 1:20 07.06.2011]
[!] Removed the fix for the previous injection produce

We return on the 'Client' folder for go into 'Plugins'
  • bugreport.dll - v0.12b
  • customconnector.dll - v0.22
  • ddos.dll - v0.1
  • jabbernotifier.dll - v0.2
  • webfakes.dll - v0.58
3 plugins are provided with source code
(There is more files, for the jabbernotifier and webfakes, but i've see that later and i'm bored to retake the screen)




Webfakes changelog.txt:
[ v0.58 | 8:46 26.04.2011 ]
[-] устанены утечки памяти

Google translate (Russian » English):
[v0.58 | 8:46 26.04.2011]
[-] Fixed a memory leak

Customconnector changelog.txt:
[ v0.22 | 9:14 26.04.2011 ]
[+] Немного оптимизирован протокол ( добавился дополнительный параметр plgstat )
[!] Пофиксен баг связанный с тем, что ответ вебсервера о несуществующей странице (HTTP 404) НЕ воспринимался плагином как сигнал к тому, чтобы использовать следующий по списку гейт. Теперь плагин будет менять гейт, если код статус HTTP-ответа 404 или 500+

Google translate (Russian » English):
[v0.22 | 9:14 26.04.2011]
[+] Slightly optimized protocol (added optional parameter plgstat)
[!] Fixed a bug related to the fact that the answer is a web server on a non-existent page (HTTP 404) NOT plug was seen as a signal to use the next gate on the list. Now the plugin will change the gate if the status code HTTP-response 404 or 500 +

On the 'Tools' folder now we have DNSClient (for specify your own DNS-servers list):


And WebInjectsDev (a set of tools for developing and testing injects):
  • ffhookdll.dll - v0.77
  • iehookdll.dll - v0.77
 changelog.txt:
[ v0.71 | 5:41 21.01.2011 ]
[+] В плагин ffhookdll.dll внедрён код по проверке целостности установленных хуков, всвязи с тем, что на некоторые версиии FF (3.6.8 например) следят за сохранностью функции nspr4!PR_Read;
[+] В обоих плагинах изменён по генерации bot-guid'а (он может использоваться в инжектах, в тэге data_inject, с помощью макроса %BOTNAME%) соответственно тому, как bot-guid генерируется в SpyEye v1.3+;

[ v0.72 | 21:35 16.03.2011 ]
[-] В FF инжектах пофиксен баг при использовании request-хедера Proxy-Connection;

[ v0.73 | 6:20 26.03.2011 ]
[+] Добавлена поддержка макроса %RNDNUM% (может быть использовано, например, с целью предотвращения кэширования при подключении ваших JS-скриптов)

[ v0.74 | 2:06 03.04.2011 ]
[!] Пофиксен баг в вебинжектах браузера FF. Подробности в changelog'е builder'а

[ v0.75 | 14:05 08.04.2011 ]
[-] В iehookdll.dll, в DebugView, не выводились POST-запросы

[ v0.76 | 11:52 03.06.2011 ]
[!] Пофиксен крайне редковстречаемый баг в инжектах. Подробности в changelog'е builder'а

[ v0.77 | 1:18 07.06.2011 ]
[!] Убран предыдущий фикс

Google translate (Russian » English):
[v0.71 | 5:41 21.01.2011]
[+] The plugin code embedded ffhookdll.dll to verify the integrity of installed hooks, makes it possible that on some versions of FF (3.6.8 for example) watch over the safety features nspr4! PR_Read;
[+] Plug-ins in both modified by the generation of bot-guid'a (it can be used in injection produce, in a tag data_inject, with the macro% BOTNAME%) according to how bot-guid generated SpyEye v1.3 +;

[v0.72 | 21:35 16.03.2011]
[-] The FF injection produce fixed a bug when using the request-header Proxy-Connection;

[v0.73 | 6:20 26.03.2011]
[+] Added support for macro% RNDNUM% (may be used, for example, to prevent caching when you connect your JS-scripts)

[v0.74 | 2:06 03.04.2011]
[!] Fixed a bug in the browser vebinzhektah FF. Details changelog'e builder'a

[v0.75 | 14:05 08.04.2011]
[-] The iehookdll.dll, in DebugView, did not consider any requests for POST-

[v0.76 | 11:52 03.06.2011]
[!] Fixed a bug in a very redkovstrechaemy injection produce. Details changelog'e builder'a

[v0.77 | 1:18 07.06.2011]
[!] Removed the previous fix

The 'tools' subfolder:
  • RemoteDLL - Nagareshwar Y Talekar
  • Explorer Suite - NTCore
  • DebugView - Sysinternals
Back to the main folder we go into 'Server'
This folder have two subfolders: 'Main CP' and 'SpyEyeCollector'

Main CP folder contain the 'gate' (malware call home by contacting it):



Gate: v1.2.1
changelog.txt:
[ v1.1.03 | 9:45 29.01.2011 ]
[!] Добавлены недостающие файлы frm_stat_b-loader.php & frm_stat_b_sub-loader.php

[ v1.1.04 | 1:25 30.01.2011 ]
[!] Добавлен ещё один потерянный файл: mod_task_del.php

[ v1.1.05 | 20:10 06.02.2011 ]
[!] Пофиксен небольшой баг, связанный с тем, что админка не удаляла старые плагины ботов, в случае возрастания их количества при update'е конфига

[ v1.1.06 | 0:16 07.02.2011 ]
[+] В интерфейс списка RDP'шных ботов добавился новый столбец "Desktop Settings (WxHxD)"

[ v1.1.07 | 21:29 12.02.2011 ]
[!] Добавлена ещё парочка недостающих файлов: frm_stat_b_sub_graph.php & mod_stat_graph.php

[ v1.2 | 5:06 14.03.2011 ]
[+] Полностью переписана админка. Произошло разделение на клиентскую и серверную часть, а также изменение протокола связи (прямые ссылки до конфига или тела бота теперь не используются, контент файлов транслируется через гейт)

[ v1.2.05 | 6:10 26.03.2011 ]
[+] Добавлен тип задания - unlimited. В задание такого типа автоматически добавляются новоприбывшие боты.
Это повлекло изменение структуры БД. Поэтому, если вы хотите обновиться без сноса БД с ботами, придётся вручную выполнить SQL-запрос: "ALTER TABLE tasks_t ADD COLUMN isUnlimit tinyint(1) NOT NULL;"
[+] Переписан gate installer таким образом, что теперь не требуется включении опции local-infile в настройках mysql сервера
[+] Добавлен redir.php аналогичный Zeus'овскому

[ v1.2.06 | 11:56 09.04.2011 ]
[!] Пофиксен баг приводящий к тому, что некоторые задания не выполнялись, а висели в состоянии "IN PROCESS". Проявлялось это только тогда, когда в один момент времени для бота существовало более одного задания
[-] Раньше gate.php геренировался с short open tag. Теперь, вставляется полный - "
[ v1.2.07 | 9:32 26.04.2011 ]
[+] Добавился код jabber-нотификатора.
Всвязи с этим, добавились новые настройки в таблице configs_t. Если вы намерены использовать jabber-нотификатор и не хотите ни реинсталлить админку, ни добавлять записи в таблицу configs_t вручную, то просто подождите пока первый бот отправит jabber-сообщение в гейт. В этом случае гейт сам добавит недостающие записи, и они появятся в разделе главной админки под названием Settings.
В пакете !client изменился только один файл ( !client\maincp\client\templates\settings.tpl )
[~] Немного оптимизирован протокол (в плане экономии исходящего трафа относительно сервера)

[ v1.2.1 | 9:04 05.06.2011 ]
[!] Исправлен баг при определении IP бота в случае, если вебсервер прослушивал IP 127.0.0.1
[+] Добавлен код для активации тех или иных плагинов ботом

Google translate (Russian » English):
[v1.1.03 | 9:45 29.01.2011]
[!] Added missing files frm_stat_b-loader.php & frm_stat_b_sub-loader.php

[v1.1.04 | 1:25 30.01.2011]
[!] Added another lost file: mod_task_del.php

[v1.1.05 | 20:10 06.02.2011]
[!] Fixed a small bug related to the fact that the Admin did not remove the old plug-bots, in case of increasing the number of config in update'e

[v1.1.06 | 0:16 07.02.2011]
[+] The interface list RDP'shnyh bots added a new column "Desktop Settings (WxHxD)"

[v1.1.07 | 21:29 12.02.2011]
[!] Added a couple more missing files: frm_stat_b_sub_graph.php & mod_stat_graph.php

[v1.2 | 5:06 14.03.2011]
[+] Admin panel has been completely rewritten. Was divided into the client and server, and change the communication protocol (direct links to the bot config, or the body is no longer used, the content files transmitted through the gate)

[v1.2.05 | 6:10 26.03.2011]
[+] Added type of job - unlimited. In this type of job are automatically added to new arrivals boots.
This has led to changes in the structure database. So if you want to update the database without drift with the bots have to manually run SQL-query: "ALTER TABLE tasks_t ADD COLUMN isUnlimit tinyint (1) NOT NULL;"
[+] Rewrote the gate installer so that you no longer want to enable local-infile option in the settings of mysql server
[+] Added redir.php similar Zeus'ovskomu

[v1.2.06 | 11:56 09.04.2011]
[!] Fixed a bug which leads to the fact that some jobs are not executed, and hung in a state of "IN PROCESS". This is manifested only when at one time for the bot, there is more than one job
[-] Earlier gate.php gerenirovalsya with short open tag. Now, insert a full - "

[v1.2.07 | 9:32 26.04.2011]
[+] Add code jabber-notifier.
Because with it, added new settings in the table configs_t. If you intend to use the jabber-notifier and do not want any reinstallit control panel, or add records to the table configs_t manually, just wait until the first boat to send a message to jabber-gate. In this case, the gate will add the missing entries, and they will appear in the main admin called Settings.
This package! Client changed only one file (! Client \ maincp \ client \ templates \ settings.tpl)
[~] Slightly optimized protocol (in terms of cost relative to the outgoing traf server)

[v1.2.1 | 9:04 05.06.2011]
[!] Fixed bug in determining the IP boat in case the web server listens on IP 127.0.0.1
[+] Added code to activate one or another plugin bot

 The SpyEye Collector (a daemon under GNU/Linux OS, essential for collecting information from bots, a victim database if you want):


Collector: v0.3.9
That all for the !default pack.rev014.

Now: !ftp pack.rev003
It contain a folder 'ftpbc' (a plugin for do reverse ftp connections to the bot)
  • ftpbc.dll - v0.5
ftpbc changelog.txt:
[ v0.5 | 7:40 08.02.2011 ]
[-] Пофиксены некоторые баги. Увеличина стабильность

Google translate (Russian » English):
[v0.5 | 7:40 08.02.2011]
[-] Fixed some bugs. increased stability

The second folder is named 'Backconnect Server (for SOCKS5 & FTP)'
backconnect server is used to work with bots through SOCKS5 protocol, or FTP.


version: 0.52
changelog.txt:
[ v0.5 | 7:40 08.02.2011 ]
[+] Параметр admin_port исчез из конфига. Т.е. список соксов из демона можно получить только через mysql базу, реквизиты которой указываются теперь в конфиге
[+] Сервер теперь самостоятельно определяет geoip бота (полезно в случае использовании ботов из множества админок)
[-] Пофиксены некоторые баги. Увеличина стабильность

[ v0.51 | 6:00 14.03.2011 ]
[+] Главный сокет сервера теперь reusable

[ v0.52 | 6:54 26.03.2011 ]
[-] Пофиксен баг при реконнекте mysql - образовывался deadlock, приводящий к зависанию сервера =/

Google translate (Russian » English):
[v0.5 | 7:40 08.02.2011]
[+] The admin_port disappeared from the config. Ie socks list of demon can only be obtained through the mysql database, details of which are specified in the config file now
[+] Server now determines geoip bot (useful if you use bots in the set adminok)
[-] Fixed some bugs. Uvelichina stability

[v0.51 | 6:00 14.03.2011]
[+] Main socket servers are now reusable

[v0.52 | 6:54 26.03.2011]
[-] Fixed a bug in reconnect mysql - formed deadlock, leading to a crash the server = /

That all.
Now the !socks pack.rev003

This pack contain the socks5 plugin (for do reverse connections through a proxy server)

socks5: v0.5
socks5 changelog:
[ v0.5 | 7:40 08.02.2011 ]
[-] Пофиксены некоторые баги. Увеличина стабильность

Google translate (Russian » English):
[v0.5 | 7:40 08.02.2011]
[-] Fixed some bugs. increased stability

The folder 'tools' contain a comercial application named: Proxifier by Initex Software
Gribodemon seem included a keygen:

Mistake here, DVT is team DEVOTiON, but the keygen found inside was made by ZWT (ZERO WAiTiNG TiME)

The second folder is 'Backconnect Server (for SOCKS5 & FTP)'
Exactly the same folder on !ftp pack.rev003.7z

Now the last 7zip file: Sedeb.rev002.7z
Archive contain just a Debian v5.0 image for Oracle Virtual Box
A SpyEye panel is pre-installed on the distribution.


Default config:
Login: user
Password: pw
Root password: pw

SpyEye wallpaper 1920/1080 pixels ~ modified the 16 Jan 2011, workspace:

GNOME Commander:

Iceweasel got paths to the local SpyEye panel in bookmarks

Now for !ccgrabber pack.rev001.
 It just contain the credit card grabber plugin (used to collects credit card information from bots)


ccgraber.dll: v0.12
ccgraber changelog.txt:
[ v0.12 | 8:29 26.01.2011 ]
[!] Устранена проблема совместимости с SpyEye v1.3. Раньше плагин не работал, т.к. использовал старое API


Google translate (Russian » English):
[V0.12 | 8:29 26.01.2011]
[!] Fixed a compatibility problem with SpyEye v1.3. Previously, the plugin does not work, because used the old API

That all for the ccgrabber pack.
Now, for !ffcertgrabber pack.rev001.7z:
It just contain the ffcertgrabber plugin (used to collects certificate information from bots)


ffcertgrabber.dll: v0.13
changelog.txt:
[ v0.13 | 23:58 23.05.2011 ]
[!] Добавлена поддержка FF4

Google translate (Russian » English):
[V0.13 | 23:58 23.05.2011]
[!] Added support for FF4

And the last plugin archive: !rdp pack.rev014
 It contain the RDP BackConnect plugin (used to connect/view bots)


 In the folder 'tools' you will found a portable version of Total commander v7.55 registered to Lili Shen


Total Commander is downloaded from internet and installed into bots.

rdp.dll: v0.75
rdp.dll changelog.txt
[ v0.11 | 16:50 04.02.2011 ]
[!] Пофиксены баги с unhandled exception filters
[+] При прослушивании MyPort'а добавлена дополнительная мера аутентификации

[ v0.12 | 6:01 08.02.2011 ]
[+] Добавлена отправка инфы о текущем разрешении и о глубине цвета на pc холдера

[ v0.13 | 23:16 12.02.2011 ]
[-] Пофиксен баг - в некоторых случаях не открывалось окно RunAsGui Ex

[ v0.6 | 6:03 14.03.2011 ]
[!] Добавлена поддержка Win7 SP1
[-] Исправлен баг при работе на WinVista SP0
[+] Вес плагина теперь всего 44КБ

[ v0.7 | 20:59 25.03.2011 ]
[-] Пофиксены баги на WinVista HB
[~] ptcmd.exe пофиксена ошибка связанная с паковкой zip, gz, tgz архивов

[ v0.72 | 22:13 26.05.2011 ]
[!] Пофиксена ошибка explorer'а 0xc0000142 на некоторых релизах WinXP
[+] Добавилась тулза для прослушивания микрофона на машине холдера (beta)

[ v0.75 | 2:53 07.07.2011 ]
[!] Пофиксена бага на некоторых релизах WinXP SP2 ( заключалась в black screen'е при подключении )
[~] Отключено отображение MessageBox'а о том, что к PC приконнекчен ещё один пользователь в случае, если холдер завершает работу
[~] Улучшен код по работе с микрофоном

Google translate (Russian » English):
[V0.11 | 16:50 04.02.2011]
[!] Fixed bugs with unhandled exception filters
[+] When you hear MyPort'a added an additional measure of authentication

[V0.12 | 6:01 08.02.2011]
[+] Added sending disk imaging on the current resolution and color depth on pc Holder

[V0.13 | 23:16 12.02.2011]
[-] Fixed a bug - in some cases did not open the window RunAsGui Ex

[V0.6 | 6:03 14.03.2011]
[!] Added support for Win7 SP1
[-] Fixed bug when running on WinVista SP0
[+] Weight plug-in is now only 44KB

[V0.7 | 20:59 25.03.2011]
[-] Fixed bugs in WinVista HB
[~] Ptcmd.exe fixed a bug with unpacking zip, gz, tgz archives

[V0.72 | 22:13 26.05.2011]
[!] Fixed error 0xc0000142 explorer on some releases of WinXP
[+] Add TOOLS for listening to the microphone in a car Holder (beta)

[V0.75 | 2:53 07.07.2011]
[!] Fixed a bug in some releases of WinXP SP2 (was black screen'e connection)
[~] Disable MessageBox display that PC to another user prikonnekchen if the holder quits
[^] Improved code to work with a microphone

For the server side you have a folder named 'RDP Backconnect Server'




RDP Backconnect Server daemon (centos x86/debian x86): v0.8
RDP Backconnect Server changelog.txt:
[ v0.12 | 6:01 08.02.2011 ]
[+] Сервер теперь принимает инфо о разрешнии и глубине цвета на PC холдера. (!) Всвязи с этим, при обновлении, не забудьте дропнуть старую таблицу в БД
[!] Всвязи с тем, что статически слинкованный бинарник некорректно работает на некоторых дистрах Linux'а (на CentOS, например), было принято решение о распространении openssh сервера для rdp backconnect'а в виде сорцов

[ v0.13 | 18:38 12.02.2011 ]
[!] Исправлены некоторые ошибки типа buffer overflow. Они могли быть причиной крэша ssh-демона

[ v0.6 | 6:03 14.03.2011 ]
[+] Полностью переписан сервер. OpenSSH теперь не используется.

[ v0.61 | 14:42 15.03.2011 ]
[!] Пофиксены некоторые баги

[ v0.62 | 22:09 26.05.2011 ]
[~] В случае, если коннект с БД нестабилен, можно использовать дополнительные опции в конфиге демона:
* mysql_ntries_to_repeat ( кол-во попыток выполнения sql-запроса в случае ошибки )
* mysql_intervalof_repeat ( пауза между попытками, в сек. )

[ v0.7 | 20:24 02.06.2011 ]
[!] В прошлом релизе RDP-демона, его исполняемый файл, по ошибке, был скомпилен 64-битным компилятором. Из-за этого его невозможно было запустить на 32-битных системах. Однако, текущий, 32-битный исполняемый файл запускается и на 32-битных и на 64-битных системах.
[+] Оптимизирован протокол, снижена нагрузка на сервер

[ v0.75 | 2:28 05.06.2011 ]
[+] Оптимизирован протокол

[ v0.77 | 6:11 10.06.2011 ]
[~] Добавлено автоувеличение лимита на кол-во открытых файлов для текущего процесса
[~] Увеличена стабильность. ( добавлены проверки на корректность выделения динамической памяти ); Пофиксен потенциальный баг при записи в log-файл

[ v0.78 | 16:52 10.06.2011 ]
[+] Снижена нагрузка на БД

[ v0.79 | 12:45 15.06.2011 ]
[+] Оптимизирован код

[ v0.8 | 2:57 07.07.2011 ]
[+] Снова оптимизирован код

Google translate (Russian » English):
[V0.12 | 6:01 08.02.2011]
[+] Server now receives information about razreshnii and color depth on the PC Holder. (!) This makes it important, when you upgrade, do not forget to drop a old table in the database
[!] Because with the fact that the statically linked binary does not work properly on some Linux distro (on CentOS, for example), it was decided to extend openssh server rdp backconnect'a as sortsov

[V0.13 | 18:38 12.02.2011]
[!] Fixed some bugs such as buffer overflow. They could be the cause of Crash ssh-daemon

[V0.6 | 6:03 14.03.2011]
[+] Completely rewritten the server. OpenSSH is now not used.

[V0.61 | 14:42 15.03.2011]
[!] Fixed some bugs

[V0.62 | 22:09 26.05.2011]
[~] If the connection to the database is not stable, you can use the advanced options in the config daemon:
* Mysql_ntries_to_repeat (number of attempts to perform a query in sql-error)
* Mysql_intervalof_repeat (pause between retries in seconds.)

[V0.7 | 20:24 02.06.2011]
[!] Last release of the RDP-daemon's executable file, by mistake, had compiled a 64-bit compiler. Because of this, it was impossible to run on 32-bit systems. However, the current 32-bit executable file runs on both 32-bit and 64-bit systems.
[+] Optimized protocol, reduced load on the server

[V0.75 | 2:28 05.06.2011]
[+] Optimized Protocol

[V0.77 | 6:11 10.06.2011]
[~] Added Autoincrement limit on the number of open files for the current process
[^] Improved stability. (Added validations of dynamic memory allocation) Fixed a potential bug when writing to the log-file

[V0.78 | 16:52 10.06.2011]
[+] Reduced load on the database

[V0.79 | 12:45 15.06.2011]
[+] Optimized code

[V0.8 | 2:57 07.07.2011]
[+] Optimized the code again

Plugin support only x86, x64 architectures are not concerned (for the moment)

That all for the SpyEye toolkit 1.3.45 :þ

Edit: Thanks Groove for your video :')



Take a piece of cake!

15 comments:

  1. Another ammazing post, thanks for the versions infos/price and changelog that really usefull to know that for understand what's he do and how the coder work.
    and happy birthday :)

    --Phil

    ReplyDelete
  2. Happy Birthday, xyl! :)

    ReplyDelete
  3. Happy Birthday!
    Gribo is having a hard time atm ^^

    ReplyDelete
  4. Well, first, happy birthday with late, and 2nd awesome review man! As Phil said, we can see how code work.

    ReplyDelete
  5. Happy birthday
    and thx for nice infos.
    mfg marijuana

    ReplyDelete
  6. Spyeye is on its way to death.

    Author is probably working on the second SpyEye generation. All where development is, is the plugins created by 3rd party authors.

    Most of these plugins which you mentioned in your post are not written by gribodemon himself. :)

    ReplyDelete
  7. @NullZeroX: Gribodemon sell these plugins, he must have the source to develop them (or maybe his team)

    ReplyDelete
  8. Of course, i'm not sure whether he develops them himself...

    I was offered once through my contact that i can write kind of useful plugin that hadn't to be really advanced then i can receive the SpyeEye license for free.

    In this way it's less work for him. This convices me that the some plugins are written by 3rd party authors and he just pay them the same way as i explained before.

    ReplyDelete
  9. Happy late birthday to you Xy. Great article. Thank you for all of your hard work!

    ReplyDelete
  10. Nice Xylibox!---

    ReplyDelete
  11. Happy birthday!I have birthday today too!!!!


    youtube.com/thepredatorwinner

    ReplyDelete
  12. Belated Happy Birthday!

    ReplyDelete
  13. u r great steven k awesome work u do.... M GreatGambler learning from ur site......Ultimate master

    ReplyDelete
  14. Post très intéressant Steven !
    Sans vouloir trop en demander, où est-il possible de télécharger ces fichiers ?

    Encore merci et bonne continuation...

    ReplyDelete