No idea if author trashed it or...
So here you go... in plain text:
Ulocker - софт для монетизации евро загрузок.В качестве оплаты принимает Ukash,Psc ваучеры по 50,100 евро.
На данный момент AT,CH,CY,DE,ES,FI,FR,GR,IT,NL,PL,PT,RO,SE . Вы сможете добалять и изменять количество языков.
Детали:
1.Вес ~22кб без сжатия
2.Убивает MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe, taskmgr.exe
3.Принимает Ukash,Psc.
4.Скрывает пуск и панель.
5.Блокирует системные клавиши.
6.Возможность удалённо менять текст.
7.Не включается при отключенном интернет(Опционально).
8.Автозагрузка.
9. Отлючение Безопасного режима(хп)
10.Висит поверх всех окон.
11.После ввода не снимается.
12. Возможность быстро и удобно добавлять свои языки для работы с конкретными странами(!)
Серверная часть:
1й вариант - без панели пишет в файл дата || ip || ukash || номинал || страна .C psc аналогично.Пишет отклики в файл.
2й вариант - простенькая панель ,вывод ваучеров(ukash,psc) ,вывод откликов.Необходимо Php+MySql.
Отклик - отстук зараженной машины,не обязательно уникальный.
Цена:
Первым 3 покупателям - 250$ 0/3 .
Цена не зависит от варианта серверной части.
Покупателю:
1. Консультации при покупке.
2. Мелкие апдейты бесплатно.
3. Крипт лежит на вас.
4. Помощь в добавлении языков для работы локера. Не создании,а добавлении.На примере,очень просто.
5. Билдера пока нет(!).Ребилд бесплатно.
6. На валид ваучеры не чекаются.Если есть сервисы для чека,можно добавить.
Запрещено:
1. Сливать билд на паблик чекеры АВ.
2. Выкладывать софт.
При нарушении в бан,без возврата средств.
Скрины админки http://www.sendspace.com/file/8rxwjj
Гарант ,проверка приветствуется.
Icq ********
*****@jabber.ru
Сообщение отредактировал xfrzx - 30.07.2012, 13:35
На данный момент AT,CH,CY,DE,ES,FI,FR,GR,IT,NL,PL,PT,RO,SE . Вы сможете добалять и изменять количество языков.
Детали:
1.Вес ~22кб без сжатия
2.Убивает MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe, taskmgr.exe
3.Принимает Ukash,Psc.
4.Скрывает пуск и панель.
5.Блокирует системные клавиши.
6.Возможность удалённо менять текст.
7.Не включается при отключенном интернет(Опционально).
8.Автозагрузка.
9. Отлючение Безопасного режима(хп)
10.Висит поверх всех окон.
11.После ввода не снимается.
12. Возможность быстро и удобно добавлять свои языки для работы с конкретными странами(!)
Серверная часть:
1й вариант - без панели пишет в файл дата || ip || ukash || номинал || страна .C psc аналогично.Пишет отклики в файл.
2й вариант - простенькая панель ,вывод ваучеров(ukash,psc) ,вывод откликов.Необходимо Php+MySql.
Отклик - отстук зараженной машины,не обязательно уникальный.
Цена:
Первым 3 покупателям - 250$ 0/3 .
Цена не зависит от варианта серверной части.
Покупателю:
1. Консультации при покупке.
2. Мелкие апдейты бесплатно.
3. Крипт лежит на вас.
4. Помощь в добавлении языков для работы локера. Не создании,а добавлении.На примере,очень просто.
5. Билдера пока нет(!).Ребилд бесплатно.
6. На валид ваучеры не чекаются.Если есть сервисы для чека,можно добавить.
Запрещено:
1. Сливать билд на паблик чекеры АВ.
2. Выкладывать софт.
При нарушении в бан,без возврата средств.
Скрины админки http://www.sendspace.com/file/8rxwjj
Гарант ,проверка приветствуется.
Icq ********
*****@jabber.ru
Сообщение отредактировал xfrzx - 30.07.2012, 13:35
Now, for the winlock:
Firstly before adding a startup key and everything it call the gate directly:
The gate return your country code ('FR' for me) and use it to call landing:
The landing source is parsed and look if it contain '404' somewhere:
Everything is cool, so we call the same page again
Then it look for "ApplicationJ", if not found, the app crash like a crap later:
So.. let's troll it again:
Everything is cool again, the malware hide himself (READONLY|HIDDEN|SYSTEM)
Finaly he do some shit in registry, FirewallDisableNotify:
He retrieve APPDATA and...
Well, fuck this shit...
Let's have a look on the C&C
• dns: 1 ›› ip: 95.105.73.107 - adresse: HOPOBTOP.HOPTO.ORG
Directory listing enabled, seem the guys is totally dumb:
AT:
CH
CY:
DE:
ES:
FI:
FR:
GR:
IT:
NL:
PL:
PT:
RO:
SE:
RU (This one is interesting because it target Russia and the name of this file was in lower case not like the rest of landing who was in upper case, the page was also added to the server not at the same time as the rest according to the modification date, author have probably do the translation himself):
Russian people can buy Ukash vouchers but no paysafecard, i'm not sure if the guys behind know what's he doing.
ip.txt:
Html2:
Include:
l - копия:
1 (EN):
*.php.bak (ok guys, i will not troll this):
l2:
stat - копия:
Stat:
Stat:
Ukash details:
PSC details:
Ukash simple:
PSC Simple:
Even the panel is lame, based on Aldi bot
Screenshots from the Ulocker coder.
Dashboard:
Ukash:
PaySafeCard:
Ah also... remember SpyEye idiots ?
They are back on Citadel, leaving install folders:
• dns: 1 ›› ip: 89.46.251.181 - adresse: LOMDEBIPS.COM
Thanks Aleksa :)
http://temari.fr/Ulocker-panel-only.zip
Happy birthday Xylitol
ReplyDeletehttp://image.noelshack.com/fichiers/2012/35/1346313949-1345019840226.png
Thanks :)
ReplyDeleteHappy birthday Steven,may you have a great success in what you do and in your life generally :-D .
ReplyDeleteHappy birthday (?) Steven!, from QNX_MIND.
ReplyDeleteComment tu as fais pour obtenir le panel ? Et tu pourrais peut être crack le panel Citadel, non ?
ReplyDeleteBon anniversaire Xyli ! :)
Oh.Happy birthday Xylitol ;)
ReplyDeleteMany happy returns Xylitol ! Hope you have a great Birthday .
ReplyDeleteHappy birthday man, i love your blog, keep writting !
ReplyDeleteHappy birthday!
ReplyDeleteHappy birthday! :) By the way, what's the password for the Ulocker zip?
ReplyDeleteA common password used by the AV industry.
ReplyDeletePlis autor i em password for the Ulocker zip
ReplyDeleteAnonymous if you don't know the password maybe it's not for you :)
ReplyDeleteWhat your pass ulocker.zip Xylitol
ReplyDeleteHappy birthday
need password please man :S
ReplyDeleteThis is a debug version of the panel and the exe. Therefore Directory listing enabled. Next FR.php <> fr.php so is the second request, elementary.
ReplyDeleteWhy do you stifle learning by refusing to tell people the password. Not everyone is a malware researcher, some of us are now learning
ReplyDelete