A forum for reverse engineering, OS internals and malware analysis 

Forum for analysis and discussion about malware.
 #4847  by Meriadoc
 Wed Feb 02, 2011 12:24 am
Hi, I'm looking for updated version of Carberp
(or kit would be nice.)

Alias
Trojan.Carberp [Symantec]
Trojan.Win32.Agent2.lpi [Kaspersky Lab]
TrojanDownloader:Win32/Carberp.A [Microsoft]
Attachments
older samples with just grabber.pcp plugin / pass=malware
(139.64 KiB) Downloaded 176 times
 #4876  by Meriadoc
 Fri Feb 04, 2011 11:22 am
Thanks for the samples PX5.

Anything Carberp forthcoming is much appreciated, hopefully a recent sample with new features.
 #5101  by EP_X0FF
 Sat Feb 19, 2011 9:36 am
Runs through Documents and Settings\UserName\Start Menu\Programs\Startup under random name.

To protect itself from removal and for injection purposes patches several Native API's in non trivial manner.
[1280]autoruns.exe-->ntdll.dll-->NtClose, Type: Code Mismatch 0x7C90CFD0 + 6 [9C FB 15 00]
[1280]autoruns.exe-->ntdll.dll-->NtDeviceIoControlFile, Type: Code Mismatch 0x7C90D260 + 6 [A0 FB 15 00]
[1280]autoruns.exe-->ntdll.dll-->NtQueryDirectoryFile, Type: Code Mismatch 0x7C90D750 + 6 [88 FB 15 00]
[1280]autoruns.exe-->ntdll.dll-->NtResumeThread, Type: Code Mismatch 0x7C90DB20 + 6 [78 FB 14 00]
This is mov instruction patch.

Here is example with NtClose
Image

as you see it patched mov edx, offset SharedUserData!SystemCallStub (7ffe0300) which points to KiFastSystemCall routine used to enter privileged mode.

new value points to trojan allocated callgate

Image

which is located inside memory range that belongs to injected trojan decrypted code (60+ Kb)

NtQueryDirectoryFile patch to hide itself from user mode enumeration. Additionally keeps opened handle for exe from svchost.exe copy which it spawns while work.
NtResumeThread patch used to inject trojan code in every new process which is starting by affected process (if Explorer.exe affected then everything starting by Explorer.exe will have trojan copy inside as well). Does not hook/injects into services so tools like Rootkit Revealer/RkU will not flag trojan file as hidden (because it is visible to them).

As payload part - contact C&C and downloads/uploads more stuff, including other executables.
Attachments
another sample, courtesy of Flint_ta
pass: malware

(52.06 KiB) Downloaded 141 times
 #9361  by GMax
 Sat Oct 22, 2011 11:59 am
FileName: info.exe
Size: 154 Kb (157696 byte)
Data/Time compile: 28.10.2006 / 23:16:21 UTC
MD5: 493764d944b84977a2781ecc3c543fea
SHA1: ace5addd418298466f346153e205aaddd883f2d6
virustotal.com Result: 27 /43 (62.8%)

Crypted Mystic Compressor
Image

Unpack file:
Size: 267 Kb (274120 byte)
Data/Time compile: 17.10.2011 / 22:41:57 UTC
MD5: 524abcab94dcd760c45ef65b703cb458
SHA1: 9f427a02927a0f2e56c3ed5c86b9e3dfac7b2f82
virustotal.com Result: 13 /42 (31.0%)

Russian debug string
.rdata:0042D8D8 aIsemFailFlagaO db 'ищем файл флага от буткит дропера на диске С: %s'
.rdata:0042D914 aFailFlagaOtBut db 'файл флага от буткит дропера найден %s'
.rdata:0042D944 aIsemFailBotaRi db 'ищем файл бота ринг3 %s' ; DATA XREF: sub_403490+D9o
.rdata:0042D968 aFailBotaRing3N db 'файл бота ринг3 найден %s' ; DATA XREF: sub_403490+FFo
.rdata:0042D9A4 aFailUdalen db 'Файл удален ' ; DATA XREF: sub_403490:loc_4035D9o
.rdata:0042DBE0 aZagrujaemFail db 'Загружаем файл' ; DATA XREF: sub_404760+12o
.rdata:0042DBFC aOsibkaZasruzki db 'Ошибка зашрузки файла!' ; DATA XREF: sub_404760+4Bo
.rdata:0042DC14 aBotconfig_0 db 'BotConfig',0 ; DATA XREF: sub_404760+50o
.rdata:0042DC20 aFailZagrujen db 'Файл загружен' ; DATA XREF: sub_404760+388o
.rdata:0042DC30 aBotconfig_1 db 'BotConfig',0 ; DATA XREF: sub_404760+38Do
.rdata:0042DC3C aFailKonfigaIzm db 'Файл конфига изменился. Обновляем.'
.rdata:0042DC60 aBotconfig_2 db 'BotConfig',0 ; DATA XREF: sub_404B80+B2o
.rdata:0042EE48 aPoimaliOknoObj db 'поймали окно obj_Form в котором жмем все кнопки'
.rdata:0042EFC0 aIsrunTrue db 'IsRun=true; ' ; DATA XREF: sub_40B0A0+63o
.rdata:0042EFCC aToestNacinaemO db 'тоесть начинаем отлов окон'
.rdata:0042EFFC aIsrunFalse db 'IsRun=false; ' ; DATA XREF: sub_40B0A0+92o
.rdata:0042F009 aToestNeLovimOk db 'тоесть не ловим окна ие ие'
.rdata:0042F044 aToestXaidimGla db 'тоесть хайдим главное окно ие'
.rdata:0042F078 aNaidemTeperIe db 'найдем теперь ие' ; DATA XREF: sub_40B0A0+F8o
.rdata:0042FA34 aPolucaemAktivn db 'Получаем активный хост.' ; DATA XREF: sub_40C7D0+Do
.rdata:0042FA54 aPolusiliXostIz db 'Полусили хост из файла' ; DATA XREF: sub_40C7D0+34o
.rdata:0042FA74 aProverqemXostS db 'Проверяем хост %s' ; DATA XREF: sub_40C7D0+A7o
.rdata:0042FA90 aPolucaemAdresS db 'Получаем адрес скрипта %d' ; DATA XREF: sub_40C8D0+Eo
.rdata:0042FAB4 aPutSkriptaS db 'Путь скрипта %s' ; DATA XREF: sub_40C8D0+4Ao
.rdata:0042FAD4 aAdresSkriptaS db 'Адрес скрипта: %s' ; DATA XREF: sub_40C8D0+B5o
.rdata:0042FAF0 aNeUdalosPoluci db 'Не удалось получить хост. Содержимое массива: ',0Dh,0Ah
.rdata:004300A8 aIdentifikaciqP db 'Идентификация пользователя 1.0.0.28'
.rdata:004300CC aNasliOknoIdent db 'нашли окно идентификатции пользователей'
.rdata:00430194 aVizivaemPotokO db 'Вызываем поток отправки'
.rdata:004301B8 aMocimVspomogat db 'мочим вспомогательные файлы'
.rdata:004301E8 aNastroiki db 'Настройки'
.rdata:004301FC aSvoistvaTocki db 'Свойства точки'
.rdata:0043020C aSvoistvaTock_0 db 'Свойства точки'
.rdata:0043021C aFormiruemVseDa db 'формируем все данные и готовим их к отправке'
.rdata:00430258 aNazvanieS db 'Название: %s',0Dh,0Ah
.rdata:00430268 aKodDileraS db 'Код дилера: %s',0Dh,0Ah
.rdata:0043027C aKodTockiPriema db 'Код точки приема: %s',0Dh,0Ah
.rdata:00430294 aIstocnikKlucei db 'Источник ключей: %s',0Dh,0Ah
.rdata:004302AC aPutKKlucamS db 'Путь к ключам: %s',0Dh,0Ah
.rdata:004302C0 aKodovaqFrazaS db 'Кодовая фраза: %s',0Dh,0Ah
.rdata:004302D4 aPovtorKodovoiF db 'Повтор кодовой фразы: %s',0Dh,0Ah
.rdata:004302F0 aSeriiniiNomerZ db 'Серийный номер закрытого ключа точки: %s',0Dh,0Ah
.rdata:0043031C aSeriiniiNomerO db 'Серийный номер открытого ключа банка: %s',0Dh,0Ah
.rdata:00430364 aSvoistvaPolZov db 'Свойства пользователя'
.rdata:0043037C aSvoistvaPolZ_0 db 'Свойства пользователя'
.rdata:00430394 aLoginS db 'Логин: %s',0Dh,0Ah
.rdata:004303A0 aParolS db 'Пароль: %s',0Dh,0Ah
.rdata:004303B0 aParolS_0 db 'Пароль: %s',0Dh,0Ah
.rdata:004303C0 aKodOperatoraS db 'Код оператора: %s',0Dh,0Ah
.rdata:004303D4 aKodTockiPrie_0 db 'Код точки приема: %s',0Dh,0Ah
.rdata:004303EC aPinKodS db 'Пин код: %s',0Dh,0Ah
.rdata:00430430 aModulPlatejei db 'Модуль платежей*'
.rdata:0043069C aOtpravlqemDann db 'Отправляем данные' ; DATA XREF: sub_40E770+6o
.rdata:004306C0 aDannieDobavlen db 'Данные добавлены в хранилище отправки'
.rdata:004306F8 aObrabativaemPu db 'Обрабатываем путь [%s]' ; DATA XREF: sub_40E820+22o
.rdata:00430720 aZagrujaemPlagi db 'Загружаем плагин' ; DATA XREF: sub_40E820+34o
.rdata:00430744 aPlaginOtsutstv db 'Плагин отсутствует' ; DATA XREF: sub_40E820+6Bo
.rdata:00430768 aVizivaemMetodO db 'Вызываем метод обработки' ; DATA XREF: sub_40E820+B5o
.rdata:00430794 aProverqemDiskS db 'Проверяем диск %s' ; DATA XREF: sub_40E960+Ao
.rdata:004307B8 aZapuskaemProve db 'Запускаем проверку дисков' ; DATA XREF: sub_40EA10+3o
.rdata:00430CAC aTipDokumentaS db '--- Тип документа [%s]' ; DATA XREF: sub_40F9A0+92o
.rdata:00430CC4 aErrDanniiTipDo db '---err Данный тип документов не поддерживается'
.rdata:00430CF4 aRazmerDokument db '--- Размер документа %d' ; DATA XREF: sub_40F9A0+122o
.rdata:00430D0C aErrNeUkazanRaz db '---err Не указан размер документа'
.rdata:00430D34 aProizvodimHtml db '+++++ Производим HTML инжекты'
.rdata:00430D54 aVDokumentVnese db '+++++ В документ внесены изменения'
.rdata:00430D78 aObrabativaemSk db 'Обрабатываем скриншоты' ; DATA XREF: sub_40FE50+1Eo
.rdata:00430D90 aPolucaemXas db 'Получаем хэш' ; DATA XREF: sub_40FE50:loc_40FE94o
.rdata:00430DA0 aOtpravlqemDa_0 db 'Отправляем данные' ; DATA XREF: sub_40FE50:loc_40FED4o
.rdata:00430DC8 aPerexvativaemP db 'Перехватываем POST данные' ; DATA XREF: sub_40FF20+15Co
.rdata:00430DE4 aZaprosNeSoderj db 'Запрос не содержит POST данные'
.rdata:00430E04 aContentTypeS db 'Content-Type: %s',0 ; DATA XREF: sub_40FF20+1DBo
.rdata:00430E18 aTipDannixNePod db 'Тип данных не поддерживается'
.rdata:00430E38 aPostDannieS db 'POST данные: ',0Dh,0Ah ; DATA XREF: sub_40FF20+275o
.rdata:00430E54 aNacaloCteniqDa db 'Начало чтения данных' ; DATA XREF: sub_4102A0+38o
.rdata:00430E6C aProcitanoDBait db '---> Прочитано %d байт' ; DATA XREF: sub_4102A0+91o
.rdata:00430E84 aSoedinenieSSok db 'Соединение с сокетом закрыто'
.rdata:00430EA4 aVozvrasaemDBai db '<--- Возвращаем %d байт' ; DATA XREF: sub_410420+9Eo
.rdata:00430EBC aVseDanniePered db 'Все данные переданы' ; DATA XREF: sub_410420:loc_4104D3o
.rdata:00430ED0 aOtpravkaZapros db 'Отправка запроса на %s' ; DATA XREF: sub_4105C0+2Bo
.rdata:00430EE8 aRazmerBuferaD db 0Dh,0Ah ; DATA XREF: sub_4105C0+44o
.rdata:00430EE8 db 0Dh,0Ah
.rdata:00430EE8 db '(Размер буфера %d)',0Dh,0Ah
.rdata:00430F0C aInjectUrlS db ' >>>>>> Inject URL=%s',0 ; DATA XREF: sub_4105C0+C1o
.rdata:00430F24 aSoedinenieZakr db 0Dh,0Ah ; DATA XREF: sub_4106B0+20o
.rdata:00430F24 db '============== Соединение закрыто ',0Dh,0Ah
.rdata:00430F4B db 0
.rdata:00430F4C aOtkrivaemSoket db 'Открываем сокет' ; DATA XREF: sub_410700+34o
.rdata:00431BA0 unicode 4, <Вход в систему>,0
.rdata:00431BEC aFailNeSozdanPo db 'файл не создан поэтому ловим окна'
.rdata:00431C18 aViborSceta: <Выбор счета>,0
.rdata:00431C4C aPreduprejdenie: <Предупреждение>,0
.rdata:00431C6C aViborScetaHide db 'Выбор счета HIDE, Предупреждение HIDE'
.rdata:00431C94 aIbankPoimaliOk db 'IBANK поймали окошко с титлом'
.rdata:00431CB4 aRedaktorDoku_0: ; DATA XREF: sub_4120C0:loc_41225Bo
.rdata:00431CB4 unicode 4, <Редактор документов>,0
.rdata:00431CE8 aRedaktorDokume db 'Редактор документов HIDE' ; DATA XREF: sub_4120C0+1ECo
.rdata:00431D04 aIbankPoimali_0 db 'IBANK поймали окошко с титлом'
.rdata:00431D24 aOsibka: <Ошибка>,0
.rdata:00431D34 aPoimalosOknoOs db 'поймалось окно Ошибка' ; DATA XREF: sub_4120C0+216o
.rdata:00431D54 aPisemVidio db 'пишем видио'
.rdata:00431D88 aRazberemsqKako db 'Разберемся каково разширение файла ключа Hook_CreateFileW'
.rdata:00431DEC aInformaciq db 'Информация'
.rdata:00431DF8 aInformaciq_0 db 'Информация'
.rdata:00431FC8 aUVasStaraqVers db 'У вас старая версия явы,работа на ней не поддерживается,',0Ah
.rdata:00431FC8 db 'скачайте новую версию на сайте http://www.java.com'
.rdata:004320E8 aOtpravimKaLucs db 'отправим ка лучше Методом Сергея....'
.rdata:00432130 aVrodeOtoslali db 'вроде отослали'
.rdata:00432148 aNexocetOtsilat db 'Нехочет отсылать'
.rdata:00432164 aMocimFaili db 'Мочим файлы'
.rdata:004321DC aXukiStoqt db 'Хуки стоят ' ; DATA XREF: sub_4123F0:loc_412478o
.rdata:004328EC aRegistraciqPol db 'Регистрация пользователя' ; DATA XREF: sub_4128C0+Bo
.rdata:00432908 aPodpisDannix db 'Подпись данных' ; DATA XREF: sub_4128C0+12o
.rdata:00432918 aPodpisISifrova db 'Подпись и шифрование' ; DATA XREF: sub_4128C0+19o
.rdata:00432BCC aVipolnqemHtmlI db '--->> Выполняем HTML инжекты' ; DATA XREF: sub_413E40+6o
.rdata:00432BEC aInjektiUspesno db '--->> Инжекты успешно выполнены'
.rdata:00432C14 aPerexvativaemZ db 'Перехватываем запрос на %s' ; DATA XREF: sub_414240+A8o
.rdata:00432C30 aPerexvativae_0 db 'Перехватываем POST данные' ; DATA XREF: sub_414240+D0o
.rdata:00432C4C aStranicaSoderj db 'Страница содержит инжекты. Меняем заголовки.'
.rdata:00432C90 aZaprosUspesnoO db 'Запрос успешно обработан'
.rdata:00432CC0 aZagrujaemDokum db 'Загружаем документ' ; DATA XREF: sub_4148D0:loc_4148F6o
.rdata:00432CD4 aDokumentZagruj db 'Документ загружен' ; DATA XREF: sub_4148D0+163o
.rdata:00432CE8 aObrabativaemOt db 'Обрабатываем ответ сервера:'
.rdata:00432D04 aKodOtvetaD db 'Код ответа: %d' ; DATA XREF: sub_414B50+64o
.rdata:00432D14 aKontentSNePodd db 'Контент %s не поддерживается!'
.rdata:00432D34 aSoedinenieZa_0 db 'Соединение закрыто' ; DATA XREF: sub_414FA0+57o
.rdata:00432DD4 aInicializaciqI db 'Инициализация InternetExplorer:'
.rdata:00432DF4 aInicializiruem db 'Инициализируем HTML инжекты' ; DATA XREF: sub_4151B0+20o
.rdata:00432E10 aInicializiru_0 db 'Инициализируем модуль хантера'
.rdata:00432E30 aInicializiru_1 db 'Инициализируем грабер сертификатов'
.rdata:00432E54 aInternetAksplo db 'Интернет эксплорер проинициализирован'
.rdata:00432E7C aPerexvatFunkci db 'Перехват функций WinAPI' ; DATA XREF: sub_415230+6o
.rdata:00432E94 aInicializiru_2 db 'Инициализируем глобальные данные'
.rdata:00432EB8 aMenqemNastroik db 'Меняем настройки реестра' ; DATA XREF: sub_415230+2Ao
.rdata:00432ED4 aStavimXuki db 'Ставим хуки' ; DATA XREF: sub_415230+89o
.rdata:00432EE0 aInicializiru_3 db 'Инициализируем BSSSign'
.rdata:00432EF8 aInicializiru_4 db 'Инициализируем Скрытый браузер'
.rdata:00432F18 aZapuskaemVideo db 'Запускаем видео рекордер' ; DATA XREF: sub_415230+1EEo
.rdata:00432F34 aFunkciiWininet db 'Функции WinInet успешно перехвачены'
.rdata:00432F98 aVibor_0: <Выбор счета>
.rdata:00434348 aUVasStaraqVe_0 db 'У вас старая версия явы,работа на ней не поддерживается,',0Ah
.rdata:00434348 db 'скачайте новую версию на сайте http://www.java.com'
.rdata:00434480 aDavaiObnovimIN db 'давай обновим, и насладимся обнавленной версией явы'
.rdata:004348E4 aInformaciq_1 db 'Информация'
.rdata:00434908 aNaidenNujniiPo db 'найден нужный поток'
.rdata:0043495C aPostaviliVseXu db 'поставили все хуки'
.rdata:00434970 aUstanavlivaemK db 'Устанавливаем кейлогер для текушего процесса'
.rdata:004349A8 aSravnimKaVremq db 'сравним ка время создания'
.rdata:004349DC aNacnemOtpravku db 'Начнем отправку с генератции всех необходимых данных'
.rdata:00434A24 aImqFailaEst db 'имя файла есть'
.rdata:00434A38 aXesVizvanoiPro db 'хеш вызваной проги'
.rdata:00434A50 aXesZapuska db 'хеш запуска'
.rdata:00434A60 aXesIzMd5FailaS db 'хеш из мд5 файла скрина'
.rdata:00434A78 aZakodiruemDlqO db 'закодируем для отправки'
.rdata:00434AC8 aOtpraviliCisti db 'отправили, чистим память и переходим к следующим парам файл+ скри'
.rdata:00434B0C aSozdaemIventDl db 'Создаем ивент для включения отправки баланса вебмани'
.rdata:00434B90 aPotokDlqSozdan db 'поток для создании папки для скрина и отслеживания появления в ней данных'
.rdata:00434CBC aDelaemSkrinISo db 'делаем скрин и сохраняем его в файл'
.rdata:00434CE0 aSkrinDoljenBit db 'скрин должен быть уже сделан'
.rdata:0043571C aObrabativaemFa db 'Обрабатываем файл данных %s' ; DATA XREF: sub_41AC30+24o
.rdata:00435740 aOtpravlqemFail db 'Отправляем файл кейлогера %s'
.rdata:00435768 aPotokOtpravkiD db 'Поток отправки данных запущен'
.rdata:00435790 aObrabativaemXr db 'Обрабатываем хранилище отправляемых данных'
.rdata:004357CC aDobavlqemVXran db 'Добавляем в хранилище HTML данные'
.rdata:00435844 aOtpravlqemFa_0 db 'Отправляем файл данных %s' ; DATA XREF: sub_41B350+36o
.rdata:00435868 aOsibkaOtkritiq db 'Ошибка открытия файла. Код ошибки %d'
.rdata:00435898 aVersiqFailaNeP db 'Версия файла не поддерживается'
.rdata:004358C0 aOpredelqemObra db 'Определяем обработчик файда' ; DATA XREF: sub_41B350+E4o
.rdata:004358E4 aNeizvestniiTip db 'Неизвестный тип данных'
.rdata:0043591C aOtpravlqemHtml db 'Отправляем HTML данные на сервер. ',0Dh,0Ah
.rdata:0043596C aHtmlDannieUspe db 'HTML данные успещно отправлены'
.rdata:00435994 aNeUdalosOtprav db 'Не удалось отправить HTML данные'
.rdata:004359C0 aOtpravlqemDa_1 db 'Отправляем данные формграбера'
.rdata:004359E8 aOtpravlqemCabA db 'Отправляем CAB архив с именем [%s]'
.rdata:00435A28 aOtlojennaqOtpr db 'Отложенная отправка cab архива. Система [%s]'
.rdata:00435CA0 aButkitUstanovl db 'Буткит установлен. Игнорируем добавление в автозагрузку.'
.rdata:00435CE4 aDobavlqemBotVA db 'Добавляем бот в автозагрузку.'
.rdata:00435D0C aUdalqemDroper db 'Удаляем дропер' ; DATA XREF: sub_41BBB0+3o
.rdata:00435D5C aVipolnqemKoman db '=====>> Выполняем команду:' ; DATA XREF: sub_41BC10+84o
.rdata:00435D88 aOsibkaServerNe db '=====>> Ошибка: Сервер не доступен!'
.rdata:00435DB4 aOtpravlqemInfo db '=====>> Отправляем информацию о системе'
.rdata:00435DE4 aExplorermain db '----------------- ExplorerMain -----------------',0
.rdata:00436050 aPostZaprosNaS db 'POST запрос на %s' ; DATA XREF: sub_41D640+12Co
.rdata:00436064 aOtpravlqemPost db 'Отправляем POST данные с %s'
.rdata:00436080 aStavimXukiNaOp db 'Ставим хуки на Opera.dll'
.rdata:0043609C aOsibkaPoluceni db 'Ошибка получения адреса функции Opera.dll'
.rdata:004360C8 aOpera_exeObrab db 'Opera.exe обработан' ; DATA XREF: sub_41D930+30o
.rdata:004360DC aOperaObnarujen db 'Опера обнаружена' ; DATA XREF: sub_41D980:loc_41D993o
.rdata:004360F0 aObrabaIvaemFun db 'Обрабаьываем функции Opera.dll'
.rdata:00436110 aOpera_dllObrab db 'Opera.dll обработан' ; DATA XREF: sub_41DA50:loc_41DA88o
.rdata:00436544 aZagrujaemSpiso db 'Загружаем список плагинов'
.rdata:00436560 aPlugins db 'Plugins',0 ; DATA XREF: sub_41DC90+40o
.rdata:00436568 aSpisokPlaginov db 'Список плагинов загружен' ; DATA XREF: sub_41DC90+69o
.rdata:0043658C aPolucaemAdresP db 'Получаем адрес плагина [%s]' ; DATA XREF: sub_41DEC0+24o
.rdata:004365B0 aAdresSpiskaPla db 'Адрес списка плагинов: ',0Dh,0Ah
.rdata:004365DC aNeUdalosPolu_0 db 'Не удалось получить адрес списка плагинов!'
.rdata:00436610 aSoderjimoeSpis db 'Содержимое списка: ',0Dh,0Ah
.rdata:00436634 aPutKPlaginuS db 'Путь к плагину: [%s]' ; DATA XREF: sub_41DEC0+1C8o
.rdata:00436658 aAdresPlaginaS db 'Адрес плагина: [%s]' ; DATA XREF: sub_41DEC0+24Fo
.rdata:0043667C aZagrujaemFailP db 'Загружаем файл плагина [%s]' ; DATA XREF: sub_41E230+19o
.rdata:004366A0 aPlaginSOtsutst db 'Плагин [%s] отсутствует на сервере'
.rdata:004366CC aPlaginSUspesno db 'Плагин [%s] успешно загружен'
.rdata:0043719C aNeDanoSegodnqZ db 'не дано сегодня загрузить сбер, потому что длл нужной нету'
.rdata:00437670 aOtoslemKaKabSo db 'отошлем ка каб со всеми данными'
.rdata:004376C4 aVrodeOtoslal_0 db 'вроде отослали' ; DATA XREF: sub_420160+E0o
.rdata:004376DC aNexocetOtsil_0 db 'Нехочет отсылать' ; DATA XREF: sub_420160:loc_420254o
.rdata:00437760 aObnarujenoUstr db 'Обнаружено устройство %s' ; DATA XREF: sub_420410+Ao
.rdata:00437798 aDobavlqemFaili db 'Добавляем файлы у устройства в архив в папку %s'
.rdata:004377C8 aSber_keylogg_0 db 'SBER_KEYLOGGER',0 ; DATA XREF: sub_420410+8Do
.rdata:004377D8 aSrabotalFilTr_ db 'Сработал фильтр. Ищем флеш устройство'
.rdata:00437800 aSber_keylogg_1 db 'SBER_KEYLOGGER',0 ; DATA XREF: sub_4204F0+8o
.rdata:00438018 aZagrujaemKoman db 'Загружаем команду: ',0Dh,0Ah ; DATA XREF: sub_4254B0+30o
.rdata:00438058 aZtranicaZagruj db 'Зтраница загружена. Код ответа [%d]'
.rdata:00438084 aZagrujeniKoman db 'Загружены команды:',0Dh,0Ah ; DATA XREF: sub_4254B0+C3o
.rdata:004380A4 aOsibkaZagruzki db 'Ошибка загрузки документа'
.rdata:004386A4 aZakrivaemTekus db 'Закрываем текущий фильтр'
.rdata:004386CC aSistemaOtrabot db 'Система отработала. Закрываем файл с данными'
.rdata:00438708 aZapusenaSistem db 'Запущена система кейлогера [%s]'
.rdata:00438734 aZagrujennaqStr db 'Загруженная страница [%s]' ; DATA XREF: sub_427840+1E6o
.rdata:0043875C aZakrivaemSessi db 'Закрываем сессию кейлогера'
.rdata:00438784 aOtpravlqemOtcT db 'Отправляем отчёт кейлогера'
.rdata:004387AC aOtcTUspesnoOtp db 'Отчёт успешно отправлен' ; DATA XREF: sub_428650+DFo
.rdata:004387DC aZagrujaemSpi_0 db 'Загружаем список процессов кейлогера'
.rdata:00438814 aSpisokProcesso db 'Список процессов успешно загружен'
.rdata:00438844 aZapuskaemPotok db 'Запускаем поток обновления списка процессов'
funny string
.rdata:004320E8 aOtpravimKaLucs db 'отправим ка лучше Методом Сергея....'
:-)

С&C
hxxp://95.168.178.21/s/auth.php
Image

FileName: sbtest.plug
Size: 130 Kb (133120 byte)
Data/Time compile: 14.10.2011 / 13:39:34 UTC
MD5: bcd635c563a92b01f44b1dd26493b99c
SHA1: 43b2d84817b868e5039fbbdaf242878b668440e5
virustotal.com Result: 0 /42 (0.0%)
Attachments
pass: malware
(296.47 KiB) Downloaded 146 times
 #9362  by EP_X0FF
 Sat Oct 22, 2011 12:15 pm
Bootkit sounds interesting, aside from it this Carberp works as usual. Have any get lucky to obtain bootkit payload? Or maybe it works together with some other malware?
 #9366  by Xylitol
 Sat Oct 22, 2011 2:57 pm
GMax wrote: С&C
Isn't a carberp panel.
Maybe a external webinjects panel i don't understand russian.

Blasting the shit ~
Code: Select all
hXXp://95.168.178.21/s/includes/
http://95.168.178.21/images/
hXXp://95.168.178.21/icons/
hXXp://95.168.178.21/new/
hXXp://95.168.178.21/css/
hXXp://95.168.178.21/js/
logs:
(14:44:15) Павел: надо в админку добавить
1. смотреть все логи по одному боту!
(14:44:27) Павел: показать всех ботовс RU онлайн чисто! логи по ним
(14:44:30) Павел: чтоб глядеть есть ли баги и тд
(14:45:40) aksoft@188.72.206.204/work: оказать всех ботовс RU онлайн чисто! логи по ним - это уточни
(14:45:57) Павел: ну вот чтобы вывод фильтровало
(14:46:14) Павел: нашло всех ботов у которых такая строка в логах есть:
isOfflineVersion = false isOnlineVersion = true
(14:46:18) Павел: language = RUS
(14:46:30) Павел: и после этого логи по ним всем чисто показала! лог вывела
Image

Image

Image

SQL structure in attach.

edit: removed 'sensitive' folders.
Attachments
(637 Bytes) Downloaded 112 times
 #9807  by ithurricane
 Tue Nov 22, 2011 2:19 am
Hi everyone,

I am looking for the following samples:
Win32/TrojanDownloader.Carberp trojan

This month ESET Virus Researchers discovered new information on a new modification in the
Win32/TrojanDownloader.Carberp trojan family.

Evolution of Win32Carberp: going deeper
http://blog.eset.com/2011/11/21/evoluti ... ing-deeper

new Carberp modification use VBR bootkit infector.
At the time the only known malware utilizing the same bootkit component was the Rovnix bootkit
I am sorry i don't have MD5 or SHA for them.

Thanks