Wednesday, 21 December 2011

Malware Guard

English Translation by @Sherb1n

Malware Guard - Cyber Criminals now track their enemies

Malware Guard is a netfilter/iptables module for class-based filtering of incoming/outgoing packets.

 Purpose of the product - building a database of IP addresses belonging to leading anti-cybercrime organizations. Low update prices make Malware Guard an affordable system for protecting your admin servers, kits, and domains.

Specifications for version 0.1.7

- 7,881,166 IPv4 addresses. That's 0.18% of the entire IPv4 space.
- Database compression through subnet grouping.
- Extremely fast packet checks thanks to Linux kernel patch.

Data collection methods:

- RIPE scans.
- Fake collectors for SpyEYE, IRC networks, etc.
- Info on fresh FBI honeypots from an Insider.
...other more effective methods that we will not name here.

- All buyers will be verified through PM here on the forum, people with shady reputation will be turned down.
- Reselling is forbidden.
- We do not guarantee that your domain will not be black-listed. It's very easy to get burned (content analyzers in your browsers, abuse complaints, etc.)
- We do not answer questions that are not related to Malware Guard

By purchasing a license, you agree to abide by these terms.

Price list

1 server license: $250 (while in beta)
DB update: $10



Malware Guard — модуль для netfilter/iptables, позволяющий фильтровать входящие/исходящие пакеты по их классификации.
Цель продукта — регулярный сбор базы данных IP адресов, организации ведущих активную борьбу с кибер-преступностью.
Демократичные цены на обновление баз данных, делают «Malware Guard» доступной системой защиты Ваших админок, связок, доменов.

Технические характеристики версии 0.1.7

7 881 166 адресов IPv4. 0.18% от общего числа.
Компрессия базы данных за счет группировки в диапазоны(subnet)
Максимально быстрая проверка пакетов, за счет патча ядра Linux'a.

Методы сбора данных

Сканирование RIPE.
Фейковые коллекторы SpyEYE, IRC-сети, etc
Получение самых актуальных ФБР honeypot'ов от Инсайдера.
... более эффективные методы, которые останутся за кадром
— Все баеры верифицируются через ПМ на форуме, людям с смутной репутацией будет отказано в продаже.
— Перепродажа запрещена.
— Сервис НЕ гарантирует чистоту Ваших доменов. Спалится можно на чем угодно(анализаторы контента в Ваших же браузерах, абузы, etc)
— Сервис не отвечает на вопросы, не связанные с Malware Guard.

Покупая лицензию, Вы соглашаетесь с данными правилами.


Лицензия на 1 сервер: $250(в рамках beta-тестирования)
Обновление базы данных: $10

Saturday, 24 September 2011

Web Spam System

English translation by @Sherb1n

Frequently Asked Questions

What is this software and how does it work?
Before you begin
Creating mailing tasks

What is this software and how does it work?

What is web-spam (web-mailing, webmail)?

In a nutshell, it’s automated spamming via webmail interface (yahoo, gmail,, etc), using real email accounts registered with these email providers.

This software:

- uses a given set of SOCKS proxies to log into real email accounts (you have to supply those),
- performs the necessary tasks (sends emails),
- resolves CAPTCHAs if needed (using an anti-captcha service) and
- terminates the session

In other words, it fully imitates actions of a real user.

The software supports multiple concurrent sessions for faster spamming; SOCKS proxies allow every session to have a unique IP!

This web-spam system can have the highest inbox ratio (emails that arrive directly into the Inbox folder), depending on your approach to creating and managing the spam tasks. With a proper approach and if you really want it, you can achieve a 100% inbox ratio!

Before you begin

Here’s what you need:

1) SOCKS list (50+ fresh SOCKS every 10-30 minutes) at least (!); the more the better…
2) or email accounts (always available on
3) Anti-CAPTCHA account (, I can provide an invite if you’re not registered there yet.

So, now that you’ve got that:

Load the interface, enter login/password, and open the main page.

Take a look at the menu bar on the right.

1) In the “CAPTCHA balance” section: go to ‘change key’, and enter the key from your account (located at TOOLS – ACCOUNT SETTINGS – “Your CAPTCHA key”).

2) In the “SOCKS-list” section: enter your SOCKS-list URL into the “Load SOCKS proxies from URL:” box and click “Send”. If you don’t have a SOCKS-list and want to use disposable SOCKS, you can load them from a file (using the “Load SOCKS proxies from file” option).

Now you’re all set, proceed to spam tasks.

Creating mailing tasks

Let’s proceed to the main part of the system.

1) “My mailing tasks” menu. This is the main module for creating/managing your email tasks.

At the time when this help is written, the popup menu in the “My mailing tasks” section has 2 modules: for and The setup is the same on ALL modules. Contact me on ICQ to find out which one is better for

Click on either module to proceed. The main page has 2 menus (1. “List”, 2. “New Task”). The “List” menu shows all your mailing tasks (Created, Running, Paused, etc); it’s currently empty. Click “New Task” to get a form with a bunch of fields to fill out. Here’s what they are for:

a. Load a list of Hotmail accounts from a file. These are the accounts to send emails FROM. Make sure that the list is in the account:password format, one account per line!

There’s also a “Replace the accounts with the new list” option in this section. Use it when loading a new list of accounts, because otherwise the new accounts will just be appended to the list of old accounts.

b. Load the database of target addresses from a file. These are the accounts to send emails TO. Please note that the “Replace the accounts with the new list” option in this section works in the same way as above.

“Database format”: this describes the format of your email list. If it’s a standard format (one email address per line), keep the first option; if your list fits the second pattern (“name” for example “Alexey Nikolaev”), pick the second option. If you are using a non-standard database, write your own format.

“Email” is a required field name to let the system know where emails are located. If you have questions in the area of non-standard list formatting, feel free to ask me, I’ll help you out.

One more thing: loading DBs with over 1 million emails is NOT RECOMMENDED. Ideally, you should split your large DB into lists of UNDER 1 million addresses and spam each of them separately.

c. Email subject list. These are what goes into the Subject field of your emails. One subject per line. Subjects are randomly selected, each new message goes out with a new Subject, until all the subjects in the list are used up, and then the list is recycled. Synonymization is supported as well.

d. Email text. This is where the body of your message goes. Texts should be RANDOMIZED, I’m going to describe the process in detail below. Synonymization is supported here as well.

e. The number of messages to send per account per session. This field sets the number of emails that will be sent from a single email account (loaded in section a) above). The optimal setting here will be different for everyone, because the more emails per account you’re sending, the more CAPTCHAs you’re going to get (which affects the speed of email processing and your anti-CAPTCHA balance). My optimal setting here is 15. You can experiment with it and see which number works better for you.

f. Senders’ names. This is the name (not email address) that will be displayed on the incoming message! For example, “James Bond”. Try to put more names here (at least 15-20). Format: one name per line.

g. Email address used in the Reply-To header. This is where you specify the email address(es) that will be used for replies. When the recipient clicks “REPLY”, the message will be sent to these addresses!
When using this field, you DON’T HAVE TO specify the same return email address in the body of the message, but it’s a personal preference, you can if you want to.

h. Email content type. “Text” if you’re sending plain-text message, and “HTML” if you’re sending an HTML email. When “HTML” is used, make sure that the message body (section d)) uses HTML source code.

i. Attachment name, without the extension. This is the file you are attaching to the email. If you don’t use attachments (don’t attach files to your messages), leave this field as it is (blank). If you do use attachments, specify the file name you want to create (sysnonymization is supported). You can attach up to 3 files in the fields below. If you leave the “Attachment name” field blank, the attachment will preserve it original name (for example, Foto.jpg).

Fill out all the fields, double-check, click “Save” and wait for the data to load into the system. When the data is successfully loaded, you will see a preview window that will show what your email will look like to the recipient.

If you chose to use randomization/synonymization, the preview window will display a random email version.

If you find a mistake or decide to change something else, you can go back to the Edit mode by clicking “MODIFY”. Please note that when in Edit mode, you don’t need to RELOAD the lists of email addresses, sender accounts, etc., all that is already saved. Just correct/add/modify whatever you need and press “SAVE”.

The setup is complete. You can view the status of your email task in the “My email tasks” menu. To launch the task press “Start”.

Upon initialization, you will see a notice that the task is started. Spamming will begin within a couple of minutes. You can always see the statistics of how many emails have been sent simply by selecting “My email tasks”. By refreshing this section you will be able to see the current stats of how many emails have been sent (in the PROGRESS section). The first value is the number of emails sent, the second one is the total number of emails in your Spam Database.


Randomization is used to make every text unique. The more randomized the text is, the greater the number of unique emails you send. Why randomize? The answer is simple – to avoid triggering text filters, it’s a very important aspect of middle and large email campaigns. Remember, the inbox rate often depends on how well you have randomized your emails.This software uses the following randomization types at this time:
1) Synonymization (using synonyms)
Format: (Hi|Hello|Good day).
What does that mean? When a new email is sent, only one of the 3 above-mentioned words will be used. Here’s an example of a short message using synonymization:

(Hi|Hello|Good day) Alex.
How are you?
(Bye|Good Bye|Good luck).

So, the system will continue to send out unique emails until it uses up all of the synonyms, and then it starts over again. Here’s an example of a random email using the above setup:

Hello Alex.
How are you?
Good luck.

The next email will be different, using other words from the list…

You can randomize entire sentences and expressions!
Synonymization also supports unlimited nested expressions! For example:
(Hi (Masha|Dasha|Katya)|Hello(Marina|Vika|Valentina)).

DON’T forget to close parentheses! Check your format, or it won’t work!

2) Random line order.

Line 1
Line 2
Line 3

Every new message using this type of randomization will use lines in random order, which will result in a different text structure. Can be used together with synonymization.

3) Email databases can have different formats, and it’s possible that you have a name-email database (meaning that for each email you also have the email owner’s first and last name), and want to use this information in your messages.

{email} = recipient’s email.
{name} = recipient’s name.


Hello {name}.
You email is {email}.

What you get as a result (for example):

Hello, Alexey Popov,
You e-mail is

To make it work properly, make sure to set up your spam database correctly!

4) Whenever you just need unique alphanumeric strings you can use the following variables:

{id} – this is timestamp (number of milliseconds since 1900)
{hash} = md5({id}) – this is hash of the timestamp


Using the above-mentioned randomization types, either together or separately (whatever works for you), you can achieve a high inbox rate!


Q: Anti-CAPTCHA ( needs an invite for registration, where do I get that?
A: Contact me on ICQ, I’ll get you an invite.

Q: How many CAPTCHAs does spamming process consume?
A: The amount of CAPTCHAs spent depends on many factors: the number of SOCKS you use, the number of messages sent per account per session, the mail server configuration (this one can change a lot, for example Having to solve lots of CAPTCHAs slows down the mailing process, so don’t set the number of emails sent per account per session to something very large; optimal number is 15 (give or take some, see for yourself), find your own number through trial and error.

Q: Why do some emails get delivered to Spam folder and sometimes don’t get delivered at all, especially on large domains like
A: This often depends on you. To minimize the number of mishaps like this use high-quality materials (good SOCKS proxies, fresh outgoing accounts) and better randomize your texts. Don’t keep reusing the same text for a long time!

Q: Why does the module sometimes hangs up while spamming?
A: The issue is with the SOCKS. Most probably you’re using proxies from, and module doesn’t work well with those.

Q: What kind of accounts are better for spamming: auto-registered or accounts from logs?
A: Accounts from logs are ideal: they are better quality, allow you to send more emails per account, not as many CAPTCHAs. Auto-registered accounts are fine, too, but have lower sending limits, which increases your costs!

Where can you buy the materials?
This section provides contact information for a variety of suppliers who are successful in their field and have been tested by the users of our system!

Accounts for sale:

Accounts from logs – you can always buy them from me, from $30 per 1K of valid accounts. I almost always have them available. I DON’T SELL AUTO-REGGED accounts!

ICQ: 246621644 (evro) – the guy has been pretty successful at selling AUTO-REGGED accounts from a variety of email providers for a long time! Advantages: nice pricing, and the first account CAPTCHA is already solved! – Excellent automated webstore of auto-regged accounts (registered using software) from a variety of email providers, good prices! – Automated webstore of auto-regged accounts (registered using software) from a variety of email providers, average prices. – Automated webstore of auto-regged accounts (registered using software) from a variety of email providers, prices are a bit inflated.

SOCKS for sale:

There are both low-budget and high-quality solutions in this category. The difference is in price and quality. Of course, you can use low-budget options with moderate results (many people do just this), but the speed and quality suffers, and even CAPTCHA consumption may increase.

Low-budget solutions: – it’s better to buy their service for a whole week, otherwise you don’t get the option to export proxies to URL (you need the URL when setting up the system). The quality is so-so, but it works! module doesn’t work well with these SOCKS, is satisfactory. – An OK combination of speed and quality. Average prices. BUT for the same money (and even cheaper) it’s better to use (read more below). This option can be used when is temporarily out of service, etc.

Higher-quality solutions: – Excellent SOCKS for your money! The best option at the moment! All modules work great! The prices are very decent! General mix 500 is the optimal package for any spam task!
Please use the URL above to register! – An adequate service with a variety of subscription plans and excellent back-connect SOCKS proxies. A minimal package of 50-100 SOCKS proxies will be good enough for work, but if you rent a dedicated server then it’s better to get more.

ICQ: 448845 – A pretty good seller of average SOCKS proxies. 1000 proxies with 10 minute refresh: $100/week. Double-check with him via ICQ.

Redirects for sale:

Redirects are required if you spam out a URL in your emails, they allow you to avoid URL-based bans. You can buy redirects from people on forums or from stores. Unfortunately, we cannot recommend anyone in this category at this time. Look for contacts on forums or ask your friends.

Email databases for sale:

Unfortunately, we cannot recommend anyone in this category at this time: there aren’t any. Look for these databases on forums, ask your friends, etc.

Original Version

Что это за софт и как он работает?
Подготовка к работе
Создание рассылок
Вопрос - Ответ
Где покупать материалы

Что это за софт и как он работает?
Что такое вебспам (вебмайлинг, вебмыл)?
Вкратце, это автоматизированные рассылки посредством веб-интерфейса почтовых служб (яху, гмаил, маил и пр.), использующие реальные зарегистрированные аккаунты используемой почтовой службы.

Суть работы софта заключается в том, что он используя заданные соксы логинится под реально существующими аккаунтами (которые вы загрузили) в почтовую службу, выполняет необходимые действия (отправляет письма), при необходимости вводит капчу (используя сервис антикапчи) и завершает сеанс, т.е. полностью имитирует действия реального пользователя.

Высокая скорость рассылок достигается за счет многопоточной работы софта, а уникальность каждого сеанса по IP обеспечивается за счет использования соксов!

Данная система веб-спама предназначена для e-mail рассылок с максимальным инбоксом (письма попадающие в папку входящие), процент которого будет зависеть от Вашего подхода к созданию и управлению рассылками! При надлежащем подходе и желании Вы сможете добиться до 100% инбокса!

Подготовка к работе
Для работы с системой от Вас требуется:

1) Сокс лист (от 50 обновляемых соксов каждые 10-30 минут) это минимум (!) лучше больше..
2) Аккаунты или (купить можно всегда на
3) Аккаунт на антикапче (, инвайт для регистрации я выдам, если Вы там не зарегистрированы.

Итак, Вы все подготовили, приобрели.
Заходим в интерфейс, авторизуемся (вводим имя/пароль) попадаем на главную страницу. Видим с правой стороны колонку с меню.

1) Раздел "Баланс капчи", в нем выбираем сменить ключ, после чего вписываем ключ с Вашего акка
антикапчи (находится он там в меню ИНСТРУМЕНТЫ - НАСТРОЙКИ АККАУНТА - графа "ваш captcha ключ").

2) Меню "Сокс-лист". Видим поле "Загрузить список socks-прокси по URL: " прописываем туда ссылку на Ваш
сокс лист, затем нажимаем "отправить". Если у Вас нет сокс листа, а только разовые соксы, то загружаете
их из файла (графа "Загрузить список socks-прокси из файла).

Подготовка завершена, теперь Вы готовы к рассылкам.

Создание рассылок
Итак, теперь переходим к основной части системы.

1) Меню "Мои рассылки". Это основный модуль для создрания/управления Вашими e-mail рассылками.
Заходим в меню "Мои рассылки", во всплывающем меню появляется на выбор (на момент написания этого хэлпа)
2 модуля рассылок и В плане подготвки управления рассылками ВСЕ модули
работают одинаково. Когда каким лучше спамить Вы можете спросить у меня в аське. Выбираем любой модуль
нажав на него. На основной странице видим 2 меню (1. Список 2.Новая рассылка). Меню список показывает Ваши
рассылки (созданные,запущенные, рассылки на паузе и т.д.) у нас он пока пустой. Выбираем "Новая рассылка",
после чего попадаем в форму со множеством полей для заполнения, сейчас расскажу суть каждого из них.

а) Загрузить список аккаунтов из файла. Это файл с Вашими аккаунтами ДЛЯ рассылки. Обратите внимание,
что формат акков должен быть акк:пароль, один акк на одной строке!
Также в этом разделе есть опция "Заменить аккаунты новым списком" она нужна при загрузке новых акков, т.к. старые аккаунты
которые Вы уже добавляли в базу сами не удаляются, каждая новая загрузка акков (если тут не стоит галочка) добавляет Ваши
Новые аккаута к тем, что уже были добавлены Вами ранее.

б) Загрузить базу рассылки (адресатов) из файла. Это Ваша e-mail база ПО КОТОРОЙ Вы будете спамить.
Обратите внимание, что опция "Заменить базу новым списком" работает также как Вышеописанная опция по аккам.
Формат базы: - это формат Вашей e-mail базы. Если она стандартная (одно мыло на каждой строке) то оставляйте первый вариант,
если формат базы соотвествует маске второго варианта "name" например "Alexey Nikolaev" то выбирайте
второй вариант. Если у Вас нестандартная база Вы можете сами написать для нее маску. Обязательное поле маски "email"
чтобы система понимала, что это мыло. Если будут вопросы по нестандартным форматам базы и нужна будет помощь или консультация
по составлению маски можете спросить у меня, я подскажу. Еще момент, загружать базы более 1 миллиона адресов одним файлом НЕ РЕКОМЕНДУЕТСЯ,
в идеале разбейте базу (если она у вас большая) на несколько количеством ДО 1 миллиона каждая и спамьте поочередно.

в) Список тем письма. Это темы (сабжи/заголовки) Вашего письма. Одна тема на одной строке. Работает рандомно, каждое новое письмо
с новой темой (и так по кругу, т.е. когда заканчиваются неуспользованные темы софт снова начинает перебирать их с первой. (поддерживается

г) Текст письма. Здесь собственно пишется текст Вашего письма. Тексты надо РАНДОМИЗИРОВАТЬ, чуть ниже будет описан этот процесс
подробно. (поддерживается синонимизация)

д) Количество писем, отправляемых с одного аккаунта за сессию. Это поле устанаваливает значение сколько писем отправлять с одного
почтового аккаунта (которые Вы загрузили, смотри пункт а). Оптимальное значение для всех разное, т.к. если отправляем больше писем
с одного акка, получаем больше капчи (что влияет на скорость рассылки и баланс антикапчи). Оптимальное значение 15, Вы можете
экспериментировать с этими значениями и выбирать, какие Вам больше подходят.

е) Имена отправителей. Имя отправителя (не email) от которого будет приходить письмо адресату! Например James Bond. Имен ставьте по
возможности больше (от 15-20). Формат - одно имя на одной строке.

ж) Адрес для заголовка Reply-To в письме. Здесь Вы указываете Ваше мыло или мыла, на которые Вам будут отвечать, когда получатель
получит Ваше письмо и нажмет ОТВЕТИТЬ именно это мыло будет указано в получателе! Используя это поле НЕ оБЯЗАТЕЛЬНО дублировать
Ваше мыло в тексте письма, но можно, кому как нравится.

з) Тип содержимого письма. Текст - если Вы шлете обычный текст, HTML - если Вы шлете ХТМЛ письмо. При выборе HTML варианта текст
письма (раздел г) должен быть в исходном коде HTML.

и) Имя присоединенного файла без расщирения. Это аттач (прикрепленный к письму файл). Если не используете атач (не прикрепляете
файлы к письму) остальте как есть (пустым). Если используете, то напишите в этом поле имя файла, которое хотите сделать (поддерживается
синонимизация). Прикрепить можно от 1го до 3х файлов, в графах которые ниже. Нажимаете обзор и выбираете файл который надо прикрепить.
Если Вы не заполнили поле "Имя присоединенного файла" то файл останется с тем названием (например Foto.jpg) какое у Вас указано сейчас.

Все заполнили, проверили, нажимаем Сохранить данные и ждем, пока все данные загрузятся в систему. После успешной загрузки Вы увидете окно
предварительного просмотра, в котором Вы увидите как Ваше письмо увидит получатель. (если Вы использовали рандомизацию/синонимизацию), то
прежварительный просмотр покажет случайный вариант письма. Если Вы нашли ошибку, или что-то забыли Вы можете вернуться в режим редактирования,
выбрав в меню "ИЗМЕНИТЬ". Обратите внимание, что при редактировании загружать СНОВА базы адресов, акков и прочее не надо, все уже сохранено,
просто поправьте/добавьте/измените те данные которые Вы указали неправильно, затем нажмите СОХРАНИТЬ.

Подготовка завершена, Вы можете увидеть статус своей рассылки в меню "Мои рассылки". Чтобы запустить рассылку нажмите "Start".
После инициализации Вы увидете нажпись, что рассылка запущена.. В течении нескольких минут начнется процесс спама. Увидеть статистику,
сколько отправлено Вы можете в любое время просто Выбрав "Мои рассылки". Каждый раз обновляя этот пункт вы видите текущую статистику по
количеству отправленным e-mail (графа ПРОГРЕСС), первое значение - это количество отправленных мыл, второе - общее количество мыл в Вашей Спам базе.

Рандомизация. Суть рандомизации это получение уникальности каждого текста, чем больше рандомизирован текст, тем больше уникальных писем
будет отправлено. Зачем рандомизировать? Ответ прост - чтобы не срабатывал фильтр по тексту, эта мера очень актуальна на средних и больших рассылках.Рандомизация. Суть рандомизации это получение уникальности каждого текста, чем больше рандомизирован текст, тем больше уникальных писем
будет отправлено. Зачем рандомизировать? Ответ прост - чтобы не срабатывал фильтр по тексту, эта мера очень актуальна на средних и больших рассылках. Помните, что процент инбокса зачастую зависит от того насколько хорошо Вы зарандомизировали свою рассылку.

Данный софт в настояший момент использует следующие виду рандомизации.

1) синонимизация (использование синонимов).
Формат: (Hi|Hello|Good day).
Что это значит? При отправке каждого нового письма будет использовано только одно слово из трех представленных выше. Приведем пример короткого письма с использованием синонимизации:

(Hi|Hello|Good day) Alex.
How are you?
(Bye|Good Bye|Good luck).

Т.е. каждое новое письмо которое будет отправлять наша система будет разным, пока не закончаться значения, затем снова пойдет перебор новых слов по кругу. Пример случайного письма описанного выше:

Hello Alex.
How are you?
Good luck.

Следующее письмо уже будет другим с другими значениями..

Можно раномизировать целые предложения и выражения!
Также в синонимизации поддерживается неограниченная вложенность! Например:
(Hi (Masha|Dasha|Katya)|Hello(Marina|Vika|Valentina)).

НЕ забывайте закрывать скобки при окончании рандома! Проверяйте формат! Иначе работать не будет!


2) Вывод строк в случайном порядке.


Строка 1
Строка 2
Строка 3

Каждое новое письмо с использованием этого вида рандома будет выводить строки в случайном порядке, что меняет структуру текста. Можно использовать в совокупности с синонимизацией.


3) Как известно e-mail базы бывают разных форматов и допустим у Вас именные базы (т.е. кроме мыла в базе имя/фамилия владельца мыла), и вы хотите использовать эти данные в своем письме.

Формат следующий:
{email} = Емэйл получателя.
{name} = Имя получателя.

Пример использования:

Hello {name}.
You email is {email}.

Результат работы (пример):

Hello Alexey Popov,
You e-mail is

Для корректной работы при добавлении базы необходимо правильно указывать маску вашей спам-базы!


Когда Вам нужны просто уникальные строки из цифр либо цифр и символов Вы можете использовать следующие переменные:

{id} - это таймстемт (кол-во миллисекунд с 1900 года)

{hash} = md5({id}) - это хэш таймстента.


Используя описанные выше варианты рандомизации вместе или по отдельности (как Вам удобно), Вы добьетесь высокого инбокса!

Вопрос - Ответ
Часто задаваемые вопросы.

Вопрос: При регистрации на антикапче ( просит инвайт, откуда его взять?
Ответ: У меня, стукните в аську я выдам инвайт для регистрации.

Вопрос: Какой расход капчи на рассылках?
Ответ: Количество капчи - это динамическая величина, зависит от многих факторов, от качества соксов, от количества мыл отправляемых с одного аккаунта за сессию, от конфигурации со стороны почтового сервера, которая частенько меняется (например, Большое количество капчи замедляет рассылку, не ставьте большие значения в количестве мыл отправляемых с одного аккаунта за сессию, оптимальное значение 15(+/- по вашему усмотрению), опывтным путем Вы найдете приемлимые для себя значения.

Вопрос: Почему некоторые письма на больших доменам (например иногда попадают в папку спам и бывает даже не приходят?
Ответ: Зачастую это зависит от Вас. Чтобы сократить до минимума эти нюансы используйте качественные материалы (хорошие соксы, свежие аккаунты для рассылки) и хорошо рандомизируйте Ваши тексты. Не шлите долго один и тот же текст, который спамили раньше!

Вопрос: Почему модуль иногда сам останавливается в процессе рассылки?
Ответ: Разгадка кроется в соксах, скорее всего вы используете соксы от, с ними модуль рассылки yahoo работает нестабильно.

Вопрос: Какие акки лучше использовать для рассылки, авторег или с логов (фэйков)?
Ответ: Идеальный вариант в плане качества, количества отправляемых мыл с аккаунта, капчи - это использование аккаунтов с логов! Авторег аккаунты тоже вполне пригодны к использованию, но имеют меньшие лимиты отправки, соответственно повышая расход!

Где покупать материалы
Здесь описаны контакты продавцов которые успешно работают в своей сфере и были опробованы пользователями нашей системы!

Продажа аккаунтов:

Логовые аккаунты - всегда можно купить у меня, от 30$ за 1к валида. В наличии имеются практически всегда. АВТОРЕГ аккаунты я НЕ ПРОДАЮ!

ICQ: 246621644 (evro) - Человек успешно продает АВТОРЕГ аккаунты различных почтовых систем довольно долгое время! Плюсы - приятные цены, распознанная первая капча в акках! - Отличный автоматизированный магазин с авторег (регистрированными софтом) аккаунтами различных почтовых систем с нормальными ценами! - автоматизированный магазин с авторег (регистрированными софтом) аккаунтами различных почтовых систем и др., цены на акки средние. - автоматизированный магазин с авторег (регистрированными софтом) аккаунтами различных почтовых систем, цены на акки довольно завышены..

Продажа соксов:

По соксам есть как бюджетные так и более качественные варианты.. Разница в цене и качестве, конечно можно использовать бюджетные варианты и слать со средним качеством (многие работают именно так), но будет страдать скорость и качество рассылок, возможно увеличение количества капчи.

Бюджетные варианты: - нужно брать со сроком на неделю, иначе недоступен экспорт соксов по URL, это нужно чтобы вписать ссылку в этот софт). Качество удовлетворительное, но работать можно! модуль с этими соксами не работает, шлет посредственно. - Нормальный по качеству и скорости вариант. Средний ценник. НО за эти деньги (даже дешевле) на данный момент лучше использовать (читай ниже), этот вариант подойдет если временно не работает и т.д.

Более качественные варианты: - Отличные соксы за свои деньги! Самый лучший на данный момент вариант! Все модули работают отлично! Ценник очень гуманный! Общие миксы 500 штук - самый оптимальный вариант для любых рассылок!
P.S. Пожалуйста регистрируйтесь по указанной выше ссылке! - Адекватный сервис с различными тарифными планами и отличными бэкконект соксами. Для работы вполне подходит минимальный вариант с 50-100 соксами, но если вы арендуете выделенный сервер то желательно большее количество.

ICQ: 448845 - Неплохой продавец с соксами среднего качества, 1000 соксов с обновлением 10 минут 100$/неделя. Уточняйте у него в аське.

Продажа редиректов:

Редиректы нужны в основном если вы шлете ссылку в письме. Чтобы не было банов по урл используйте редиректы, купить их можно у людей на форумах или в шопах.
Рекомендаций в данной области продавцов к сожалению пока выдать не можем, ищите контакты на форумах или спрашивайте у знакомых.

Продажа e-mail баз:

К сожалению рекомендаций в данной области селлеров мы Вам выдать не можем, т.к. их нет, ищите базы по форумам, знакомым и пр.

BlackHole Exploit Kit 1.2

English translation by @Sherb1n

Released on  August 28, 2011

BlackHole 1.2.0

What’s new:

1) Flash 10 exploit added
2) Java obe now works even if the user has turned off javascript
3) Java trust – optimized for various JRE installations (traditionally there have been problems with exploiting x64 systems)
4) HCP – fixed bug in FF 3.*
5) Added capability to load DLL
6) Added capability to load several exe/dll to the same infected user at once (bypassing your loaders)
7) Higher response rate
8) Fixed referrer stats
9) Added capability to display your own text/html on the traff page (instead of the 404 error), and a couple of other cool little things.

BlackHole 1.1 - 


спешим за обновлением

из новшеств:
1) добавлен Flash 10 эксплойт
2) java obe теперь работает даже у тех кто отключил javascript в браузере
3) java trust - оптимизирован под разные пути установки JRE (на x64 системах как правило возникали трудности с пробивом)
4) HCP - исправлен баг существующий на ветке FF 3.*
5) Добавлена возможность грузить DLL
6) Добавлена возможность грузить несколько exe/dll одному заражонному сразу (минуя ваши лоадеры)
7) повысили отстук
8) починили статистику по реферерам
9) добавлена возможность отображать свой текст / html на странице трафа (заместо 404 ошибки)
и еще несколько очень приятных мелочей.

Tuesday, 6 September 2011


Online Store for Stolen Cards


Search and Buy 



Saturday, 3 September 2011


Mn0g0 - Online Store for Stolen Cards


Search and Buy 

Special Offers 




Online Store for Stolen Magnetic stripe data


Search and Buy 


Card Validity Checker 

Valid Shop

Online Store for Stolen Cards and Track2

Card Rock Cafe

Card Rock Cafe - Online Store for Stolen Cards


Search and Buy


DaBucks Affiliate

English translation by Igor @Sherb1n is an output substitution affiliate program. We provide promotion (10-20% of voluntary installs is an outstanding promotion), installs can be loaded directly, average payout per install after several months: 0.4-0.6$ (no trash countries), payouts are twice a month, no payment holds, special offers for top experts (we provide a nice semi-private exploit kit, good penetration rate)

Exe cleanup: every 5-6 hours, works on 64-bit machines, bypasses UAC, good response rate.

Have been working in private about a year and a half, now open to the public.

Accounts are registered manually, after a short interview:

Sample advert stats:

14.7K installs in June:

6.6K installs in July:


Total: $9.3K from 21.3K installs; average payout per install is around 45 cents.

Original - партнерка по подмене выдачи, даем промо (10-20% процент добровольных инсталлов промо уж очень охуенное ) , можно лить загрузки напрямую, средний выхлоп с инсталла на дистанции в пару месяцев: 0.4-0.6$ (без мусорных стран), выплаты без холда 2 раза в месяц, для крупных мастеров особые условия (выдаем хорошую полуприватную связку, пробив гуд )

Ехе чистится каждые 5-6 часов, на 64-битных машинах работает, UAC обходим, отстук хороший.

В привате работаем уже в районе полутора лет, сейчас решили открыться в паблике.

Акки выдаются в ручном режиме, после краткого собеседования:

пример статы адверта:

в июне было слито 14.7к инсталлов:

тотал: 9.3k$ с 21.3к инсталлов, средний выхлоп с инсталла в районе 45 центов .

Thursday, 1 September 2011

Iframe Shop

English translation by Igor @Sherb1n

Provider - Marebo

Happy to present to you my project, Iframeshop

Over many years I have developed certain rules for traffic evaluation, based on my experience.

At the very beginning, I was working on this project for myself. I needed a centralized way to purchase traffic, because I was constantly looking for:

- Something other than overpriced low-quality traffic.
- Sellers who won’t scam you after the first small purchase.
- Buyers who follow through on their payment obligations.
- Who keep an eye on their links, sites, etc.
- Who don’t suspend their traffic streams every 2-3 hours.

But later, after talking to some of my colleagues who were also interested in using such a system, I thought: “Why not?” That’s how what I’m about to present to you came into being:

So: The main idea of the service is that you don’t have to run around the forums, looking for a dependable traffic seller, being afraid of getting scammed out of your deposit. It’s all simple here: you file a request, sellers fulfill it and get their money.

Some advantages:

- Simple and easy-to-understand interface, according to some of our common colleagues.
- The marketplace has a number of protections against inflated stats.
- The system auto-regulates the prices every 24 hours based on supply and demand, so you will be getting the actual market rates.
- Our servers don’t log your IPs.
- Constantly changing domain names.
- Constant encryption.
- Buyers’ domains are constantly checked against AVs. If an AV product is triggered, the traffic is stopped until the buyer changes the URL.
- Marketplace owners follow the same rules as everybody else to buy traffic; it’s our marketplace, too.
- We don’t ban your accounts, we don’t care what you’re pushing.
- Many functionality updates are already in development.

Info for the buyers:

To get started on the marketplace, all you need to do is:

Add funds to your balance.
Navigate to the traffic purchase page.
Specify the name of the order, country, amount of traffic, and your link.

Here’s what happens then:

The system runs an AV check on your URL.
Your URL is encrypted and stored together with the other URLs.
In a certain amount of time your URL gets into the queue and you start receiving the traffic.

Info for the sellers:

To get started on the marketplace, all you need to do is:

Navigate to the traffic selling page.
Open “Traffic selling settings”.
Copy the code in the text field.
Insert the code into your site’s pages.
Watch your income grow.

The traffic is purchased only if the buyers have placed orders. There are always orders for top countries.


The code changes every 6 hours, but the old code will still work fine for 24 hours. So, we recommend changing the code as often as possible. There is an auto refresh script you can use.

Some main conditions:

- The marketplace fee is 5% of the buyer’s payment and 5% of the seller’s income.
- Traffic is delivered as-is, marketplace uses its own stats, no exceptions.
- Why don’t we show referrers? Because the iframe technology is unable to pinpoint the code’s location.
- The marketpace and its owners bear no responsibility for the content of the sellers’ or buyers’ sites.

Payments and payouts are done through WM and LR. Deposits from 200$ +10%.

The marketplace is currently locked, which means you need an invite to register. You can get an invite either through ICQ: 640*****48, or through Jabber: iframeshop@***.***. In the near future you’ll be able to send your own invites and get rewards for them.


Update for week Aug 1 – Aug 8:

For buyers: automatic link pickup from deleted addresses (example: Puerto kit)

Also, in the next couple of days we’ll add the ability to specify several domain names, to auto-switch when a domain is burned.

Increased the frequency of domain and crypt updates.

Support will do their best to let you know when a domain needs to be changed, or when the order is fulfilled, and will provide assistance in general.

We’re happy to see the number of members grow, but we’re kind of short on sellers. Sellers are welcome.

Payouts have surpassed the $2.5K mark. But we’re ready to pay out more.


We buy NL at $20, AT – at $15, and lots of it.
DE: $10.
English-speaking countries: $10 per 1,000.

Everybody welcome.


Lots of available streams from US, Europe, from $5-$10. Penetration rate: 8%-12.5% on BH.

You won’t have to pay for MacOS, Linux, Chrome and Safari. Constant encryption, AV checks, automatic URL switching.

Deposits from 200$ +10%.

Besides AT and NL.



Рад представить свой проект Iframeshop

За много лет, у меня появились определенные правила оценки трафика, основанные на опыте.

В самом начале, я создавал этот проект для себя, для централизованной покупки трафа, так как постоянно искал для себя:

-Трафик, который не был бы низкого качества по завышенным ценам.
-Продавцов, которые не кинули при первой мелочной покупке.
-Покупателей, которые исполняют свои обязательства по оплате
-Которые всегда следят за своими ссылками, сайтами и т.д.
-Которые не приостанавливают поток трафика каждые 2-3 часа.

Но затем, поговорив с коллегами, которые также хотели бы пользоваться такой системой, я решил: "А почему нет?". Так и появилось на свет то, что я Вам представляю:

Итак: Суть сервиса состоит в том, что Вам не надо бегать по форумам в поисках добросовестного селлера трафа, бояться что Вас могут кинуть с предоплатой. Все просто, Вы создаете заявку, Селлеры её исполняют и получаьт свои деньги.

Некоторые преимущества:

-Интерфейс удобный и понятный, по признанию некоторых наших общих коллег.
-Биржа имеет несколько степеней защиты от накруток.
-Система сама регулирует цены на основе спроса и предложения и они получаются абсолютно рыночными. Меняются раз в сутки, в зависимости от спроса и предложения.
-Наши сервера не записывают Ваши IP.
-Постоянно меняющиеся домены.
-Постоянный крипт.
-Домены покупателей постоянно проверяются на реакцию АВ. Если АВ среагировал, то трафик останавливается, пока покупатель не сменит УРЛ.
-Владельцы биржи покупают трафик на общих условиях, мы создали её и для себя в том числе.
-Никто не банит Ваши аккаунты, нам все равно, что Вы продвигаете.
-Уже сейчас готовится много дополнений к функционалу.

Информация для покупателей:

Для того, чтобы начать работу на бирже, все что Вам нужно сделать это:
Пополнить свой баланс удобным для Вас способом.
Перейти на страницу покупки трафика.
Указать имя ордера, страну, кол-во трафика и свой линк.
Что происходит за тем:
Система проверяет Ваш URL на реакцию АВ.
Ваш URL криптуется и попадает в хранилище вместе с другими URL'ами.
Через какое-то время Ваш URL встает в очередь и Вы начинаете получать траф.

Информация для продавцов:

Для того, чтобы начать работу на бирже, все что Вам нужно сделать это:
Перейти на страницу продажи трафика.
Открыть "Настройки продажи трафика".
Скопировать код размещенный в текстовом поле.
Вставить этот код на страницы своего сайта.
Следить за тем, как растут Ваши доходы.

Траффик выкупается только если есть на него заказы, со стороны покупателей. На топовые страны заказы есть всегда.

Код меняется каждые 6 часов, но и прошлый код будет вполне работоспособен 24 часа. Так что мы советуем менять его как можно чаще. Есть скрипт автообновления.

Некоторые основные положения:

-Коммиссия биржи составляет 5% от расходов покупателя и 5% от дохода продавца.
-Трафик доставляется как он есть, считается по статистике биржи и никак иначе.
-Почему мы не показываем реффереры? Потому что технология iframe не позволяет установить точное местонахождение кода.
-Биржа и её владельцы, не несут никакой ответственности за то, что размещено на сайтах продавцов трафика или же на продвигаемых сайтах покупателей.

Оплата и Выплаты в ВМ и ЛР. Пополнения от 200$ + 10% на Ваш счет.

Сейчас биржа находится в стадии закрытого типа. Это значит, что для регистрации понадобится Инвайт, который можно получить либо в icq: 640*****48, либо Jabber: iframeshop@***.***. В скором времени Вы сможете сами выдавать инвайты и получать за это вознаграждение.


Новости за неделю 01.08-07.08:

Для покупателей мы сделали автоматический забор линка с удаленных адресов (пример связки Пуэрто)

Также в ближ. пару дней появится возможность указать несколько доменов, для авто смены при палеве.

Увеличили частоту обновлений доменов и крипта.

Саппорт, по возможности, сообщает когда надо сменить домен или же ордер исполнился, да и вообще всегда поможет, подскажет.

Радует что кол-во мемберов увеличивается с каждым днем, но нам все также не хватает селлеров. Мы Вас ждем и приветствуем.

Выплаты составили уже более 2.5к$. Но мы готовы платить и больше.


НЛ скупаем по 20$, АТ скупаем по 15$ и много, очень много.
DE по 10
Англоязычные страны по 10$ за 1к.

Очень Вас ждем.


Много свободных потоков US, Европы от 5-10$. Пробив от 8-12.5% на БХ

Вам не придется платить за Мак ОС, Линукс, Хром и Сафари. Постоянный крипт, проверки на палевность, автоматическая система смены Ваших урлов.

Пополнения от 200$ + 5% на Ваш аккаунт.

Кроме АТ и НЛ.


Online store for Stolen Cards

Search and Buy



Card Checker

Wednesday, 31 August 2011

BleedingLife 3.0

Coder - BleedingLife

We've told you it would come and now it's here. This time we've come bigger and more confident. Why are we so confident?

What we've learned over this time was that those famous expensive exploit packs (Phoenix, Blackhole) stole not only our exploits in their last version, but they've also stole our shell code as well.

What does all this mean? This means we're at the top of our game and they want what we have. With that being said, I introduce to you, BleedingLife 3.0

[+] Advanced Statistical Information
[+] Stylish Progress Bars
[+] Full User Friendly Admin Panel
[+] Referer Stats
[+] Secure Panel - Login/Logout
[+] Ability To Set and Save Passwords On Panel
[+] Ability To Allow Guest Access - Guest Can Only View Stats Page, Clicking and Other Pages Disabled.
[+] Ability To Add and/or Remove Exploits Used
[+] Ability To Add Scan4You Credentials For Built-In Scanner Use
[+] Ability To Filter Browsers
[+] Ability To Filter Operating Systems
[+] Attempt To Detect and Filter HTTP Proxies
[+] Ability To Blacklist by IP/Range
[+] Ability To Import Blacklist
[+] On Panel Built In Scanner
[+] Ability To Upload Payload From Panel
[+] Payload Statistical Information - MD5, Size, SHA1
[+] Ability To Generate iFrame On Panel / Encrypted
[+] Ability To Domain Check/Scan On Panel

[+] Adobe LibTiFF
[+] Adobe Util.printf
[+] Adobe Flash10o
[+] Java TC
[+] Java MIDI
[+] Java RMI
[+] Java Skylined
[+] Java Signed Applet
[+] Java Codebase Trust
[+] MDAC

[+] FREE Updates (When Needed)
[+] Payment: WMZ or LR ONLY
[+] Amount: $1000.00
[+] Previous Customers, $250 Discount

[+] Rate Is Base On Options You Choose To Use On Panel - Expect 30% or more

Contact: ICQ: 6397******

Panel Images:


Coder - Witch

Sick and tired of constantly losing bots due to shitty ass copy pasted mods of old bots such as asper and rxbot?

Looking to try something that will perform as it says, and has been made by an experienced coder?

Trying to build a net that will actually last and do what you want it to do?

Sick of dealing with refunds, shitty support, and garbage software?

Well, take a close look at xLoader, a reliable, and proficient product.

I am ecstatic to present to you, xLoader, a bot that does not "CLAIM" to be "#1".


1. Form Grabber : Steals user's login data as they input it into their browser & submit it.

Works on HTTP + HTTPS and on Firefox + Internet Explorer and it works for the following sites :


It will parse the username & password and send them to the panel.

2. DDoS Flood : Slowloris/TCP/UDP (Multi-Socket)

3. Hooked MSN Spreader : Will add your url to a user's message, and the receiver will see the message w/ the url, but the sender will not.
Every time a message with your URL is sent, the panel updates the number of messages sent.
(Messages sent are *UNIQUE*. It will keep track of who it has messaged and will only send 1 time to keep the send count unique)

4. Contact list grabber : Grabs all contacts from bots who have MSN open and uploads them to the panel.


Coded in efficient C++

- No need for extra dependencies (msvcrt90, vb runtimes, .NET, etc)
Support for 32 & 64 bit

Unicode Support

- Will work on Asian OS
- Runs on Windows 2000, Windows Server 2003, Windows XP, Windows Vista, Windows Server 2008, Windows 7
- Limited/Administrator Accounts
- Full PE Injection
- Injection to Explorer - 32 bit
- Runs normally if fails to inject

Installs to:

- Limited Accounts - Application Data Directory
- Administrator Accounts - Windows Directory

Drop & Execute Download
Memory Execute Download

- 98% execution rate

Registry Persistence (startup keys)

- Uses Events to notify when a key has been modified/deleted and will re-add automatically
- All Strings Encrypted
- Only decrypted in memory before use
- Cannot be killed by common/public botkillers
- a59 c/p
- Startup entry cleaner (registry)
- Connection based (gBot)

- Small bin size (Depends on modules too)
- Can NOT be packed with upx, mew, etc

- Standard Bin (no extra modules) - 13kb
- Bin + Hostfile Edit only: 14kb
- Bin + DDoS only (slowloris, ssyn, udp): 16kb
- Bin + Contact grabber only: 14kb
- Bin + DDoS + Contact Grabber: 17kb
- Bin + DDoS + Contact Grabber + Hosts File Editor : 17kb
- Bin + DDoS + Contact Grabber + Hosts File Editor + Hooked MSN Spread : 21kb
- Bin + DDoS + Contact Grabber + Hosts File Editor + Hooked MSN Spread + Form Grabber : 30kb

Bin Editor!

Main Stats

Bot List

Task Example

Adding a new task

Bin Price : $350, compiled to as many domains as you want under 1 bin.

I ONLY accept Liberty Reserve or WMZ (webmoney) for a payment processor, so don't bother asking if you can pay by paypal.

If you want to buy and you only have paypal, you'll have to exchange your money.


-FormGrabber (FF+IE) (HTTP+HTTPS) : $75
-Hooked MSN Spreader (MSN, Pidgin, Trillian) : $50

Contact is : Witch****

(Old customers please contact me at this email to receive updates, I will NOT contact YOU!)

Upgrade cost from iLoader -> xLoader is $125, and all future updates will be free.

Tuesday, 30 August 2011

Smoke Loader

English Translation by Igor @Sherb1n

Coder - Smokeldr

Smoke Loader is a modular loader (2 versions are available: resident and non-resident).


- Sequentially loads up to 10 different EXEs and then launches them
- Geo-targeting (installs for specific countries only)
- Ability to load files via URL
- Auto-start and covert operation (camouflages as a trusted process) *
- Detailed stats in admin on the number of installs and launches
- The bot auto-updates through the admin panel (locally and remotely) *
- Bot loss prevention in case the domain is blocked *
- Small loader size ~ 6-12 KB **
- A “seller’s” version of the builder can be used (more precise stats)
- “Guest” access to the stats
- Easy to encrypt (no additional dlls, overlays, etc)

* - resident version
** - depends on the package

Extra (modules):

- The loader has a module (2 versions) for password-grabbing from popular network applications (IM clients, browsers, FTP, Mail, poker apps, etc); all passwords are collected and sent to admin panel, from where they can be easily downloaded

- SOCKS-module – allows you to use your bots as SOCKS5 proxies (no back-connect, doesn’t bypass NAT)

Grabber functionality, LITE:

- FTP clients

32bit FTP
BulletProof FTP Client
Classic FTP
CoffeeCup FTP
Core FTP
Directory Opus
FAR Manager FTP
Frigate3 FTP
FTP Commander
FTP Control
FTP Explorer
FTP Navigator
FTP Uploader
SoftX FTP Client
Windows/Total Commander

- Browsers

Apple Safari
Google Chrome
Internet Explorer
Mozilla Browser
Mozilla Firefox
Mozilla Thunderbird

- Dialers & RDP
- Downloaders

Grabber functionality, FULL:

- All of the LITE functionality

- IM clients

Excite Private Messenger
Gizmo Project
Google Talk
IM2 (Messenger 2)
MSN Messenger
Trillian Astra
Windows Live Messenger
Yahoo! Messenger

- Poker-clients

Absolute Poker
Cake Poker
Full Tilt Poker
Party Poker
Titan Poker

- Mail clients

Becky Internet Mail
Forte Agent
Gmail Notifier
Group Mail Free
Mail Commander
Mail.Ru Agent
POP Peeper
The Bat!
Vypress Auvis
Windows Live Mail


UAC Vista/Win7 – works perfectly even on limited accounts
F-Secure Internet Security – does not bypass
AGAVA Firewall – detects as a system process (the user will most probably allow the connection)
Kaspersky Internet Security – does not bypass
Comodo Internet Security – detects the inject
ESET NOD 32 Smart Security – bypasses
ZoneAlarm Free Firewall - bypasses
Outpost Security Suite Pro - detects the inject
Ashampoo FireWall PRO - bypasses
Norton Internet Security - bypasses
avast! Internet Security 6 – bypasses

* all the products were downloaded from the official sites, so those were the latest versions, with default settings

In the package:

- Loader
- “Seller’s” builder
- Admin panel (PHP, MySQL)
- Grabber module (if purchased)
- SOCKS-module (if purchased)


- Loader only (non-resident version) – 150 WMZ
- Loader only (resident version) – 250 WMZ
- Grabber LITE – 100 WMZ **
- Grabber FULL – 150 WMZ **
- SOCKS-module – 50 WMZ (no back-connect) **
- Loader rebuild – 10 WMZ
- Updates: small fixes – free, others are agreed upon separately
- Custom grabber can be made for your needs

* purchases using escrow or pre-pay
** not sold separately

Screenshots (resident version): Stats | List of Bots | Manage installs Options | Grabber Logs | SOCKS-module



Smoke Loader - это модульный лоадер (возможны две версии - резидентная и нерезидентная).


- последовательная загрузка до 10 различных EXE и последующий их запуск
- гео-таргетинг (загрузки только для конкретных стран)
- возможность загрузки файлов через URL
- автозагрузка и незаметная работа (маскировка под доверенный процесс) *
- подробная статистика по загрузкам и запускам в админке
- самообновление бота через админку (локально и удаленно) *
- защита от потери ботов при блокировке домена *
- небольшой размер лоадера ~ 6-12 Кб **
- возможность использования билдера для "селлеров" (более точная статистика)
- "гостевой" доступ к статистике
- легкая криптовка (не содержит в себе дополнительных dll, оверлеев и т.п)

* - резидентная версия
** - в зависимости от комплектации

Дополнительно (модули):

- лоадер имеет модуль (две версии) в виде граббера паролей известных программ для работы с сетью (IM клиенты, браузеры, FTP, Mail и покерные программы и др.), все пароли собираются и отсылаются в админку, откуда их можно легко скачать
- SOCKS-модуль - позволяет использовать ботов как Socks5 Proxy (не бекконект, не обходит NAT)

Функционал граббера LITE:


- FTP клиенты

32bit FTP
BulletProof FTP Client
Classic FTP
CoffeeCup FTP
Core FTP
Directory Opus
FAR Manager FTP
Frigate3 FTP
FTP Commander
FTP Control
FTP Explorer
FTP Navigator
FTP Uploader
SoftX FTP Client
Windows/Total Commander

- Браузеры

Apple Safari
Google Chrome
Internet Explorer
Mozilla Browser
Mozilla Firefox
Mozilla Thunderbird

- Dialers & RDP
- Downloaders

Функционал граббера FULL:

- Все возможности LITE


- IM клиенты

Excite Private Messenger
Gizmo Project
Google Talk
IM2 (Messenger 2)
MSN Messenger
Trillian Astra
Windows Live Messenger
Yahoo! Messenger

- Poker клиенты

Absolute Poker
Cake Poker
Full Tilt Poker
Party Poker
Titan Poker

- Mail клиенты

Becky Internet Mail
Forte Agent
Gmail Notifier
Group Mail Free
Mail Commander
Mail.Ru Agent
POP Peeper
The Bat!
Vypress Auvis
Windows Live Mail


UAC Vista/Win7 - отлично работает даже на ограниченных учетках
F-Secure Internet Security - не обходит
AGAVA Firewall - детектит как системный процесс (скорее всего юзер разрешит соединение)
Kaspersky Internet Security - не обходит
Comodo Internet Security - детектит инжект
ESET NOD32 Smart Security - обходит
ZoneAlarm Free Firewall - обходит
Outpost Security Suite Pro - детектит инжект
Ashampoo FireWall PRO - обходит
Norton Internet Security - обходит
avast! Internet Security 6 - обходит

* все продукты устанавливались с сайтов производителей, т.е последние версии, с настройками "по-умолчанию"


- лоадер
- билдер для "селлеров"
- админка (PHP, MySQL)
- модуль граббера (при его покупке)
- SOCKS-модуль (при его покупке)


- только лоадер (нерезидентная версия) - 150 WMZ
- только лоадер (резидентная версия) - 250 WMZ
- граббер LITE - 100 WMZ **
- граббер FULL - 150 WMZ **
- SOCKS-модуль - 50 WMZ (версия без бекконекта) **
- ребилд лоадера - 10 WMZ
- обновления: мелкие фиксы - бесплатно, остальное обговаривается отдельно
- возможна сборка граббера под ваши нужды

* покупка через гаранта или предоплате
** отдельно не продается

Sunday, 28 August 2011

Winlock Scareware

English translation by @Sherb1n

Coder - Qunned

Winlock Builder [Private] v1.30:

Special features:

- Pleasant and convenient dark GUI
- Blocks taskmgr.exe, cmd.exe, osk.exe, explorer.exe, etc.
- Blocks hotkeys and hotkey combos (for example, Alt+F4, Ctrl+Alt+Del, Win+E, Win+D, Alt+Tab)
- Disables mouse
- Build size: 38.5KB
- Number randomization (Up to 9 text combinations, each field takes up to 20 characters, and numbers/text are displayed randomly)
- Packed with UPX
- Icon can be changed.
- Background color can be changed.
- Fully-editable text (up to 1,000 chars)
- Monitoring dashboard

Monitoring dashboard allows you to keep track of all your infected users; it displays infection date, IP, and the user’s current status (infected/active).

When using the monitoring function you remain anonymous because the gate is located on our servers, so you don’t have to worry about your anonymity.

- Auto-start.
- Option to use an image (in development)
- Works in safe mode.
- Self-deletion
- Automatic free updates (+cleanup)

Video demo:

Monitoring demo:


1. You are forbidden from re-selling any program components (builder, individual builds, licenses) without an explicit permission from the operators. If you violate this rule, we’ll apply sanctions.
2. You are forbidden from scanning the builds using free AV services that send reports to AV makers; if you violate this rule, the operator reserves the right to revoke your license. (Example:
3. At their own discretion, the operators have the right to revoke a customer’s license if the customer forces them to do it. (For example: insults/threats.)
4. Refund is possible only when the customer is not satisfied with the functionality, and he notifies us on the day of purchase.
5. Ignorance of rules does not exempt you from responsibility.


Standard, 3 months - 25$
Standard, 6 months - 40$
Standard, 12 months - 75$

Professional, 3 months - 30$
Professional, 6 months - 50$
Professional, 12 months - 80$

Price per build - 10$

Monitoring and Randomization functions are available for Professional packages only!


[+] You can order ad placement in the builder for 40$/month; the ad is displayed when the builder is launched and every 10 minutes.

[+] You can become our partner and help re-sell the builder; more info on ICQ.




- Приятный и удобный темный GUI.
- Блокировка taskmgr.exe, cmd.exe, osk.exe, explorer.exe, и др.
- Блокировка горячих клавиш и их комбинаций. (Пример: Alt+F4, Ctrl+Alt+Del, Win+E, Win+D, Alt+Tab)
- Отключение мыши.
- Размер билда 38,5 кб
- Рандомизация номеров (До 9 текстовых комбинаций, в каждое поле можно ввести до 20 символов, с помощью рандомизации номера/текст отображаются случайно)
- Упаковка UPX'ом.
- Возможность смены иконки.
- Возможность смены цвета фона.
- Полностью редактируемый текст (до 1к символов).
- Мониторинг

• С помощью мониторинга, у Вас появляеться возможность наблюдения за всеми заражеными пользователями, мониторинг отображает дату заражения/ip/ + текущее состояние пользователя (заражен/активен).
• При использовании функции Мониторинга, Вы соблюдаете полную аннонимность, ибо гейт находиться на наших серверах, и поэтому Вы можете небеспокоиться по поводу своей аннонимности.

- Авто-запуск.
- Возможность использовать изображение (Разрабатывается)
- Работает в безопасном режиме.
- Самоудаление
- Автоматические бесплатные обновления (+чистка)


Демонстрация мониторинга:


1. Без разрешения операторов, продавать все комплектующие программы (билдер, билды, лицензии) - запрещено. В случае нарушения данного
правила, применяются санкции.
2. Запрещается сканировать билды на бесплатных АВ сервисах которые шлют отчеты, за нарушение данного пункта, оператор имеет право
заблокировать лицензию. (Пример:
3. На своё усмотрение, операторы имеют полное право лишать клиентов лицензии если они вынуждают их это сделать. (Примеры: оскорбления/угрозы).
4. Возврат денег предусмотрен только в том случае, если клиента не устраивает предоставляемый функционал, и он сообщает об этом в первый
же день покупки.
5. Незнание правил не освобождает от ответственности.


Стандарт, 3 месяца - 25$
Стандарт, 6 месяцев - 40$
Стандарт, 12 месяцев - 75$

Профессионал, 3 месяца - 30$
Профессионал, 6 месяцев - 50$
Профессионал, 12 месяцев - 80$

Цена за билд - 10$

Функции "Мониторинг" и "Рандомизация" доступны только для

Профессиональных тарифов!

[+] Вы можете заказать рекламу в билдере за 40$ / месяц, реклама

отображается при запуске билдера, а также каждые 10 минут.
[+] Вы можете стать нашим партнером по продаже билдера, более

подробная информация в ICQ.

Thursday, 25 August 2011

Ice IX Bot

 English Translation by Igor @Sherb1n

Coder Ice9 - Released in April 2011

Ice 9 is a new private ZeuS-based bot/form grabber and Zeus’s serious competitor. It’s built on the modified kernel of ZeuS 2.

The kernel has been revised and improved. Firewall- and proactive defense-bypass mechanisms have been perfected.

Injection technology has also been revised, improving injects’ stability.
The main goals were protection against trackers, higher response rate and improved resilience compared to its ancestor. The goals were successfully achieved.

The bot is constantly developed and updated with new functionality.

Main functions:

- Keylogging
- Grabs HTTP and HTTPS forms (IE, FF, Chrome), injects code into IE, IE-based browsers (AOL, Maxthon, etc), and FF
- Grabs cookies, .sol files and saved forms data
- Grabs the following FTP clients: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
- Grabs Windows Mail, Live Mail, Outlook
- SOCKS 5 with back-connect option
- Screenshots in real time, or triggered by specific URLs
- Gets certificates from “MY” storage (certificates marked “non-exportable” are not exported correctly) and clears it. After this any imported certificate will be saved to the server.
- Search for files on the logical drives using wildcards or install a specific file.
- TCP traffic sniffer
- A wide range of commands to control the infected PC


- Protection against trackers. Now you can host your botnet on a regular hosting, not just bulletproof;
- Better response rate and resilience;
- Functionality updates and tech support;
- Custom modules can be created for customers

Price for the current version 1.0.5.

- With hardcoded hosting: $600/LR/WMZ. Bot + builder that generates the config file.
- Unlimited builder license: $1800/LR/WMZ.


In response to numerous questions on changes and new capabilities we’re happy to present the following information:


- Keylogging
- Grabs HTTP and HTTPS forms (IE, FF, Chrome), injects code into IE, IE-based browsers (AOL, Maxthon, etc), and Mozilla Firefox
- Grabs cookies, .sol files and saved forms data
- Grabs the following FTP clients: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
- Grabs Windows Mail, Live Mail, Outlook
- SOCKS with back-connect option
- Screenshots in real time, or triggered by specific URLs
- Gets certificates from “MY” storage (certificates marked “non-exportable” are not exported correctly) and clears it. After this any imported certificate will be saved to the server.
- Search for files on the logical drives using wildcards or install a specific file.
- TCP traffic sniffer
- A wide range of commands to control the infected PC


- Even an unencrypted bot has a higher response rate than ZeuS – save money on traffic and installs
- Changes to the mutex kernel have improved the bot’s stealth and resilience
- Possibility to use an alternative autostart method – as a service.
- Constant functionality updates and tech support;
- Custom modules can be created for customers

Under development:

- New VNC module with improved stability
- Changes in the encryption algorithm and in the data communication channel “protocol”
- Ability to access ring0 to execute specific tasks at the customer’s request


New version 1.0.4

Added tracker protection for the config file:
Now, when deploying the config, you have to set the encryption key, to make sure only the bot can access it. Otherwise, it returns a 404 error.

We believe that this important update will provide a great advantage when building large botnets, since trackers have always been ZeuS’s biggest problem.

Version 1.0.5 released in Aug 2011

ICE9’s config (v. 1.0.5) is protected against download from its URL, which means it’s protected against analysis. It can only be downloaded by the bot, which will be generating a special key to access the config file.



Ice 9 новый приватный бот-формграббер на базе Зевса, являющийся его серьезным моперником. Он построен на модифицированном ядре Зевса 2.
Ядро было переработано и улучшено. Усовершенствован обход проактивных защит и фаерволлов.
Так же переработке подверглась технология инжектирования позволяющая инжектам работать гораздо стабильнее.
Главными задачами ставилось разработка защиты от трекеров, повышение отстука и живучести относительно своего прародителя и данные задачи была успешно выполнена.
Бот постоянно развивается и дополняется.

Основные функции:
-Граббинг http и https данных форм (IE, FF, Chrome) и инжектирование своего кода в IE и браузеры на его движке (AOL, Maxton, etc.) и FF
-Граббинг cookies .sol файлов а также сохраненных данных форм
-Грабинг FTP клиентов: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
-Граббинг Windows Mail, Live Mail, outlook
-Соксы 5 с возможностью бекконекта
-Скриншоты в реальном времени а так же возможность задания срабатывания при просмотре определенного URL
-Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка.
После этого любой импортируемый сертификат будет сохранен на сервер.
-Поиск на логических дисках файлов по маске или загрузка конкретного файла.
-Снифер трафика для протокола TCP
-Широкий набор команд для управления зараженным ПК

- Защита от трекеров.
Теперь Вы можете размещать ботнет на обычном хостинге, а не только на абузоустойчивом;
- Выше отстук и дольше живучесть;
- Обновление функционала и тех. поддержка;
- Возможность дописки дополнительных модулей по желанию заказчика

Цена лицензии за текущую версию 1.0.5.
- С привязкой к хостингу: $600/LR/WMZ . Бот + билдер который генерит конфиг.
- Лицензия на билдер без ограничений: $1800/LR/WMZ/


В связи с многочисленными вопросами об изменениях и новых возможностях мы рады предоставить нижеследующую информацию:


-Граббинг http и https данных форм и инжектирование своего кода в Internet Explorer и браузеры на его движке (AOL, Maxton, etc.), Mozilla FireFox
-Граббинг cookies .sol файлов а также сохраненных данных форм
-Грабинг FTP клиентов: FlashFXP, Total Commander, WsFTP 12, FileZilla 3, FAR Manager 1,2, WinSCP 4.2, FTP Commander, CoreFTP, SmartFTP
-Граббинг Windows Mail, Live Mail, outlook
-Соксы с возможностью бекконекта
-Скриншоты в реальном времени а так же возможность задания срабатывания при просмотре определенного URL
-Получение сертификатов из хранилища "MY" (сертификаты с пометкой "Не экспортируемый" не экспортируются корректно) и его очистка.
После этого любой импортируемый сертификат будет сохранен на сервер.
-Поиск на логических дисках файлов по маске или загрузка конкретного файла.
-Снифер трафика для протокола TCP
-Широкий набор комманд для управления зараженным ПК


-Отстук даже некриптованного бота, выше чем у ZeuS - экономия на траффике/загрузках
-За счет изменения ядра работы с мьютексами повышена скрытность и живучесть бота
-Возможность альтернативного метода прописки в автозапуск-сервисом.
-Постоянное обновление функционала и тех. поддержка
-Возможность дописки дополнительных модулей по желанию заказчика

В разработке:

-Новый VNC модуль обладающий повышенной стабильностью
-Смена алгоритма шифрования и "протокола" канала обмена данных
-Возможность выхода в ring0 для выполнения специфических задач по требованиям заказчика


Новая версия 1.0.4

Добавлена защита конфига от трекеров:
теперь при размещении конфига нужно также задать ключ шифрования для того, чтобы конфиг отдавался только по запросу бота иначе возвращается 404 ошибка

Думаем это важное обновление дает большое преимущество при построении больших ботнетов. Так как основная проблема для зевса - это как раз трекеры.


Конфиг ICE9 версии 1.0.5 защищен от скачивания по его урлу а значит и защищен от анализа. Его может скачать только бот, который генерирует спец ключ для доступа к конфигу.