Kaspersky Lab warnt vor einer nach wie vor aktiven deutschen Cybercrime-Szene. Denn vor kurzem zeigte ein Beispiel, wie mit Bots in Deutschland Geschäfte gemacht werden. Das Interessante dabei: auch bei cyberkriminellen Geschäften kommt es zu Unstimmigkeiten zwischen Anbieter und Kunden.
Dazu sollte man sich die Ausgangssituation im Bereich „Bot-Vertrieb“ wie folgt vorstellen: Cyberkriminelle bieten so genannte Bot-Pakete an – beziehbar entweder direkt vom Autor des Bots oder von seinem Geschäftspartner. Der Kunde erhält ein Paket mit allen benötigten Dateien und zusätzlich Support wie Updates gegen die Erkennung durch Antiviren-Scanner. Üblicherweise werden unterschiedliche Support-Level angeboten.
Doch wie bei legalen Geschäften auch kann es bei Cyberkriminellen zu Unstimmigkeiten zwischen dem Anbieter und dem Kunden kommen: in diesem Fall über ein Bot-Paket, das im Februar 2010 von „Till7“ angeboten wurde. Dabei handelte es sich um den Bot „v0id bot“ mit einer Web-basierten C&C-Oberfläche. Die Distribution des Bot-Pakets wurde von einem Partner, „3lite“, übernommen. Das Paket beinhaltete die folgenden Komponenten: Aufruf von Webseiten, Download und Ausführung einer Datei von einer angegebenen Webseite, E-Mail-Spamming und -Bombing, Stehlen von Passwörtern sowie HTTP- und UDP-Flooding.
Mitte März tauchten dann die ersten Forenbeiträge über den fehlenden Support des Bot-Erstellers und seines Partners auf. Einer der verärgerten Kunden veröffentliche schließlich das Bot-Paket im Internet. Er beklagte sich, dass der Bot schlecht geschrieben und der Support nicht vorhanden sei. Damit war die kommerzielle Nutzung des Bots (zumindest seitens der Bot-Autoren) beendet; zeitnah erschienen mehrere veränderte Versionen mit zahlreichen Verbesserungen. In einem weiteren Forum wurde der Bot ebenfalls durch einen Kunden veröffentlicht, weil mehrere Anti-Viren-Scanner diesen erkannt hatten und der Schöpfer somit seiner versprochenen “FUD”-Garantie (fully undetected, zu Deutsch: „wird nicht erkannt") nicht nachgekommen war.
„Das Bot-Geschäft und die anschließenden Support-Streitereien wurden in deutscher Sprache abgewickelt“, so Marco Preuss, Viren-Analyst bei Kaspersky Lab. „Dies zeigt, dass die Cybercrime-Szene in Deutschland quicklebendig ist. Die Auswirkungen der deutschen Bot-Affäre sind allerdings global: Da der Bot durch die Veröffentlichung nicht verschwunden ist, kann sich jeder ambitionierte Cyberkriminelle das veröffentlichte Bot-Paket herunterladen. Zudem tauchte vor kurzem auch der vollständige Quellcode des Bots im Internet auf. Auf dieser Basis haben Kriminelle die Möglichkeit, komplett eigene, neue Bots zu erstellen und diese inklusive Support im World Wide Web feilzubieten.“
Screenshots zum „v0id bot“ können bei essential media (Kontakt siehe unten) angefragt werden.


Quelle: http://www.kaspersky.com/de/news?id=207566325


Da kann ich nur eins sagen, ich finds witzig da ich Till7 sehr gut kenne =)

lol, wie geil xD

Hat wer zufällig den Source Code von dem BoT?

Lol, kenne ihn auch wirklich verdammt gut..

haha, dabei war das ding ja nicht so der burner!

mfg

kennste oder kannteste?
Hab immernoch guten kontakt mit ihm.
source bekommste auf seiner page. gib mal tilltools bei google ein

http://www.viruslist.com/en/weblog?weblogid=208188050
(http://www.viruslist.com/en/weblog?weblogid=208188050)

kennste oder kannteste?
Hab immernoch guten kontakt mit ihm.
source bekommste auf seiner page. gib mal tilltools bei google ein

naja ich hatte verdammt guten kontakt zu ihm, und nun ist er einfach weg..hast du im rl zu ihm kontakt?

mfg

ps: der source auf seiner page ist die crappy version...

Er war ja auch hier aufn Board.

naja ich find die Homepage sieht sehr unprofessionell aus.
Das sind alles tools die schon x mal online gestellt wurden (tutorial + source) ist ja auch nix bei da jeder mal klein anfängt, es ist aber lächerlich so eine storry daraus zu machen und die als Bot Master hinzustellen.
Und von der gefahr von der Kaspersky spricht kann auch keine rede sein da er in vb.net Programmiert wurde und nicht richtig läuft.

till7 my hero :D , mein alt0r coding lehrer :> ^^
ich hätte mir aber eher den Namen RedShark drinne gewünscht ;D

ich hätte mir aber eher den Namen RedShark drinne gewünscht ;D
http://www.viruslist.com/en/weblog?weblogid=208188050
Hier wird RedShark erwähnt.

Ja im Screen , kk ^^.

Naja der Server war nicht gerade der stabilste, hab ihn von nen mengen Youtube Gaylords gefunden.

Und was sagt uns dieser "Bericht" das die Scene und alle Publicboards unter beobachtung stehen, "BigBrother is watching you".

Und was sagt uns dieser "Bericht" das die Scene und alle Publicboards unter beobachtung stehen

So sieht es aus, wahrscheinlich ließt die gesamte Kaspersky-Belegschaft meine Posts ;)
"Hallo" an alle ;)

http://www.networkcomputing.de/netzwerk/sicherheit/artikel-81602.html
http://www.nachrichten.ch/detail/434338.htm
hab nochmal 2 pages gefunden

Haha, tragt ihr auch immer eure schwarzen Lederhandschuhe wenn ihr euch bei FH einloggt?
Ich schon! Der Artikel hat recht!

http://www.nachrichten.ch/images/363_sw/238486-Cyberkrimineller.jpg

Irgendwie peinlich wenn jetzt selbst die AV Hersteller mitlerweile über die Kids der deutschen Szene lachen. Der Bot war an sich ja nicht mal so schlecht, aber das Verhalten des Sellers und insbesondere des Coders ist einfach nur lächerlich. Mal sehen wann Till7 diesmal sein Comeback ankündigt, lange wirds bestimmt nicht mehr dauern.

yop , dass hab ich hier schon vor 5 monaten gesagt , !com etc berichtet ständig über die scene und das up2date

Haha, tragt ihr auch immer eure schwarzen Lederhandschuhe wenn ihr euch bei FH einloggt?
Ich schon! Der Artikel hat recht!

http://www.nachrichten.ch/images/363_sw/238486-Cyberkrimineller.jpg

hahahah wie geil :lol Ja, dazu trag ich dann immer auch noch ne schwarze mütze:surprised

Irgendwie peinlich wenn jetzt selbst die AV Hersteller mitlerweile über die Kids der deutschen Szene lachen. Der Bot war an sich ja nicht mal so schlecht, aber das Verhalten des Sellers und insbesondere des Coders ist einfach nur lächerlich. Mal sehen wann Till7 diesmal sein Comeback ankündigt, lange wirds bestimmt nicht mehr dauern.

Ich versteh mich eigentlich gut mit till7, aber das find ich bisschen übertrieben. Seit wann wird so ein Hype um einen vb.net Bot gemacht.




Ich bezweifle, dass sich irgendjemand von außerhalb, nen Dreck um FH schert. Nun muss nurnoch einer sagen, dass die Szene zusammenhalten müsse und schon ist das hier ein EpicThread.

Mfg

Naja, wollte selbst mal sagen das dies sehr Lustig ist, da dies auch free promoting für till7 ist!
Naja, hoffe mal till7 kommt irgendwann zurück, hab den Jungen immer gemocht^^.

Ich find die Einleitung schon ziemlich komig , "Deutsche Cyberkriminelle beklagen schlechten Bot-Support" -
Die sind doch nicht seit gestern dran recherchen zu führen. Da machts vom Inhaltsstoff mehr sinn nen Zeus Bot mit Update Pack zu untersuchen.

hats der Jung doch geschafft mal Aufmerksamkeit zu bekommen :D
gibt mittlerweile viele tools von ihm (Anfangs auf Fh ausgestellt)
glaube das war tilltools.com oder so?

Atm gibt es eh nur 5-10 gute bots , alle made in russia und da stimmt der support in de/eng/rus/franz , die deutschen bots ... naja vb.net ??? wtf... welches kiddy kauft den mist ??? leute die wenig investieren wollen und wenige bots als "ich habe eine ganze botfarm" verkaufen.....

lett bots erkennt man an dem preis , gute bots daran , das man es schwer hat den vertreiber zu finden und dieser nicht auf kiddyfragen antwortet und euch evt. wegen euren schlechten deutsch-englisch auslacht und dann noch mehr lacht wenn ihr ankommt mit ich gebe dir 400 psc ;)

leet bericht da er nicht im entferntesten die echte deutsche scene beschreibt oder betrifft.... speedtest hatte den teuersten bot+guten support , und kein vb.net und fud der keiner war...

Nein, dies war www.tilltools.5x.to, dort kann man aber nur den v0id saugen + seinen Abschieds text lesen. Ansonsten wie schon gesagt, schön das Kaspersky 4 free promoted :-).

@milan551, was haben wir von der Promotion ausser Zeitverlust durch Postings in diesem Thread?

Bzw was hat er davon? Genau nichts, ausser eventuell Probleme.


#

@milan551, was haben wir von der Promotion ausser Zeitverlust durch Postings in diesem Thread?

Bzw was hat er davon? Genau nichts, ausser eventuell Probleme.


#

Genau das meine ich doch. Diese "Promotion" ist nichts als ein haufen Dreck. Sorry, falls man voher meine Ironie nicht ganz verstanden hat. Anonsten weis ich selbst nicht was Kaspersky nun davon hat.
:???

Nicht schlecht :D

Mhm vll denkt Kaspersky, sie haben Ahnung? :D
Naja mit ihrem Antivir, wird ziemlich viel Werbung gemacht.
Dabei ist dass Antiviren Programm ziemlich schlecht, man kann es ganz leicht UD bekommen. Vll wollen sie einfach nur "Up To Date" sein.

Kaspersky promoted in erster Linie sich selbst - so nach dem Motto: "schaut her, wir verfolgen alle Cyberkriminellen-News und wissen über Trends bescheid!". Auch das Suggerieren neuer Bedrohungenund Gefahrenquellen hilft dabei, eigene Sicherheitsprodukte abzusetzen :).

OT & Btw (ich konnte das nicht mehr so stehen lassen):
es ist äußerst ... naiv zu glauben, dass aus Deutschland nichts "gescheites" kommt und alle Pros bloß in Russland sitzen würden :rolleyes:

D. ist nur keine geeignete Plattform für Veröffentlichungen =< Grauzone jeglicher Art. Beispiel (den nehm' ich aus dem Bereich, den ich auch kenne ;) ):
Es wird auch immer behauptet, dass es in Deutschland kaum "Cracker" gäbe, da angeblich keine Cracks/Releases aus D. veröffentlicht werden - blöd nur, dass etliche Leute aus de in "internationalen" Groups tätig sind (alleine bei SND=seek'n'destroy sehe ich mindestens 3 Member aus De (und das sind die, die ich noch aus den alten Zeiten von vor 4 Jahren kenne - die neueren Leute sind mir größtenteils unbekannt ;) ). Auf den diversen "Cracker-Kits" (falls es jemandem was sagt - z.B eXe Tools 2oo7/2oo8 wären bekanntere Sammlungen ) sind auch _einige_ Autoren aus D. vertreten. Es posaunt halt keiner heraus ;).

Mag sein, dass es außgerechnet bei Malware/Bots anders ausschaut - aber das glaub' ich irgendwie nicht ;). Bloß wenn man auch noch Geld damit machen will, wird man das ganz bestimmt nicht in D. abwickeln.

Nichts gegen Till7 ,aber der Bot war ja nicht gerade der Beste.
Mal vom Webpanel abgesehen ,hat er beim Connecten viel zu viel Ressourcen (vom Server) verbraucht und außerdem gab es viele tote Bots.
Lächerlich ,dass wegen so einen Bot den man leicht entfernen kann ein Artikel geschrieben wird.

Einer der verärgerten Kunden veröffentliche schließlich das Bot-Paket im Internet. Er beklagte sich, dass der Bot schlecht geschrieben und der Support nicht vorhanden sei.

Wie asi ist das denn? Wer stellt denn einfach den Sourcecode public :(

Leider ist der Support Scheiße und der Bot schlecht geschrieben...

http://www3.pic-upload.de/03.04.10/xxlp7lweo17l.jpg

Sourcecode:

http://ul.to/fjjq4u

Have Fun :)

wisst ihr wo man den bot und "clean" bekommt ???

haha till7 würde ich raten unterzutauchen für die nächste weile ;)

haha till7 würde ich raten unterzutauchen für die nächste weile ;)

Ist er doch?
Er ist aus der Scene ausgetreten.

Find das gnaze recht amüsant :)
Kaspersky feiert sich glaube ich ein wenig deswegen xD

Aber am besten finde ich, dass man auf meinen Blog verlinkt :D:D:D

http://www.computerwoche.de/security/1933186/
(Man drücke auf "v0id bot") ^^ -> Jap jetzt bin ich happy* (Wobei wir grade down sind >.<

Aber der Bot wurde schon recht bekannt.
Hier ein paar weitere Links xD
http://www.kaspersky.com/de/news?id=207566325
http://www.news.ch/Zoff+unter+Cyberkrimi…4338/detail.htm (http://www.news.ch/Zoff+unter+Cyberkrimi%E2%80%A64338/detail.htm)
http://www.computerwoche.de/security/1933186/
http://www.pc-max.de/tags/Bot
http://st.gallen.ch/news/detail.asp?ID=434338
(Lange nicht alle)

Edit:

Leider ist der Support Scheiße und der Bot schlecht geschrieben...

Wenn man ein solches Tool nicht bedienen kann, ist es scheiße, da hast du recht.

Ich habe mir den Source-Code (Darf man das so bezeichnen?) mal angesehen und ich finde das doch sehr belustigend.

Beispiel:

If cbspreadusb.Checked Then
txtusbspreadtext.Enabled = True
Else
txtusbspreadtext.Enabled = False
End IfDer Rest ist nicht besser :D
Und sowas auch noch verkaufen wollen, naja...

Beispiel:

If cbspreadusb.Checked Then
txtusbspreadtext.Enabled = True
Else
txtusbspreadtext.Enabled = False
End IfDer Rest ist nicht besser :D
Und sowas auch noch verkaufen wollen, naja...

Entweder ich check es nicht oder du weißt nicht für was das ist?
lol
Was ist daran so belustigend? Bin verwirrt.

Was ist daran so belustigend? Bin verwirrt.
Du findest das nicht belustigend? :surprised Dann schau' dir mal den kompletten Crap äh Code an...

Oder "programmierst" du etwa auch so?

ist doch eine normale kleine If-Clause die ab und zu mal benötigt wird!!!

den kennen wir doch :)

Na toll, jemand der Sachen verkauft ist in den Nachrichten, und über meinen 1337-IRC-Bot berichtet keiner was :'-(

Ne, sry, aber es gibt so viele Leute die sowas releasen - Till7 ist das einfach mal zufällig rausgepickt worden.
Außerdem gibt es, wie EFBE schon sagt, durchaus auch gute deutsche Pro's in der internationalen Szene - nur weil die Szene primär die englische Sprache benutzt, heisst das ja nicht, das sind nur Amis.

Bsp: guckt euch mal bei codeproject Sourcecodes zu Themen wie der TWAIN-Integration in C an - das sind fast nur Inder die da Schreiben - aber auch auf Englisch (zum Glück xD)

ist doch eine normale kleine If-Clause die ab und zu mal benötigt wird!!!

er meint wohl damit das es vom code so sauberer wäre:
txtusbspreadtext.Enabled = cbspreadusb.Checked

wer wirklich ein guter entwickler werden will, der hält sich an die regeln von:
http://clean-code-developer.de/

und till7 hält sich wohl nicht dran

so nach dem Motto: "schaut her, wir verfolgen alle Cyberkriminellen-News und wissen über Trends bescheid!".

Bestimmt wollten die nur auf die Service-Wüste Deutschland hinweisen.
Echt schlimm, nicht mal auf die illegalen Geschäfte kann man sich hierzulande noch verlassen ;)

RS Mirror zum Source Code (Datei von dynamic):
http://rapidshare.com/files/371627099/v0id_Bot_V3.rar



Mich würde es nicht wundern wenn das ganze nur ein Copy&Paste Produkt ist, zuviele Schreibstile im Code.

edit: den kriegt man wenigstens leicht FUD.


a-squared 4.5.0.50 2010.04.03 -
AhnLab-V3 5.0.0.2 2010.04.03 -
AntiVir 7.10.6.23 2010.04.02 -
Antiy-AVL 2.0.3.7 2010.04.02 -
Authentium 5.2.0.5 2010.04.03 -
Avast 4.8.1351.0 2010.04.03 -
Avast5 5.0.332.0 2010.04.03 -
AVG 9.0.0.787 2010.04.03 -
BitDefender 7.2 2010.04.03 -
CAT-QuickHeal 10.00 2010.04.03 -
ClamAV 0.96.0.0-git 2010.04.03 -
Comodo 4487 2010.04.03 -
DrWeb 5.0.2.03300 2010.04.03 -
eSafe 7.0.17.0 2010.04.01 -
eTrust-Vet 35.2.7405 2010.04.02 -
F-Prot 4.5.1.85 2010.04.03 -
F-Secure 9.0.15370.0 2010.04.03 -
Fortinet 4.0.14.0 2010.04.03 -
GData 19 2010.04.03 -
Ikarus T3.1.1.80.0 2010.04.03 -
Jiangmin 13.0.900 2010.04.03 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.04.03 -
McAfee 5937 2010.03.31 -
McAfee+Artemis 5937 2010.03.31 -
McAfee-GW-Edition 6.8.5 2010.04.02 -
Microsoft 1.5605 2010.04.03 -
NOD32 4997 2010.04.03 -
Norman 6.04.10 2010.04.03 -
nProtect 2009.1.8.0 2010.04.03 -
Panda 10.0.2.2 2010.04.03 -
PCTools 7.0.3.5 2010.04.03 -
Prevx 3.0 2010.04.03 -
Rising 22.41.04.05 2010.04.02 -
Sophos 4.52.0 2010.04.03 -
Sunbelt 6134 2010.04.03 -
Symantec 20091.2.0.41 2010.04.03 Suspicious.Insight
TheHacker 6.5.2.0.251 2010.04.02 -
TrendMicro 9.120.0.1004 2010.04.03 -
VBA32 3.12.12.4 2010.04.02 -
ViRobot 2010.4.3.2259 2010.04.03 -
VirusBuster 5.0.27.0 2010.04.03 -

weitere Informationen
File&nbsp;size: 30312 bytes
MD5&nbsp;&nbsp;&nbsp;: 8f0f1406e3471f9ce57069dba6f3b626
SHA1&nbsp;&nbsp;: e47ab03fa7641a5476ff143b2aa7e1fe3177f124
SHA256: 401fb8db546d90980b45009ecb5fc1882ebb6d8331e15cca37 a015042a0962a9
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x7C5E<br> timedatestamp.....: 0x4BB78D6D (Sat Apr 3 20:48:13 2010)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 4 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x2000 0x5C64 0x5E00 5.69 0e2d2c8aad251ff4cf3fb41ddbbb97ca<br>.sdata 0x8000 0x7C 0x200 1.77 888c922cbe5fedea5b28785905bf6736<br>.rsrc 0xA000 0xEA0 0x1000 4.87 435ca1574ac15ab3b5f5ff6fa55fc7de<br>.reloc 0xC000 0xC 0x200 0.08 82811a86c84149da5f68df3c8176b10a<br> <br> ( 1 imports )<br> <br>&gt; mscoree.dll: _CorExeMain<br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>Win64 Executable Generic (45.8%)<br>Generic CIL Executable (.NET, Mono, etc.) (39.2%)<br>Windows Screen Saver (7.0%)<br>Win32 Executable Generic (4.5%)<br>Win16/32 Executable Delphi generic (1.1%)
ssdeep: 384:zX9QF/jHx1bYJaEasNZaldiWI3fCzO7UQALf45ZtuySBfrf/AZc7uOStVRsNSYcP:a/zfY7baHiB3fCqIQEd4ZjHtpYcGm
sigcheck: publisher....: 1121<br>copyright....: 124124<br>product......: 12141<br>description..: 213<br>original name: bot.exe<br>internal name: bot.exe<br>file version.: 1.0.1.1<br>comments.....: 45141<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

Wouhhhuu Dank des Artikels bin ich jetzt auch ungewollt ein bisschen Famous :S

Kriege jeden Tag 10 neue "Freunde" im Icq usw. Till7 kommt wieder nicht wieder so wie wir ihn gekannt haben.

Spiel dich nicht auf, du bist nur ein malware seller, du hast die Software nicht mal selbst gecodet.

Wouhhhuu Dank des Artikels bin ich jetzt auch ungewollt ein bisschen Famous :S

Kriege jeden Tag 10 neue "Freunde" im Icq usw. Till7 kommt wieder nicht wieder so wie wir ihn gekannt haben.

Du bist und bleibst aber trotzdem ein verdammt kümmriges Würstchen.
Ich frage mich wieso relativ viele Computernewsseiten einen Artikel aufgrund des Eintrags von Kaspersky schreiben. Kommt für mich irgendwie lächerlich rüber.
Zum Thema Deutsche in der globalen Scene: Die führenden Bots (ZeuS, SpyeEye und AFAIK auch Baracuda) sind alle von Russen gecodet, welche meistens noch nicht einmal richtiges Englisch können. Natürlich gibt es wohl noch einige gute deutsche Coder, nur ist das Risiko in unserem Lande wohl deutlich grösser als im Osten.

Du bist und bleibst aber trotzdem ein verdammt kümmriges Würstchen.
Ich würsd zwar nicht so ausdrücken ,aber gut ist er dadurch sicher nicht ;)
Zum Thema Deutsche in der globalen Scene: Die führenden Bots (ZeuS, SpyeEye und AFAIK auch Baracuda) sind alle von Russen gecodet, welche meistens noch nicht einmal richtiges Englisch können.[/QUOTE]
Naja dr.Troj vom Baracuda kann verstehbares Englisch und der Coder vom Spyeye auch :P
Ob der vom Zeus Englisch kann weiß ich nicht.

Das war nicht der richtige 3lite ;-)
Und Till7 wird auch nicht wieder kommen. (Nehme ich jetzt einfach mal so an, dass er nicht mehr kommt. :D)

Symantec 20091.2.0.41 2010.04.03 Suspicious.Insight


Fail Av, die erkennen fast alles als "Suspicious.Insight".

Lol wie geil, das wundrt mich ganz, till7 ganz groß in der scene, wow ein glück, dass ich ihn kenne


Gruß

Slawa

Ich denke das war ein Streich von Kaspersky , die lachen euch aus , ha-ha.

ne mal ohne witz, dass ist echt ne verarsche gegen deutsche cyberhacker. wann werden denn bitte schön die usernames von cyberkriminellen gepostet `? nicht mal bei nem botnet von 500 k findet man den namen des coders oder des besitzers.

und dann auch noch den reseller nennen WTF?

Ghosty auch wenn till7 weg ist, es gibt genug gute coder, die den bot bzw. neue bots coden werden, mal abwarten was sein wird, kasperky lachen ja nur, aber wer zu letzt lacht, lacht am besten, ich lach dann, wenn kasperky down ist


Gruß

Slawa