Sunday, 27 November 2011

FakeAV/FakePoliceAlert: Source code for sale

Got an unexpected surprise today, when I see where the referers from my blog goes:

A guys under the nick of 'abprojects' just made a thread for selling Fake AV source code


Screenshots made by the seller:

As you can see on the first picture he seem also in contact with the BestAV affiliate.



I've decided to contact him with my real nick.


Price of the FakeAV package and the FakePoliceAlert:

Example of his work:




"I don't worry FBi or any police"

Terms of Reference to develop a program PLock:
        Техническое задание на разработку программы PLock.
    Необходимо разработать программу, которая сделает невозможной или затрудненной работу пользователя с компьютером; вынудит пользователя отправить платежные данные по электронной почте; после проверки платежных данных оператором, данный компьютер должен быть разблокирован, программа должна вернуть состояние компьютера в  первоначальное состояние и самоудалиться.
   
    Необходимые особенности.
    1. Невозможный вызов диспетчера задач и редактора реестра.
    2. Окно программы имеет фокус все время, нет возможности переключиться на другое окно. Не закрывается по ALT+F4.
    3. Не дает антивирусам обновить базы сигнатур и обращаться на сайты компаний.
    4. Автозагрузка, в безопасном режиме тоже.
    5. Самоудаление, если много дней прошло - и оплаты нет
   
        Технические требования.
1.    Язык программирования — C/C++.
2.    Код должен компилироваться MS-компилятором.
3.    Платформа — Windows x86/x64
4.    Отсуствие CRT, для уменьшения размеров
   

    Заметки о реализации.
При запуске программа должна проверить версию операционной системы, если версия выше, чем Windows Vista, нужно проверить http://msdn.microsoft.com/en-us/library/bb250462%28v=vs.85%29.aspx.
Если версия ниже, но нет прав, то тоже самое.
Если он включен, то можно ничего не делать и самоудалиться.

При создании интерфейса будут использоваться картинки, чем больше размер картинки тем больше размер в итоге exe,
поэтому нужно свести использование картинок к минимуму.

При запуске, если есть все условия программа создает окно на весь экран:

Должна содержаться информация о данных компьютера и IP/провайдере.
Необходимо где-то брать эти данные – как вариант делать запрос на наш сайт, где будет находиться скрипт, который по IP будет выдавать инфо.
Логотип какой-то организации, которая грозит чем-то.

Должно содержаться после ввода пароля, который будет разблокировать компьютер и удалять программу.
Пароль будет присылаться по электронной почте, этот пароль будет генерироваться каждый день, при сборке билда.


BUNDESPOLIZEI

        Техническое задание на разработку программы-заставки PMessage.
    Необходимо разработать программу, которая создает одно окно, отображает картинки и текст, содержит поля ввода и прочие элементы.
   
    Необходимые особенности.
    1. Созданное окно не должно содержать верхнего меню, окно не должно двигаться и увеличиваться/уменьшаться в размерах.
        Окно программы имеет фокус все время, нет возможности переключиться на другое окно. Размер окна 1024x768. При нажатии правой кнопкой мыши
        на окне должен создаваться диалог о подтверждении закрытия окна.
        при введении данных в поле ввода, должна вызываться функция-заглушка.
    2. Используемые картинки должны содержаться в ресурсах исполняемого файла, в формате отличном от bmp.
    Возможно 1-2 картинки буду рисоваться с помощью GDI+.
   
        Технические требования.
1.    Язык программирования — C/C++, с использованием только WINAPI функций, включая GDI+.
2.    Платформа — Windows x86/x64, начиная с Windows XP SP1
3.    Исходный код должен быть откоментирован.


ver, os, id, sub, ip, loc, isp, code (start, voucher), data
    type, num

    Необходимые доработки.

1. Контроль ввода пользователем данных, длина и цифры только.
2. Шифрование RC4 отправленных данных.

3. Разблокировка машины.
1. Проверить данные автоматически не выйдет, только вручном режиме.
После ввода кода и разблокировкой машины должно пройти время, когда чек провериться/заналиться.
Может быть реализовано так - чел отправил данные, через день-два когда чеки заналятся
в админке введут айпи и когда бот обратится в админку - его разбанят. Минусы это схемы в том. что бот должен обращатся
периодически на сайт, что будет вести к увеличеснию абуз на сайты. Еще минус - время нужное на написание кода этого
и отладки и тестов. Плюсы сомнительные, может быть какой-то процент чеков будет дольше жить не 1-2-3 дня а 2-3 или может
дольше.


4. Контроль виртуальных машин.
5. Шифрование всех строк в EXE
+

By speaking with him i got more screenshots

AB:





BKA:



BKA Source code:



The FakeAV business got a huge decline, but they always look's for people
As you can see on this screenshot, a guys asked for an affiliate and two managers answered:


Edit: Three more screenshots




Edit 28 Nov: Translation of the 'Plock' text by Vyacheslav Zakorzhevsky (thanks man)
Requirements specification for Plock program developing.

The task is to develop program, which makes the user using of OS impossible or difficult; so user would have to send payment info to email; after processing operator checks payment info, the computer will be unlocked, program will delete itself and OS will be returned to initial condition.

Necessary requirements:    

1.    It is impossible to run Task Manager or Registry editor.
2.    The Plock window has focus all time, no possibility to open another window. Can’t be closed by ALT+F4.
3.    Plock makes AVs not to update signature base and connect to AV servers.
4.    Permanent autorun, also in safemode.
5.    If Plock isn’t be paid for a few days it will delete itself.

Technical requirements:
1.    The programming language – C/C++.
2.    The source code must be able to be compiled by MS-compiler (MSVC probably?).
3.    Platform – Windows x86/x64.
4.    Absence of CRT for less final size.

Some notes about realization.    

After started, Plock will have to check OS version. If version is above than Windows Vista, this URL (http://msdn.microsoft.com/en-us/library/bb250462%28v=vs.85%29.aspx) has to be checked. If the version is below, but no privileges (I suppose authors meant “SeDebugPrivilegue”), the URL I wrote above has to be checked. If he is enabled (maybe “protected mode” ???) Plock may do nothing and has to delete itself.

Plock GUI will contain some pictures and it is better to use not so many and to use pictures with small size.

In case of success the program would start and open fullscreen window:

The opened windows must contain computer and IP/provider information.
It is necessary to collect this info somewhere – maybe make a request to our site where our script is located, which will give appropriate info by IP.

Some organization logo which threatens a user with something.

Plock window must contain textbox for password,which will be used for computer unlocking and self-deleting.

This password will be sent to Email and will be generated every day while building the project. (don’t  quite understand what authors meant in this sentence)




BUNDESPOLIZEI

Requirements specification for PMessage program developing

The task is to develop program, which creates windows, draws pictures and text, and contains textboxes and other elements.

Necessary features:

1.    Created window does not contain an upper menu and is not able to move, shrink and widen. This windows has focus all time, user is not able to choose another window. The window size is 1024x768. When right button mouse click occurred a dialogue window with confirmation of closing will appear. While entering data in textbox an empty function (maybe this function will be modified by ‘client’)) must be called.
2.    Used pictures must be located in resource directory of executable file, graphic format is not BMP. Perhaps 1 – 2 pictures will be drawn in GDI+.

Technical requirements:

1.    The programming language – C/C++, just WinAPI functions, including GDI+.
2.    Platform – Windows x86/x64, beginning from Window XP SP1.
3.    Source code must be commented.

------------from original text begin------------------
ver, os, id, sub, ip, loc, isp, code (start, voucher), data
     type, num
------------from original text end------------------

Required improvements:

1.    User input should be controlled, just length and digits.
2.    Sent data should be encrypted with RC4.
3.    OS /PC unlocking.
4.    Virtual machine detection.
5.    All string in EXE should be encrypted.

The latest part of this text is discussion about payment processing. An author is discussing about advantages and disadvantages of payment processing scheme with cheques. Malefactors will probably stop processing payments because of absence of good advantages and need of time to develop and to test improvements.

1 comment:

  1. Author column is still visible on several of the first extra screenshots.

    ReplyDelete