SecureWorks: ботнет прячет инструкции в картинки

image

Теги: SecureWorks, ботнет, троян

Специалисты SecureWorks обнаружили ботнет, который маскирует инструкции от контролирующего центра под JPEG-файлы.

Специалисты SecureWorks обнаружили ботнет, который маскирует инструкции от контролирующего центра под JPEG-файлы. По заявлениям специалистов, эта маскировка под картинки далеко не совершенна, поэтому она вполне поддаётся "вычислению" защитными средствами.

Речь идёт о троянской программе, которую в SecureWorks называют Monkif/DlKhora. Основное назначение этого трояна заключается в загрузке на зараженный компьютер других программ и их последующем запуске. Кроме того, Monkif пытается отключать установленные на компьютере антивирусную защиту и файрвол.

Специалисты отмечают, что особый интерес представляет схема взаимодействия этого загрузочного трояна с контролирующим центром. Инструкции от него приходят в таком виде, словно это HTTP-сервер, возвращающий изображение в формате JPEG по запросу клиентской машины. В частности, они сопровождаются HTTP-заголовком с "Content-Type: image/jpeg", а также 32-байтным JPEG-заголовком. Бот мониторит входящий трафик. Распознает такой заголовок, и затем  декодирует оставшуюся часть сообщения.

Впрочем, как говорят в SecureWorks, несмотря на то, что задумана эта схема с некоторой долей фантазии, реализована она довольно топорно. Так, инструкции кодируются весьма примитивно: "исключающее или" с фиксированным однобайтовым ключом. Маскировка под картинку тоже является неидеальной. Даже данные о размере изображения в поддельном JPEG-заголовке не соответствуют самому "изображению"-инструкции. Все это может быть использовано специалистами для отлавливания таких инструкций в общем трафике.


или введите имя

CAPTCHA
Страницы: 1  2  
гафрирован шланг
02-10-2009 12:02:12
спасибо за бета тестинг...
0 |
Холивар
02-10-2009 12:16:23
Не за что. Когда следующая версия будет?
0 |
Расработчуги
02-10-2009 13:41:49
Сейчас разрабатывается piz.da.internet.2.0, предположительно в следующем месяце выйдет.
0 |
Строян
02-10-2009 12:53:29
ботнет прячет инструкции, игрушки и картинки//fixed Детский сад какой-то, а не школа.
0 |
Игрекс
02-10-2009 13:31:47
Ой, каптче и мне нравятся мне творческие подходы!
0 |
Германский Онлайн-Педофил
02-10-2009 13:52:17
А можно ещё на заборах картинки с инструкция развесеть
0 |
Оффлайн-Педофил
02-10-2009 13:56:11
Браток, подкинь пару картинок!!!
0 |
Германский Онлайн-Педофил
02-10-2009 14:06:14
да пожалуйста http://www.securitylab.ru/upload/iblock/50c/50c9c9d44582b5666bf014826eea8d87.jpg
0 |
aziatkofag
02-10-2009 14:16:25
тайна куклочана раскрыта
0 |
крутойпарень
02-10-2009 14:35:44
классный строянс, я хочу такой ,мама купи,а я в школе пятерку получу, по 0Н0низму.
0 |
Страницы: 1  2