Эксперты компании SecureWorks нашли ботнет, маскирующий инструкции от центра управления под JPEG-файлы. Эта маскировка, к счастью, далека от совершенства, поэтому легко вычисляется защитными средствами.
Как сообщает сайт Webplanet.ru, речь идет о троянце Monkif/DlKhora. Главное назначение этого вредоносного кода заключается в загрузке на инфицированные компьютеры программ и их запуск. Кроме того, Monkif также пытается обезвредить файрвол и установленные на ПК антивирусные программы.
Самое интересное в этой схеме – взаимодействие загрузочного трояна с центром управления. Инструкции от контролирующего центра приходят в следующем виде: HTTP-сервер возвращает картинку в формате JPEG по запросу компьютера. К примеру, они могут сопровождаться заголовком «Content-Type: image/jpeg» или 32-байтным JPEG-заголовком. Троян мониторит весь входящий трафик и если распознает данный заголовок, то декодирует остальную часть сообщения.
Впрочем, несмотря на то, что разработанная схема достаточно нова и задумана с некоторой долей фантазии, реализация ее проведена на довольно низком уровне. В частности, все инструкции кодируются примитивно: «исключающее или» с одним и тем же однобайтовым ключом.
Маскировка под изображение также неидеальна. Даже сведения о размере картинки в фальшивом JPEG-заголовке не соответствуют «картинке»-инструкции. Именно этот недостаток, по словам специалистов по безопасности, можно использовать для отлавливания подобных инструкций в трафике.
