Ботнет Monkif прячет команды в JPEG-файлы

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 11 июл 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Исследователи McAffee обнаружили очень странный ботнет Monkif, который удивителен по нескольким причинам. Во-первых, хотя C&C-серверы ботнетов обычно часто меняют дислокацию, в данном случае командный сервер аж с 2009 года работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152).

    Во-вторых, ботнет Monkif использует технику стеганографии, чтобы спрятать свои коммуникации от внешнего наблюдателя: в частности, адреса вредоносной загрузки прячутся внутри файлов JPEG. Кроме того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет свой SSL-сертификат.

    [​IMG]

    GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716×5772=70<x
    GET /babynot/pzj.php?dnr=722576<x644420x4x4x4x0x
    GET /sodoma/xcgyscm.php?gquo=<<<6<4x644475x4x4
    GET /karaq/mueoyisc.php?wgau=127=27×64446<x4x4x4x53

    В ответ на эти запросы создаются настоящие файлы JPEG.

    [​IMG]

    [​IMG]



    источник
     
    1 человеку нравится это.

Поделиться этой страницей