Ботнет Monkif прячет команды в JPEG-файлы Исследователи McAffee обнаружили очень странный ботнет Monkif, который удивителен по нескольким причинам. Во-первых, хотя C&C-серверы ботнетов обычно часто меняют дислокацию, в данном случае командный сервер аж с 2009 года работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152). Во-вторых, ботнет Monkif использует технику стеганографии, чтобы спрятать свои коммуникации от внешнего наблюдателя: в частности, адреса вредоносной загрузки прячутся внутри файлов JPEG. Кроме того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет свой SSL-сертификат. Вот как Monkif маскирует запросы к командному серверу с заражённой машины. Для каждого из них генерируется новое название с зашифрованными параметрами, например: Code: GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716×5772=70<x GET /babynot/pzj.php?dnr=722576<x644420x4x4x4x0x GET /sodoma/xcgyscm.php?gquo=<<<6<4x644475x4x4 GET /karaq/mueoyisc.php?wgau=127=27×64446<x4x4x4x53 В ответ на эти запросы создаются настоящие файлы JPEG. 10.07.2012 http://www.xakep.ru/post/58971/ http://blogs.mcafee.com/mcafee-labs/monkif-botnet-hides-commands-in-jpegs
Мда. Скопировала, а потом стала искать помимо этого текста инфо.. первое что попалось мой же пост трех летней давности Ботнет прячет команды в картинки .. McAffee называется проснулись и всё показалось такое странное..