شماره: IRCNE200910417
محققان حوزه امنيت يك botnet جديد كشف كرده اند كه با استفاده از يك تكنيك جالب، سعي ميكند اهداف شوم خود را پنهان نمايد. بر اساس گفته هاي يك محقق امنيتي شركت SecureWorks، اين Botnet كه Monkif/DIKhora نام دارد، دانلود كننده هاي تروجان را به سيستم آلوده وارد كرده، و دستورات خود را طوري رمز ميكند كه به نظر برسد سرور دستور و كنترل، در حال باز گرداندن يك فايل تصوير JPEG است.
وي اظهار داشت كه اين سرور، هدر HTTP را در قسمت نوع محتوا به «image/jpeg» تنظيم كرده و دستورات Botnet را با يك هدر 32 بايتي تقلبي JPEG آغاز مينمايد. كامپيوتر مورد نظر نيز پس از دريافت پيغام از سرور دستور و كنترل، چك ميكند كه هدر اين پيغام با هدري كه سرور تنظيم كرده است همخواني داشته باشد. آنگاه بقيه پيغام را رمزگشايي كرده و دستور سرور را دريافت و اجرا مينمايد.
بدافزاري كه مشاهده شده است توسط Monkif نصب ميشود، يك تروجان BHO (Browser Helper Object) است كه معمولا بعنوان ExeDot شناخته ميشود. اين تروجان، عمليات سرقت تبليغات و كليك روي تبليغات را انجام ميدهد.
اين تروجان كه اين Botnet را همراهي ميكند، همچنين سعي ميكند كه آنتي ويروس و نرم افزار فايروال شخصي را از كار انداخته و جاي پاي خود را روي سيستم آسيب ديده محكم كند.
- 2