Troian care pozeaza in fisier JPEG

Specialiştii companiei de securitate SecureWorks monitorizează cu atenţie activitatea botnet-lui Monkif/DlKhora. Acesta este un specimen de troian de tip downloader, al cărui principal scop este de a primi instrucţiuni pentru a descărca şi executa alte programe malware.

De asemenea, Monkif/DlKhora încearcă să neutralizeze programul anti-virus instalat pe calculatorul atacat precum şi software-ul firewall pentru a nu-şi face simţită prezenţa în sistemul atacat.

O tehnică interesantă pe care botnet-ul Monkif o utilizează pentru a-şi ascunde prezenţa este de a-şi codifica instrucţiunile astfel încât serverul central al reţelei botnet să îl „prezinte" drept un banal fişier JPEG. Comenzile sunt codificate utilizând un singur octet XOR cu 0 × 4.

Malware-ul pe care îl instalează Monkif este un troian BHO (Browser Helper Object) cunscut în mod obişnuit sub denumirea ExeDot.

Botnet-ul nu face nici o încercare pentru a masca mărimea fişierului, astfel ca acesta să devină reprezentativ din punct de vedere al mărimii pentru un fişier JPEG adevărat. Această caracteristică poate oferi oportunităţi pentru contramăsuri eficiente în procesul de detecţie a malware-ului.

Sursa: chip.ro