Мир: Эксперты взломали DGA-алгоритм трояна Sphinx

0

Исследователи безопасности из Arbor Networks взломали алгоритм генерации доменных имен (Domain Generation Algorithm, DGA), используемый банковским трояном Sphinx. Теоретически, это поможет экспертам совместно с правоохранительными органами ликвидировать ботнет.

Sphinx был обнаружен в августе прошлого года и представляет собой очередную модификацию известного банковского трояна Zeus. Подобно Zeus, установившись на системе жертвы, вредонос подключается к удаленному серверу, загружает дополнительные модули и получает дальнейшие инструкции. Список IP-адресов и доменов (т.е., C&C-серверов), к которым подключается Sphinx, вшит в его исходный код.

В новые версии трояна, помимо статичных данных C&C-серверов, вирусописатели добавили поддержку резервной инфраструктуры C&C-серверов на случай, если правоохранители ликвидируют основную.

Как пояснил эксперт Arbor Networks Дэннис Шварц (Dennis Schwarz), резервная система базируется на DGA, генерирующем доменные имена, известные только операторам трояна. По словам исследователя, данный алгоритм оказался очень простым и эксперты с легкостью взломали его. Теперь они смогут вычислить местоположение всех возможных C&C-серверов трояна. Как оказалось, алгоритм генерирует доменные имена на основе текущей даты. Отталкиваясь от даты, DGA генерирует 16 случайных символов и добавляет в конец .com. (Arbor Networks/NovostIT)