По сообщениям Seculert, сайт php.net был взломан при помощи набора эксплоитов, в который входит пять различных вредоносных программ. Напомним, что атака на php.net проводилась 24 октября текущего года. Эксперты Seculert провели расследование инцидента безопасности и обнаружили один довольно странный и опасный вид вредоносной программы, который они назвали DGA.Changer.
Этот вирус загружает другие вредоносные программы на целевые системы. Специалистам удалось выяснить, что сейчас с командными серверами DGA.Changer связывается около 6500 уникальных IP-адресов, половина из которых зарегистрирована в США.
Вирус использует систему генерации доменных имен для командных серверов (Domain Generation Algorithm), что означает, что каждый бот может получить команду изменить набор доменных имен, к которым он подключается. В связи с этим, вредоносную программу очень тяжело обнаружить, так как боты постоянно подключаются к разным потокам доменных имен. Непонятным в деятельности DGA.Changer является то, что его боты пока не выполняют никаких вредоносных действий. Они скачивают один вредоносный файл, который отправляет на командный сервер информацию о зараженном компьютере. Вполне вероятно, что машины заражаются для того, чтобы потом их можно было продать. Точные намерения мошенников пока не удалось вычислить, а поэтому в Seculert продолжают следить за ботнетом. (Seculert/NovostIT)
