Расследование инцидента взлома php.net


phpЭкспертами компании Seculert было проведено расследование инцидента безопасности, в результате которого удалось обнаружить довольно интересный экземпляр вредоносной программы, названный впоследствии DGA.Changer. Данный вредонос способен загружать другие вредоносные программы на целевые системы.

Также специалистам удалось установить, что в настоящее время с командными серверами DGA.Changer связывается около 6,5 тыс. уникальных IP-адресов, половина из которых зарегистрирована в США.

Вирус использует систему генерации доменных имен для командных серверов (Domain Generation Algorithm). Простым языком - каждый бот может получить команду изменить набор доменных имен, к которым он подключается. Из-за этого функционала вредоносной программы, ее довольно тяжело обнаружить, к тому же боты постоянно подключаются к разным потокам доменных имен.

Интересно, однако в деятельности DGA.Changer, его боты пока не выполняют никаких вредоносных действий. Они скачивают один вредоносный файл, который затем отправляет на командный сервер информацию о зараженном компьютере.

Точные намерения мошенников установить пока не удалось, однако специалисты считают, что машины заражаются для их последующей продажи.


Обновлено (19.12.2013 19:30)