Троян Matsnu использует реконфигурируемый алгоритм генерации доменных имен


Matsnu/Trustezeb (Seculert) - троянская программа, предназначенная для генерации доменных имен (domain generation algorithm, DGA), и использующая довольно любопытную технику для обхода средств защиты безопасности.

DGA-алгоритм Matsnu генерирует 24-символьные доменные имена, которые основаны на комбинации существительных и глаголов (существительное – глагол – существительное - глагол). При этом используемые слова могут быть введены злоумышленником, либо взяты из предопределенного списка, содержащего 878 существительных и 444 глагола.

Используя в своих целях данный метод, злоумышленники смогли обходить фонетические алгоритмы машины, которые отслеживают бессмысленные доменные имена, например, ldfjdiehwslgoeh.com.

Установлено, что DGA-алгоритм является реконфигурабельным, т.к. позволяет киберпреступникам установить количество ежедневно генерируемых доменных имен, а также время, через которое ранее сгенерированное доменное имя может быть использовано повторно.

После инфицирования машины, троянская программа соединяется с C&C-сервером посредством отправки HTTP-запроса. По команде C&C-сервера вредонос собирает информацию о системе, в том числе:

  • имени пользователя;
  • имени компьютера в сети;
  • версии операционной системы;
  • о центральном и графическом процессорах;
  • виртуальных машинах;
  • языках, драйверах и установленных средствах защиты безопасности.


Кроме того, по инструкции C&C-сервера троян может выполнять различные действия, например, самоудаляться, самомодифицироваться, обновлять предопределенный список доменных имен или загружать файлы. Установлено, что коммуникации между инфицированным компьютером и командным сервером обфусцированы, а все пересылаемые данные сжаты и зашифрованы.

Кроме того, удалось выяснить, что Matsnu использует новый алгоритм с июня 2014 года. При этом наибольшее количество инфицирований этим трояном было зафиксировано в Германии, Австрии и Польше.