Еволюция на бот-мрежите
February 25th, 2008 от 
singu
Тъй като напредъка в борбата с бот-мрежите заплашват солидните приходи на бот-пастирите, то последните се стараят следващите им отрочета да са по-хитри, по-незабележими и да носят все повече пари. Типичен пример за това е споменатия наскоро ботнет Mega-D, както и една новооткрита бот-мрежа, наречена MayDay от откривателите си от Dambalia. При MayDay има изградени няколко комуникационни канала, които осигуряват надежност на връзката:
- стандартен HTTP към сървърите за контрол и управление. Този протокол ползва дори и настройките за прокси на заразения компютър и може да премине през доста от традиционните мерки за сигурност, които се прилагат от администраторите. Нещо повече - взети са специални мерки да се затрудни анализа на бот-а от антивирусните компании, включително генериране/проверка на времеви кодове.
- P2P комуникационен канал между отделните компрометирани машини, като комуникацията е замаскирана като ICMP протокол1
- втори P2P канал, който не е замаскиран като друга услуга.
Mega-D пък използва нов гаден трик - голяма част от е-майл сървърите ( SMTP за техничарите ) използват проста техника за отказване на спамъри - ако за даден изпращач се подозира, че е спамър, то мейл сървъра го кара да отложи изпращането на писмото с известно време ( достигащо до няколко часа ). За обикновен спам рилей това е достатъчно да се откаже, но Mega-D всъщност запазва писмото и наистина го изпраща след исканият период от време. За първи път такава функционалност се забелязва на толкова ниско ниво.
Също така изследователи твърдят, че са намерили връзка между бот-а на Mega-D и малко известната фамилия вируси “Ozkok”, често използвана от руските хакерски общности.
_________- или пинг - за лаиците [обратно горе↩]
