Боты, которые не могут соединиться с командным сервером, не имеют никакой ценности для злоумышленников, поэтому те стараются найти новые и более эффективные способы сохранения соединения. Указание URL командного сервера прямо в коде зловреда — плохой вариант. Другой способ — P2P-соединение между ботами с передачей URL между ними после вброса адреса на один из узлов. Ещё один — передача трафика через псевдоанонимную сеть Tor.
Изменяя адрес командного сервера каждые несколько часов, хозяева ботнетов могут спокойно обходить защиту файрволов, чьи базы данных обновляются гораздо реже. Для генерации новых доменов злоумышленники используют алгоритм, код которого прописан в клиентском программном обеспечении и известен хозяину. Специалисты из антивирусной компании Seculert сообщают, что недавно злоумышленники усовершенствовали технику.
Новая техника генерации доменов обнаружена в трояне Matsnu. Новая версия этого зловреда позволяет устанавливать количество доменов, генерируемых каждый день, а также срок использования старых доменов.
Как видно на скриншоте вверху, Matsnu при генерации использует списки известных существительных (878 штук) и глаголов (444).
