Вирусописатели обновили вредоносный код, берущий на вооружение популярную
функцию API от Twitter для генерации труднопредсказуемых доменных имен.
Некоторые из этих имен впоследствии используются для запуска эксплоитов на
компьютерах пользователей.

Впервые об этой проблеме
сообщил
четыре недели тому назад российский исследователь Денис Синегубко,
однако в тот раз сценарий атаки не срабатывал из-за сырости кода. Теперь же
Денис обнаружил новую, исправленную версию данного алгоритма. В среду в интервью
изданию El Reg он подчеркнул, что ряд сгенерированных преступниками доменных
имен уже зарегистрирован и в настоящее время активно используется для
распространения вредоносных программ.

Методика генерации позволяет хакерам получить в свое распоряжение
бесчисленное количество имен сайтов, между которыми они могут легко
переключаться, серьезно затрудняя тем самым попытки заблокировать атаку. Вместо
того, чтобы использовать для нападения один и тот же сайт, злоумышленники
переключаются с адреса на адрес каждые 12 часов.

При генерации доменных имен используется обращение к списку самых популярных
тем на Twitter, который постоянно меняется. Таким образом, предсказать заранее,
какие адреса будут сгенерированы и успеть заблокировать их (как это было в
случае с Conficker) уже не получится.

Однако между процессом генерации имени домена и началом его использования
проходит около суток, поэтому Синегубко разработал утилиту, позволяющую
предсказывать следующее доменное имя. Его генератор дает системным
администраторам достаточно времени для того, чтобы заблокировать необходимый
адрес, кроме этого, появляется возможность зарегистрировать доменное имя раньше
злоумышленников.

Более полное описание проблемы доступно

здесь
, а посмотреть на генератор Синегубко в действии можно

здесь
.

Оставить мнение