Исследователи McAffee обнаружили очень странный ботнет Monkif, который удивителен по нескольким причинам. Во-первых, хотя C&C-серверы ботнетов обычно часто меняют дислокацию, в данном случае командный сервер аж с 2009 года работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152).
Во-вторых, ботнет Monkif использует технику стеганографии, чтобы спрятать свои коммуникации от внешнего наблюдателя: в частности, адреса вредоносной загрузки прячутся внутри файлов JPEG. Кроме того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет свой SSL-сертификат.
Вот как Monkif маскирует запросы к командному серверу с заражённой машины. Для каждого из них генерируется новое название с зашифрованными параметрами, например:
GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716×5772=70<x GET /babynot/pzj.php?dnr=722576<x644420x4x4x4x0x GET /sodoma/xcgyscm.php?gquo=<<<6<4x644475x4x4 GET /karaq/mueoyisc.php?wgau=127=27×64446<x4x4x4x53
В ответ на эти запросы создаются настоящие файлы JPEG.
