24 октября сайт PHP.net оказался заблокирован в Google как вредоносный. Известие застало врасплох администраторов. В первое время многие думали, что сайт заблокирован по ошибке. Но проведенное разбирательство показало следы неавторизованного доступа на нескольких серверах. Все они оказались инфицированы вредоносным кодом и осуществляли заражение посетителей сайта PHP.net с 22 по 24 октября. Сейчас специалисты компании Seculert опубликовали анализ этого вредоносного кода.
Оказывается, вредоносный скрипт вызывал набор эксплойтов с пятью разными зловредами. Один из них, который получил название DGA.Changer, крайне любопытен. К настоящему времени удалось вычислить более 6500 уникальных IP-адресов, которые связываются с командными серверами DGA.Changer. Примерно половина из них находится в США, российских или украинских адресов нет.
DGA расшифровывается как Domain Generation Algorithm и означает систему генерации доменных имен для командных серверов. Необычно то, что в этом ботнете каждый бот может получать команду изменить набор доменных имен, к которым подключаться (алгоритм обозначен на схеме внизу). Как результат, сеть чрезвычайно трудно обнаружить традиционными методами, потому что первоначальные домены для командных серверов оказываются нефункциональными к моменту анализа.
Странно, что к настоящему моменту боты DGA.Changer не совершали никаких вредоносных действий. Они скачали только один файл, который не сделал абсолютно ничего, кроме как отправить на удаленный сервер информацию о зараженной машине. Предполагается, что их заразили с целью последующей продажи.
Тем не менее, отсутствие активности в ботнете, состоящем из компьютеров разработчиков, вызывает опасения. Непонятно, какие намерения у злоумышленников. Мониторинг ботнета продолжится. В случае получения клиентами осмысленных команд об этом станет известно.
