Новая версия трояна Matsnu использует реконфигурируемый алгоритм генерации доменов

Эксперты обнаружили новую версию трояна Matsnu (также известную как Trustezeb), алгоритм генерации доменных имен (domain generation algorithm, DGA) которой использует довольно любопытную технику для обхода средств защиты безопасности. По словам экспертов, Matsnu использует новый алгоритм с июня 2014 года. Наибольшее количество инфицирований этим трояном было зафиксировано в Германии (89%). Немного меньше – в Австрии и Польше.

DGA-алгоритм Matsnu генерирует 24-символьные доменные имена, основанные на комбинации существительных и глаголов (существительное – глагол – существительное — глагол). Используемые слова могут быть введены хакеров или взяты из предопределенного списка, содержащего 878 существительных и 444 глагола.

По словам технического директора и сооснователя Seculert Авива Раффа (Aviv Raff), используя данный метод, хакеры пытаются обойти фонетические алгоритмы машины, которые отслеживают бессмысленные доменные имена, например, ldfjdiehwslgoeh.com.

DGA-алгоритм является реконфигурабельным, поскольку позволяет вирусмейкерам установить количество ежедневно генерируемых доменных имен и время, через которое ранее сгенерированное доменное имя может быть использовано повторно.

После инфицирования машины, троян соединяется с C&C-сервером посредством отправки HTTP-запроса. По команде C&C-сервера вредонос собирает информацию о системе, в том числе имени пользователя, имени компьютера в сети, версии операционной системы, о центральном и графическом процессорах, виртуальных машинах, а также языках, драйверах и установленных средствах защиты безопасности.

Кроме того, по инструкции C&C-сервера троян может выполнять различные действия. Например, самоудалиться, самомодифицироваться, обновить предопределенный список доменных имен или загрузить файлы. Коммуникации между инфицированным компьютером и командным сервером обфусцированы, а все пересылаемые данные сжаты и зашифрованы.