Стеганография как элемент самозащиты ботнета

Эксперты Microsoft обнаружили новый механизм в системе обороны Alureon, позволяющий повысить жизнестойкость бот-сети. Запароленный конфигурационный файл со списком запасных C&C, который в случае ЧП использует один из его вариантов, внедрен в jpg-объект и доступен зловреду через LiveJournal и WordPress.

В случае нарушения связи с центрами управления Alureon, a.k.a TDSS, запрашивает определенные страницы названных блогов и ищет конкретные фото в формате jpg, размещенные на бесплатном веб-хостинге imageshack.us. URL этих страниц прописаны в штатном конфигурационном файле троянца, а поиск изображений ведется по специфическим img-тэгам. За расшифровку и обработку содержимого jpg-файла отвечает компонент com32, дополнительно загружаемый инсталлятором.

Исследователи отмечают, что сокрытие обфусцированной информации в jpg-файлах ― трюк не новый, но столь необычный способ его применения они встречают впервые.