Botnet DlKhora oculta comandos em imagens JPEG

De acordo com um alerta da empresa de segurança SecureWorks, a botnet DlKhora é capaz de ocultar comandos específicos em imagens JPEG falsas!

De acordo com a empresa, o principal propósito da DlKhora é receber instruções para fazer o download e execução de outros malwares. Além disso o malware também tenta desativar os programas antivírus e firewalls instalados no computador infectado.

A SecureWorks informou que o servidor da botnet define o cabeçalho HTTP Content-Type como "image/jpeg" e mascara os comandos do bot com um cabeçalho JPEG falso de 32 bytes. O bot então verifica o cabeçalho definido pelo servidor e se estiver correto ele decodifica o resto da resposta para acessar seus comandos.

Os comandos são codificados usando um único byte XOR com 0x4. Um dos malwares instalados pela botnet é um BHO (Browser Helper Object) conhecido como ExeDot, que exibe anúncios.

Fonte: Baboo

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: