Исследователями из Arbor Networks взломан сложный алгоритм создания доменных имен вредоносной программы Mad Max. Используя данную троянскую программу, злоумышленники создали ботнет, заразив компьютеры, расположенные в 16 странах.
Специалистам удалось выявить все домены, связанные с вредоносным программным обеспечением с 2015 года и которые можно использовать до 2017 года. В ходе исследования Mad Max были раскрыты важные детали, относящиеся к троянской программе, но эксперты Arbor Networks пока откладывают его публикацию.
Согласно информации Virtus Total, вредоносную программу Mad Max можно обнаружить, лишь используя эвристику. Как утверждают эксперты, вредоносная программа осуществляет загрузку нескольких DLL-файлов на систему и их выполнение с применением rundll32.exe. Чтобы избежать обнаружения, в Mad Max задействована обфускация: код программы в большинстве своем состоит из фиктивных команд. Таким образом, Mad Max очень трудно обнаружить, используя отладчик или реверс-инжиниринг. Как утверждает исследователь из Arbor Networks Джефф Эдвардс, все больше хакеров применяет обфускацию в своих программах.
Эксперты создали деобфускатор, который может выявлять среди фиктивных команд реальные. После того, как исследователи удалили фиктивные команды, они обнаружили, что в Mad Max действительно применяется алгоритм создания доменных имен.
Как утверждают специалисты, каждую неделю вредоносная программа изменяет генерируемое новое доменное имя с помощью определенного шаблона домена верхнего уровня в зависимости от текущего момента. Для первой недели месяца троянская программа будет создавать домен в зоне .com, после будет генерировать имена с .org, затем с .info, а в конце месяца для этой цели будет применяться .net.
От активности Mad Max пострадали американские, бразильские, британские, индийские, итальянские, канадские, китайские, немецкие, норвежские, тайваньские, тайские, украинские, финские, французские, южнокорейские и японские пользователи.