Sieć złożona z przejętych przez cyberprzestępców serwerów linuksowych jest prawdopodobnie wykorzystywana do rozprowadzania malware'u na komputery z Windows. Według analizy programisty webowego Denisa Sinegubki skompromitowane systemy można poznać po tym, że na porcie 8080 nasłuchuje zapytań cienki serwer sieciowy nginx. Poza tym systemy te zachowują się w sposób dyskretny i wciąż wykonują przypisane im usługi. W wypadku tego botnetu zaobserwowano też użycie nowej taktyki. Otóż zawarte w skompromitowanych witrynach odnośniki do hostowanego w Chinach malware'u zastąpiono dynamicznymi nazwami DNS serwisów DynDNS.com i No-IP.com.
W przypadku korzystania z usług dynamicznych DNS zaatakowane serwery rejestrują własne adresy IP jako określone nazwy hostów. Sinegubko twierdzi, że po jego komunikacie usługodawcy wykreślili już wprawdzie przeszło 10. nazw hostów z baz danych, jednak operatorzy sieci botów przypuszczalnie szybko je modyfikują, rejestrując systemy pod nowymi nazwami. Lista sporządzona przez eksperta zawiera obecnie 77 adresów IP.
Na razie nie wiadomo, w jaki sposób doszło do kompromitacji serwerów. Sinegubko przypuszcza, że chodzi tu o serwery, których administratorzy logują się na konto roota, używając nieszyfrowanych połączeń FTP.
wydanie internetowe www.heise-online.pl
