Beveiligingsonderzoekers hebben een nieuw botnet ontdekt dat via een interessante techniek besmette computers aanstuurt, namelijk via JPEG afbeeldingen. Het Monkif/DIKhora botnet schakelt op besmette systemen virusscanners en firewalls uit. Om ook op het netwerk niet op te vallen, encodeert de malware instructies alsof het JPEG afbeeldingen zijn. De server stelt “image/jpeg” voor de de HTTP Content-Type header in en stuurt vervolgens een opdracht naar de bot met een valse 32-byte JPEG header.

De bot controleert of de header overeenkomt en decodeert de rest van de opdrachten. Monkif doet geen moeite om de opdrachten ook de omvang van een echt JPEG bestand te geven. Daarnaast is de data ook niet naar een legitieme JPEG te parsen. Zodoende zouden netwerkbeheerders aan de hand van misvormde afbeeldingen het verkeer van het botnet kunnen detecteren, aldus Jason Milletary, onderzoeker van SecureWorks. En dat is geen overbodige luxe, want Monkif is één van de meest actieve botnets van het moment en heeft zeker 520.000 machines besmet.