Een nieuwe variant van de beruchte Alureon-rootkit, blijkt via afbeeldingen met besmette Windows computers te communiceren. Dat ontdekte Scott Molenkamp van het Microsoft Malware Protection Center. De malware blijkt vanaf gratis weblogs allerlei JPG-afbeeldingen te downloaden. Na verder onderzoek ontdekte Molenkamp dat elke JPG-afbeelding een volledig configuratiebestand bevat, dat via steganografie is verborgen.
In het configuratiebestand staat een lijst met adressen van command & control (C&C) servers. De methode dient als back-up in het geval de bestaande domeinen offline worden gehaald. Als de besmette computer geen verbinding met de C&C-servers kan maken, zal Alureon een nieuwe configuratie via de JPG-afbeeldingen downloaden, waardoor het botnet kan blijven functioneren.
Molenkamp merkt op dat het inbedden en obfusceren van gegevens binnen een JPG-bestand niks nieuws is. "Het is wel interessant om te zien dat Alureon deze techniek als beschermingsmaatregel toepast."
Deze posting is gelocked. Reageren is niet meer mogelijk.