Mas, como exatamente esta variante pode usar esta técnica? Acontece que os domínios são baseadas nos resultados de um hash MD5 que é gerado pelo sistema. Os fatores que influenciam no cálculo do hash são dia / mês / ano atuais, valor embutido de 0 × 35190501 e "Tick Count" (tempo considerado desde que o sistema foi iniciado). Aí vem outra pergunta: Como é que o malware gera um nome de domínio a partir deste valor de hash? Isto pode ser melhor demonstrado com a utilização de um valor de hash.
Vamos supor que o valor do hash MD5 resultante seja 0xf1d73a971e50a68419c7f70764f34f1e. Isto pode ser dividido em "4-byte words": a partir do mais relevante para o menos relevante, estes seriam:
- 0xf1d73a97
- 0x1e50a684
- 0x19c7f707
- 0x64f34f1e
Além de tudo isso, é muito importante observar que toda vez que este malware for executado, ele gera até 500 nomes de domínios distintos, com até 1.500 domínios únicos gerados por dia. Embora possa ser capaz de gerar este grande número de domínios, na prática, relativamente poucos são utilizados. Nesse contexto, foram encontradas apenas 23 domínios relacionados com esta variante específica do botnet Gameover. Mais de três quartos das vítimas desta variante estão localizadas nos Estados Unidos. Dessa forma, o "heat map" mostra a distribuição das vítimas em todo o mundo, com os círculos azuis mostrando onde os servidores C & C estão localizados, como consta na figura publicada nesta postagem.
Saiba Mais:
[1] Security Intelligence http://blog.trendmicro.com/trendlabs...on-algorithms/