DGA-алгоритм трояна генерує 24-символьні доменні імена, засновані на комбінації іменників і дієслів.

Дослідники компанії Seculert виявили нову версію трояна Matsnu (також відому як Trustezeb), алгоритм генерації доменних імен (domain generation algorithm, DGA) якої використовує досить цікаву техніку для обходу засобів захисту безпеки.

DGA-алгоритм Matsnu генерує 24-символьні доменні імена, засновані на комбінації іменників та дієслів (іменник - дієслово - іменник - дієслово). Слова, що використовуються, можуть бути введені зловмисником або взяті з зумовленого списку, що містить 878 іменників і 444 дієслова.

За словами технічного директора і співзасновника Seculert Авіва Раффа (Aviv Raff), використовуючи даний метод, зловмисники намагаються обійти фонетичні алгоритми машини, які відстежують безглузді доменні імена, наприклад, ldfjdiehwslgoeh. com.

DGA-алгоритм є реконфигурабельным, оскільки дозволяє кіберзлочинцям встановити кількість щодня генеруються доменних імен та час, через який раніше згенероване доменне ім'я може бути використане повторно.

Після інфікування машини, троян з'єднується з C&C-сервером за допомогою відправки HTTP-запиту. По команді C&C-сервера шкідлива програма збирає інформацію про систему, у тому числі ім'я користувача, ім'я комп'ютера в мережі, версії операційної системи, про центральний і графічний процесори, віртуальних машинах, а також мовами, встановлених драйверах і засобах захисту безпеки.

Крім того, за інструкцією C&C-сервера троян може виконувати різні дії.

Наприклад, самоудалиться, самомодифицироваться, оновити зумовлений список доменних імен або завантажити файли. Як пояснили фахівці Seculert, комунікації між інфікованим комп'ютером і командним сервером обфусцированы, а всі дані, що пересилаються стислі і зашифровані.

За словами експертів, Matsnu використовує новий алгоритм з червня 2014 року. Найбільша кількість інфікувань цим трояном було зафіксовано в Німеччині (89%). Трохи менше - в Австрії та Польщі.