ІБ-дослідники з Arbor Networks зуміли зламати складний обфусцірованний алгоритм генерації доменних імен шкідливий Mad Max. За допомогою даного трояна зловмисникам вдалося створити ботнет, інфікувавши комп'ютери в 16 країнах.

Фахівці зуміли виявити всі пов'язані з шкідливим ПЗ домени починаючи з 2015 року, а також ті, які, імовірно, могли використовуватися до 2017 року. Дослідження Mad Max розкрило деякі важливі подробиці про трояни, однак експерти Arbor Networks відклали публікацію інформації на більш пізній термін.

За даними Virtus Total, шкідливий Mad Max може бути виявлений тільки за допомогою евристики. За словами експертів, шкідливий завантажує на систему кілька DLL-файлів і виконує їх за допомогою rundll32. exe. Для уникнення детектування Mad Max використовує обфускація, і його код складається в основному з фіктивних команд. Обфускація робить Mad Max дуже важким для виявлення як за допомогою відладчика, так і реверс-інжинірингу. За словами дослідника з Arbor Networks Джеффа Едвардса (Jeff Edwards), обфускація стає все більш популярною серед зловмисників.

Незважаючи на всі складнощі, експертам вдалося створити деобфускатор, здатний виявляти реальні команди, а не фіктивні. Після видалення фіктивних команд, фахівці виявили, що Mad Max дійсно використовує алгоритм генерації доменних імен.

За словами експертів, шкідливий щотижня змінює генерується нове доменне ім'я, використовуючи певний шаблон домену верхнього рівня в залежності від поточного тижня місяця. Зокрема, троян буде генерувати домен в зоні. com для першого тижня місяця, потім перейде до. org, далі до. info і в кінці місяця буде використовувати. net.

Mad Max встиг інфікувати комп'ютери в Бразилії, Канаді, Китаї, Фінляндії, Франції, Німеччини, Індії, Італії, Японії, Південної Кореї, Норвегії, Тайвані, Таїланді, Україні, Великобританії та США.