Исследователь проблем безопасности обнаружил в сети микроблогов Twitter учетную запись, RSS-поток которой распространял команды для управления зараженными компьютерами, объединенными в сеть из машин-«зомби».
Работа ботнет-сервера обновлений в Twitter, рассылавшего зашифрованные команды компьютерам-«зомби».
Сети «зомбированных» компьютеров, или ботнеты (botnet), суть объединенные через Интернет компьютеры, на которых скрытно от пользователя работают автономные программы, эксплуатирующие ресурсы системы для таких нелегальных действий, как рассылка спама, перебор паролей, распределенные DoS-атаки и т. п.
Традиционно ботнеты управляются посредством IRC-каналов или ICQ, но заводчики «зомби»-машин постоянно изыскивают новые способы экспансии.
Как следует из блога Хосе Насарио (Jose Nazario), эксперта по вопросам безопасности компании Arbor Networks, с аккаунта Upd4t3 проводилось массированное управление ботнетом посредством отправки зашифрованных команд через RSS-поток.
Работа импровизированного сервера обновлений ботнета строилась следующим образом. В «Твиттере» периодически появлялись на первый взгляд бессмысленные, содержавшие набор буквенно-цифровых символов записи. Эти строки были зашифрованы по распространенному алгоритму base64, который используется в электронной почте для преобразования текста в 16-разрядный код. Суть посланий ботнет-сервера сводилась к передаче «зомби» интернет-адресов, содержащих обновления для скрытых вредоносных программ.
Расшифровка одной из команд, ведущей на два интернет-адреса, по которым располагаются обновления для скрытых программ в компьютерах-«зомби».