De acordo com um alerta da empresa de segurança SecureWorks, a botnet DlKhora é capaz de ocultar comandos específicos em imagens JPEG falsas!
De acordo com a empresa, o principal propósito da DlKhora é receber instruções para fazer o download e execução de outros malwares. Além disso o malware também tenta desativar os programas antivírus e firewalls instalados no computador infectado.
A SecureWorks informou que o servidor da botnet define o cabeçalho HTTP Content-Type como "image/jpeg" e mascara os comandos do bot com um cabeçalho JPEG falso de 32 bytes. O bot então verifica o cabeçalho definido pelo servidor e se estiver correto ele decodifica o resto da resposta para acessar seus comandos.
Os comandos são codificados usando um único byte XOR com 0x4. Um dos malwares instalados pela botnet é um BHO (Browser Helper Object) conhecido como ExeDot, que exibe anúncios.
