Den australiska firman PC Tools har gjort en analys av källkoden i den nya versionen av Kraken-boten, även känd som Bobax. Enligt PC Tools har den nya versionen av den trojanska hästen en algoritm för att generera domännamn. Det ska göra det möjligt för klienten att söka efter de servrar som används för att styra botnätet Kraken. På så sätt behöver inte klienterna förprogrammeras att kommunicera med en viss central server, som är sårbar för att bli sänkt av polis eller IT-säkerhetsfolk.

Kraken-klienten har också gått ifrån det traditionella IRC-protokollet för sin kommunikation och använder istället HTTP, vilket gör det lättare att försvinna i stora trafikmängder. HTTP är samma protokoll som Internets webb-nivå bygger på och är till skillnad från IRC inget som en brandväggsadministratör kan stänga av utan vidare. Trafiken är också krypterad och innehåller slumpmässiga header-fält för att dölja sig.

Den nya Kraken-klienten anvädner också pseudo-slumpmässiga dynamiska DNS-namn på mellan sju till tolv tecken och sju olika domännamn eller suffix. Genom denna metod ska det enligt PC Tools vara möjligt för klienten att ropa på servrar utan att veta deras exakta adress.

Enligt PC Tools spreds den senaste varianten av Kraken förmodligen via MSN Messenger. Den har en slumpgenerator för att slumpa fram namnet på den fil som mottagaren uppmanas att öppna. Detta för att lättare komma igenom spamfilter.

Källa: The Register

Källa: Threat Expert