Whitepaper beschrijft symptomen van een Red October-infectie
Het beveiligingsbedrijf AlienVault geeft samen met Kaspersky Labs een whitepaper vrij waarmee bedrijven kunnen controleren of zij getroffen zijn door Red October. Red October is spyware die vorige week is onthuld en al vijf jaar lang wereldwijd ongemerkt overheids- en onderzoeksinstellingen wist te infecteren.
De whitepaper beschrijft op welke signalen systeembeheerders moeten letten om na te gaan of hun systemen zijn geïnfecteerd door Red October. Zo maakt de malware een met de naam bestand 'svchost.exe' of 'svclogon.exe' aan. Het document bevat een lijst met locaties waar dit document kan zijn opgeslagen.
Command and Control-domeinen
Voor het ontvangen van opdrachten en het verzenden van gestolen data maakt Red October gebruik van een netwerk van servers en domeinnamen die zijn verspreid over de gehele wereld. De whitepaper bevat een lijst met Command and Control-domeinen die door de malware worden gebruikt. De aanvallers hebben in veel gevallen gekozen voor een URL die het woord 'Microsoft' of 'Windows' bevat, in een poging de URL's niet te laten opvallen in logbestanden.
Daarnaast geeft de whitepaper ook een lijst met 26 IP-adressen die door Red October worden gebruikt. Door hun logbestanden te controleren kunnen systeembeheerders controleren of hun systemen contact hebben gehad met deze IP-adressen of domeinnamen.
