Исследователи безопасности из компании Cisco обратили внимание на новый способ взаимодействия вредоносного ПО с управляющими серверами, основанный на выполнении операций определения имён в DNS для специально оформленных поддоменов. Например, вредоносное ПО может отправлять данные о перехваченных на системе жертвы паролях и номерах кредитных карт или информировать о поражении новой системы выполняя DNS-запросы вида «log.nu6timjqgq4dimbuhe.3ikfsb[…]cg3.7s3bnxqmavqy7sec.dojfgj.com», в которых при помощи формата base32 в имени поддомена закодированы передаваемые на управляющий сервер данные.

Злоумышленник может принимать данные сообщения, контролируя DNS-сервер для домена dojfgj.com. Механизм достаточно прост в реализации, имеет децентрализованный характер и легко обходит различны межсетевые экраны, вовлекая местные DNS-резолверы в распространение запросов. Администраторам локальных сетей рекомендуется посмотреть лог на подконтрольных DNS-серверах — наличие в логе попыток резолвинга подозрительных длинных имён (231- 233 символов в имени поддомена) может стать индикатором наличия поражённых вредоносным ПО систем в локальной сети.