Wijzigingen in Smoke Loader-code
De meest recente versie van Smoke Loader heeft een aanpassing ondergaan in de stringcodering. Deze versie maakt gebruik van RC4 voor de stringencryptie, in tegenstelling tot de eerdere versie die gebaseerd was op xor.
RC4-gebaseerde stringdecryptie
Een IDA Python-script is beschikbaar voor statische decodering van Smoke Loader. In eerdere versies werden de domeinnamen van de botnetcontroller gecodeerd met een algoritme dat gebruikmaakte van een eenvoudige xor-subtractie.
Communicatie en payloadformaten
Een verzoek van Smoke Loader naar de botnetcontroller omvat interne constanten en systeeminformatie van de geïnfecteerde machine. De HTTP-respons van de botnetcontroller bevat doorgaans een RC4-gecodeerde payload met verschillende commando’s, zoals het downloaden van bestanden of het updaten van Dofoil.
Tijdens de binaire code-analyse ontdekte Spamhaus Malware Labs verschillende secties in de code die bedoeld zijn voor debugdoeleinden. Dit wijst erop dat Smoke Loader voortdurend in ontwikkeling is en zich blijft aanpassen.