Organisaties die willen controleren of ze ook door het Red October spionagevirus zijn getroffen kunnen aan de hand van nieuwe informatie hun netwerklogs en systemen controleren. Red October werd vorige week onthuld. De malware wist over een periode van vijf jaar onopgemerkt 300 ambassades en onderzoeksinstellingen wereldwijd te infecteren. Daarbij werden terabytes aan data gestolen.

Het Russische anti-virusbedrijf Kaspersky Lab heeft samen met het Amerikaanse beveiligingsbedrijf AlienVault Labs een document online gezet met aanwijzingen waaruit een gecompromitteerd systeem bleekt. Het gaat dan om door de malware aangemaakte directories en bestanden, door de aanvallers gebruikte domeinnamen voor het aansturen van besmette computers, netwerkverkeer en een overzicht van 26 gebruikte IP-adressen.

De aanvallers hebben bewust tientallen domeinnamen gekozen die op die van Microsoft lijken, waardoor ze niet in de logs zouden opvallen. Het gaat onder andere om microsoftcheck.com, microsoftosupdate.com en microsoft-msdn.com. Hieronder de gebruikte IP-adressen.

• 141.101.239.225
  
• 178.162.129.237
  
• 178.162.182.42
  
• 178.63.208.49
  
• 188.40.19.247
  
• 31.184.234.18
  
• 31.41.45.9
  
• 37.235.54.48
  
• 46.4.202.86
  
• 77.72.133.161
  
• 78.46.173.15
  
• 88.198.30.44
  
• 88.198.85.161
  
• 88.198.85.162
  
• 92.53.105.40
  
• 95.168.172.69
  
• 31.41.45.139
  
• 91.226.31.40
  
• 178.63.208.63
  
• 31.41.45.119
  
• 176.9.241.254
  
• 31.41.45.179
  
• 176.9.189.36
  
• 92.53.105.214
  
• 188.40.19.244
  
• 85.25.104.57