gh0st bot으로 의심되는 악성 코드가 확인이 되고 있다. 해당 악성 코드를 gh0st bot으로 의심하는 이유는 gh0st protocol 포맷을 이용하기 때문으로 현재까지 추정/확인하고 있다.
또한 zlib 압축된 데이터를 decompress 했을 경우, C&C 서버로 전송되는 format이 gh0st bot이 C&C 통신할 때 사용되는 것과 동일하다.
gh0st protocol의 기본 형태 및 확인된 악성 코드에서 변형해서 사용된 형태는 아래와 같다.
Compressed data를 Decompress 할 경우, 확인되는 특정 문자열이 존재한다. 해당 문자열의 위치는 기존 Gh0st의 버전 정보 혹은 그룹 명을 위치한 곳으로 판단되며, 이를 통해 악성 코드 제작자(공격자)의 그룹을 유추해볼 수 있겠다.