ابزار نرم افزاری جدیدی توسط محققان دانشگاه جورجیای آمریکا طراحی و تهیه شده که می تواند شبکه های مخرب از نوع (DGA یا Domain Name Generation) را آسان تر و سریع تر شناسایی کند. برای مثال، گردانندگان ویروس Conficker از روش DGA برای بر پا نگه داشتن مرکز فرماندهی یک شبکه مخرب از کامپیوترهای آلوده با این ویروس، استفاده می کردند.
این ابزار جدید که Pleiades نام دارد، سرویس DNS محلی را تحت کنترل گرفته و درخواست های ناموفق DNS را تجزیه و تحلیل می کند. این ابزار در لبه شبکه قرار می گیرد و درخواست ها و پاسخ های ارسالی / دریافتی به / از کامپیوترهای داخل شبکه سازمانی را تحت نظر دارد. این ابزار به طور ویژه به درخواست ناموفق که اصطلاحاً Name Error یا NXDOMAIN گفته می شوند، توجه دارد. این درخواست های DNS به دلیل اینکه هیچ نشانی IP به آنها تعلق ندارد، ناموفق هستند.
شبکه های مخرب Botnet که از روش DGA برای ارتباط با مرکز فرماندهی خود استفاده می کنند، دائماً درخواست های DNS متعددی ارسال می کنند که بخش عمده آنها ناموفق بوده و منجر به خطای NXDOMAIN می شود. تنها تعداد اندکی از درخواست های DNS که دارای نشانی IP می باشند، پاسخ موفق دریافت می کنند. این درخواست های موفق، همان مراکز فرماندهی شبکه Botnet است.
ابزار Pleiades درخواست های ناموفق DNS را که به تعداد زیاد و با مشخصه های یکسان توسط تعدادی کامپیوتر خاص و ثابت در شبکه سازمانی ارسال می شوند، به عنوان نشانه و علامتی از فعالیت یک شبکه مخرب Botnet تلقی می کند.
این ابزار به طور آزمایشی به مدت 15 ماه در یک مرکز ISP نصب گردیده و قادر بوده است تا چند شبکه مخرب مختلف را شناسایی کرده و حتی یک شبکه مخرب ناشناس و تابحال ناشناخته را نیز کشف کند.
ویروس Conficker یکی از نمونه های بارز در خصوص تولید نام دامنه (Domain) است. گونه C این ویروس قادر است که در هر روز 50 هزار نام دامنه مختلف را تولید کرده و درخواست های DNS به این تعداد دامنه ارسال کند تا در بین آنها، دامنه فعال و واقعی را که به عنوان مرکز فرماندهی Conficker عمل می کند، پیدا کند.
تمام این تلاش ها هم برای این است که با تغییر دائمی محل استقرار مرکز فرماندهی، از کشف و نابودی آن توسط مرکز و شرکتهای امنیتی جلوگیری شود.