通過改變域名和向HTTP主機字段加入非惡意主機名，惡意軟件開發者將Web安全系統玩弄于鼓掌之間。這種新方法可確保惡意軟件作者的C&C服務器不被安全系統封禁。

發現該技術的Cyren安全公司將其稱為“幽靈主機”，涉及在僵尸網絡通信的HTTP主機字段包含進未知主機名。由于這些主機名既有已注冊的，也有未注冊的，Web安全和URL過濾系統便會被其騙過。

使用該技術的惡意軟件家族之一，還為域名www.djapp(.)info提供域名解析，導致多家安全公司將該域名標記為惡意，對該域名的HTTP請求無法通過這些公司保護下的網絡。

不過，緊跟IP地址的域名解析，在對新感染僵尸網絡發送的C&C指令進行分析時，Cyren研究人員發現了昭示著成功感染新主機的HTTP包。

而且，觀察到的目的IP地址是已知不良服務器，而用于請求的HTTP主機字段卻是完全不同的域。這些就是所謂“幽靈主機”。在該具體案例中，虛假域為“events.nzlvin.net”和“json.nzlvin.net。

鑒于只有初始解析的域被封禁，幽靈主機名依然存活，所以使用該技術的惡意軟件作者能夠確保與C&C服務器的通信不受影響。而且，僵尸網絡擁有者可以操縱服務器根據收到的“編碼”消息(利用不同的幽靈主機名)，做出不同的響應。

該 C&C URL 的IP地址通常不被封禁，這主要是因為服務器的內容可能合法和非法的兩種都含有。如果整個服務器IP被封，用戶就再也不能訪問合法服務了。

上述案例中與不良IP關聯的幽靈主機還有很多。其中一些是注冊過的(與該惡意軟件出現的日期一致)，更多的則沒有注冊。

但是，對虛假域名的檢測率很低——意味著僵尸網絡作者將繼續使用“幽靈主機”技術。有效規避檢測的技術，傻子惡軟作者才會棄用。

幽靈主機是犯罪侵入技術復雜性的又一例證，也極好地證明了：網絡犯罪騙術日漸高明的時代，安全廠商通常是保護公司企業的不二選擇。