A Pushdo botnet fejlődik, rugalmasabbá válik a takedown kísérletekhez

A Damballa biztonsági kutatói egy új változatot találtak a Pushdo kártevő programban, amely jobban elrejti rosszindulatú hálózati forgalmát, és jobban ellenáll a koordinált lekapcsolási erőfeszítéseknek.

A Pushdo Trojan program 2007 elejére nyúlik vissza, és más rosszindulatú programok fenyegetéseinek terjesztésére használják, mint a Zeus és a SpyEye. Ugyancsak a saját levélszemét motor modulja, Cutwail néven ismert, amely közvetlenül felelős a világ napi spamforgalmának nagy részéért.

A biztonsági ágazat négy alkalommal próbálta leállítani a Pushdo / Cutwail botnet-et az utolsó öt éve, de ezek az erőfeszítések csak átmeneti zavarokat eredményeztek.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépéről]

Márciusban a Damballa biztonsági kutatói új rosszindulatú forgalmi mintákat azonosítottak és képesek voltak nyomon követni őket a Pushdo rosszindulatú program új változatához.

"A PushDo legújabb változata egy újabb dimenziót ad hozzá a Domain Generation Algorithms (DGA-k) domain-fluxáláshoz, mint a hagyományos parancs- és vezérlési (C & C) "A Damballa kutatói szerdán közöltek egy blogbejegyzésben.

A malware több mint 1000 nem létező egyedi domainnevet generál minden nap, és csatlakozik hozzájuk, ha nem érheti el a kemény kódolt C & C szervereit. Mivel a támadók tudják, hogy működik az algoritmus, előzetesen regisztrálhatják az egyik tartományt, és várják a robotok csatlakozását új utasítások átadása érdekében.

Ez a technika arra készteti a biztonsági kutatókat, hogy állítsák le a a botnet parancs-és-vezérlő szerverei vagy a biztonsági termékek blokkolják a C & C forgalmat.

"A PushDo a harmadik legnagyobb malware család, amelyet Damballa az elmúlt 18 hónapban megfigyelte, hogy a DGA technológiákkal kommunikál a C & C, "mondta a Damballa kutatói. "A ZeuS kártevõcsalád és a TDL / TDSS kártevõk változatai a DGA-t a kijátszási módszerekkel is használják."

A Damballa, a Dell SecureWorks és a Georgia Institute of Technology kutatói együtt dolgoztak a malware új változatának kivizsgálásában és hatásának mérésében. Eredményeiket egy szerdán közzétett közös jelentésben tették közzé.

A DGA-technikák mellett a legfrissebb Pushdo változat rendszeresen több mint 200 törvényes weboldalt kérdez fel, hogy a C & C forgalomban normál megjelenésű forgalmat vegyen fel. a kutatók szerint.

A vizsgálat során a Pushdo DGA által generált 42 domainnevet regisztrálták, és a hozzájuk küldött kéréseket nyomon követték annak érdekében, hogy becsüljék a botnet méretét.

"A majdnem két hónap alatt, 1.038.915 egyedülálló IP-t figyeltünk meg a C & C bináris adatainak kiküldésére a mi mélységünkbe "- mondták a kutatók a jelentésükben. A napi számlálás 30 000 és 40 000 egyedi IP (Internet Protocol) cím között volt, azt állították.

A legmagasabb fertőzésekkel rendelkező országok az összegyűjtött adatok szerint India, Irán és Mexikó. Kína, amely általában a botnet-fertőzések listájának tetején áll, még az első tízben sem, míg az Egyesült Államok csak a hatodik helyen áll.

A Pushdo kártevők általában elterjednek a meghajtó letöltési támadásokkal alapú támadások, amelyek kihasználják a böngészőbe épülő plug-inek sérülékenységeit, vagy más botnetek telepítik őket a számítógépes bűnözők által használt fizetés-telepítési rendszerek részeként.