Pushdo botnet berkembang, menjadi lebih berdaya tahan untuk usaha takdir

> Program Trojan Pushdo bermula pada awal tahun 2007 dan digunakan untuk mengedarkan ancaman malware lain, seperti Zeus dan SpyEye. Ia juga dilengkapi dengan modul enjin spam sendiri, yang dikenali sebagai Cutwail, yang secara langsung bertanggungjawab untuk sebahagian besar trafik spam harian di dunia.

Industri keselamatan telah cuba menutup bot Pushdo / Cutwail empat kali pada masa lalu

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Pada bulan Mac, penyelidik keselamatan dari Damballa mengenal pasti corak lalu lintas yang baru dan dapat mengesannya kembali

Varian terbaru PushDo menambahkan dimensi lain dengan menggunakan fluks domain dengan Algoritma Penjanaan Domain (DGAs) sebagai mekanisme sandaran kepada kaedah komunikasi arahan dan arahan (C & C) yang normal, "kata penyelidik Damballa pada hari Rabu dalam sebuah blog post.

Malware menjanakan lebih 1,000 nama domain unik yang tidak ada setiap hari dan menghubungkan mereka jika tidak dapat mencapai server C & C yang keras. Oleh kerana penyerang tahu bagaimana algoritma berfungsi, mereka boleh mendaftarkan salah satu daripada domain tersebut terlebih dahulu dan menunggu bot-bot untuk menyambung untuk memberikan arahan baru.

Teknik ini bertujuan untuk menjadikan sukar bagi penyelidik keselamatan untuk menutup

"PushDo adalah keluarga malware utama ketiga yang Damballa telah diperhatikan dalam 18 bulan yang lalu untuk beralih kepada teknik DGA sebagai cara berkomunikasi dengan C & C, "kata penyelidik Damballa. "Varian keluarga malware ZeuS dan malware TDL / TDSS juga menggunakan DGA dalam kaedah pengelakan mereka."

Penyelidik dari Damballa, Dell SecureWorks dan Institut Teknologi Georgia bekerjasama untuk menyiasat varian baru malware dan mengukur kesannya. Penemuan mereka diterbitkan dalam satu laporan bersama yang dikeluarkan Rabu.

Selain menggunakan teknik DGA, varian Pushdo terbaru juga menanyakan lebih 200 tapak web yang sah untuk menggabungkan lalu lintas C & C dengan trafik biasa, Semasa siasatan itu, 42 nama domain yang dihasilkan oleh DGA Pushdo telah didaftarkan dan permintaan yang dibuat kepada mereka dipantau untuk mendapatkan anggaran saiz botnet.

"Selama tempoh hampir dua bulan, kami memerhatikan 1,038,915 IP unik yang menghantar data binari C & C ke sinkhole kami, "kata para penyelidik dalam laporan mereka. Kiraan harian antara 30,000 hingga 40,000 alamat unik IP (Internet Protocol), kata mereka.

Negara-negara yang mempunyai kiraan jangkitan tertinggi adalah India, Iran dan Mexico, menurut data yang dikumpulkan. China, yang biasanya berada di bahagian atas senarai untuk jangkitan botnet yang lain, tidak termasuk dalam sepuluh teratas, sementara Amerika Syarikat hanya berada di tempat keenam.

Malware Pushdo secara amnya diedarkan melalui serangan melalui serangan download-Web serangan berasaskan yang mengeksploitasi kelemahan dalam pemalam penyemak imbas atau dipasang oleh botnet lain sebagai sebahagian daripada skema bayar per pemasangan yang digunakan oleh penjenayah siber, kata para penyelidik.