Ботнет Pushdo развивается, становится более устойчивым к попыткам демонтажа

) Исследователи безопасности из Дамбаллы нашли новый вариант вредоносного ПО Pushdo, который лучше скрывает свой вредоносный сетевой трафик и более устойчив к скоординированным усилиям по удалению.

> Программа Pushdo Trojan восходит к началу 2007 года и используется для распространения других вредоносных угроз, таких как Zeus и SpyEye. Он также оснащен собственным модулем для работы с спамом, известным как Cutwail, который несет прямую ответственность за большую часть ежедневного спам-трафика в мире.

Индустрия безопасности пыталась закрыть ботнет Pushdo / Cutwail четыре раза в течение последнего пять лет, но эти усилия привели лишь к временным сбоям.

[Читать дальше: Как удалить вредоносное ПО с вашего ПК с Windows]

В марте исследователи безопасности из Дамбаллы выявили новые шаблоны вредоносного трафика и смогли отследить их назад к новому варианту вредоносного ПО Pushdo.

«Последний вариант PushDo добавляет другое измерение, используя флюс домена с алгоритмами генерации домена (DGA) в качестве резервного механизма для его обычных методов управления командами и контролем (C & C) »исследователи Damballa сообщили в среду в сообщении в блоге.

Вредоносная программа ежедневно генерирует более 1000 несуществующих уникальных доменных имен и подключается к ним, если не может достичь своих жестко запрограммированных серверов C & C. Поскольку злоумышленники знают, как работает алгоритм, они могут зарегистрировать один из этих доменов заранее и дождаться, когда боты будут подключаться, чтобы доставлять новые инструкции.

Этот метод призван затруднить исследователям безопасности закрытие серверы управления и управления botnet, а также продукты безопасности для блокировки своего трафика C & C.

«PushDo - это третье крупное семейство вредоносных программ, которое Damballa наблюдало за последние 18 месяцев, чтобы перейти к методам DGA в качестве средства общения с его C & C, - сказали исследователи Дамбаллы. «Варианты семейства вредоносных программ ZeuS и вредоносного ПО TDL / TDSS также используют DGA в методах уклонения».

Исследователи из Damballa, Dell SecureWorks и Технологического института Джорджии работали вместе, чтобы исследовать новый вариант вредоносного ПО и измерить его влияние. Их результаты были опубликованы в совместном докладе, опубликованном в среду.

В дополнение к использованию методов DGA, последний вариант Pushdo также регулярно запрашивает более 200 законных веб-сайтов, чтобы смешивать свой трафик C & C с нормальным трафиком, исследователи сказали.

В ходе расследования было зарегистрировано 42 доменных имени, созданных DGA Pushdo, и запросы, сделанные им, были проверены, чтобы получить оценку размера ботнета.

«В течение почти двух месяцев, мы наблюдали 1 038 915 уникальных IP-адресов, отправляющих двоичные данные C & C на наш провал », - говорят исследователи в своем отчете. По их словам, ежедневные подсчеты составляли от 30 000 до 40 000 уникальных IP-адресов (Интернет-протокол).

Страны с самым высоким показателем инфицирования - Индия, Иран и Мексика, согласно собранным данным. Китай, который, как правило, находится в верхней части списка для других инфекций бот-сетей, даже не входит в первую десятку, в то время как США занимают лишь шестое место.

Вредоносная программа Pushdo обычно распространяется через загрузочные атаки-Web исследователи сказали, что эти атаки, которые используют уязвимости в плагинах браузера, или устанавливаются другими бот-сетями в рамках схем оплаты за установку, используемых киберпреступниками.