Pushdo botnet มีการพัฒนาและมีความยืดหยุ่นมากขึ้นในการลบออก

โปรแกรมโทรจันแบบ Pushdo เริ่มตั้งแต่ต้นปี 2007 และใช้เพื่อแจกจ่ายภัยคุกคามมัลแวร์อื่น ๆ เช่น Zeus และ SpyEye นอกจากนี้ยังมีโมดูลสแปมของตัวเองซึ่งรู้จักกันในนาม Cutwail ซึ่งเป็นผู้รับผิดชอบโดยตรงต่อการเข้าชมสแปมเป็นประจำทุกวันของโลก

อุตสาหกรรมด้านความปลอดภัยพยายามปิดระบบ botnet Pushdo / Cutwail สี่ครั้งในช่วงสุดท้าย ห้าปี แต่ความพยายามเหล่านั้นส่งผลให้เกิดการหยุดชะงักชั่วคราวเท่านั้น

ในเดือนมีนาคมนักวิจัยด้านความปลอดภัยจาก Damballa ได้ระบุรูปแบบการเข้าใช้งานที่เป็นอันตรายใหม่และสามารถติดตามพวกเขากลับมาได้ เป็นรูปแบบใหม่ของมัลแวร์ Pushdo

"ตัวแปรล่าสุดของ PushDo จะเพิ่มมิติข้อมูลอีกโดยการใช้โดเมนเนมกับอัลกอริธึมการสร้างโดเมน (Domain Generation Algorithms - DGAs) เป็นกลไก fallback ในวิธีการสื่อสารและการควบคุมและการควบคุมแบบปกติ (C & C) "นักวิจัยของ Damballa กล่าวในบล็อกโพสต์

มัลแวร์สร้างรายชื่อโดเมนที่ไม่ซ้ำกันกว่า 1,000 ชื่อต่อวันและเชื่อมต่อกับพวกเขาหากไม่สามารถเข้าถึงเซิร์ฟเวอร์ C & C แบบฮาร์ดโค้ดได้ เนื่องจากผู้โจมตีทราบว่าอัลกอริธึมทำงานอย่างไรพวกเขาสามารถลงทะเบียนโดเมนเหล่านี้ล่วงหน้าและรอให้บอทเชื่อมต่อเพื่อส่งคำแนะนำใหม่

เทคนิคนี้มีวัตถุประสงค์เพื่อทำให้นักวิจัยด้านความปลอดภัยปิดตัวลง เซิร์ฟเวอร์คำสั่งและควบคุมของ botnet หรือผลิตภัณฑ์รักษาความปลอดภัยเพื่อป้องกันการเข้าชม C & C

"PushDo เป็นกลุ่มมัลแวร์รายใหญ่อันดับ 3 ที่ Damballa ได้สังเกตเห็นใน 18 เดือนที่ผ่านมาเพื่อหันไปใช้เทคนิค DGA เพื่อสื่อสารกับ C & C ของตน "นักวิจัยของ Damballa กล่าว "ตัวแปรของกลุ่มมัลแวร์ ZeuS และมัลแวร์ TDL / TDSS ยังใช้ DGA ในวิธีการหลีกเลี่ยงของพวกเขา"

นักวิจัยจาก Damballa, Dell SecureWorks และสถาบันเทคโนโลยีแห่งจอร์เจียทำงานร่วมกันเพื่อตรวจสอบรูปแบบใหม่ของมัลแวร์และวัดผลกระทบ การค้นพบของพวกเขาถูกตีพิมพ์ในรายงานฉบับเดียวที่เผยแพร่เมื่อวันพุธ

นอกเหนือจากการใช้เทคนิค DGA แล้วเวอร์ชันล่าสุดของ Pushdo ยังสอบถามเว็บไซต์ที่ถูกต้องกว่า 200 เว็บไซต์อย่างสม่ำเสมอเพื่อที่จะผสมผสานการเข้าชม C & C เข้ากับการเข้าชมที่ดูปกติ นักวิจัยกล่าวว่าในระหว่างการสืบสวนได้มีการจดทะเบียนชื่อโดเมน 42 ชื่อโดย DGA ของ Pushdo และได้มีการตรวจสอบคำขอที่ได้รับเพื่อตรวจสอบขนาดของบ็อตเน็ต

"ในช่วงเกือบสองเดือน, เราสังเกตเห็น 1,038,915 IP ที่ไม่ซ้ำกันที่โพสต์ข้อมูลไบนารีของ C & C ลงในหลุมฝังศพของเรา "นักวิจัยกล่าวในรายงานของพวกเขา จำนวนรายวันอยู่ระหว่าง 30,000 ถึง 40,000 ที่อยู่ IP (Internet Protocol) ที่ไม่ซ้ำกันพวกเขากล่าวว่า

ประเทศที่มีจำนวนเชื้อสูงสุดคืออินเดียอิหร่านและเม็กซิโกตามข้อมูลที่เก็บรวบรวม จีนซึ่งโดยปกติจะอยู่ที่ด้านบนของรายการสำหรับการติดไวรัส botnet อื่น ๆ จะไม่ได้อยู่ในอันดับที่สิบในขณะที่สหรัฐฯอยู่ในอันดับที่หกเท่านั้น

มัลแวร์ Pushdo มีการแพร่กระจายผ่านทางไดรฟ์โดยการโจมตีดาวน์โหลด - เว็บ นักวิจัยกล่าวว่า "การโจมตีแบบใช้ฐานข้อมูลซึ่งใช้ช่องโหว่ในปลั๊กอินของเบราว์เซอร์หรือติดตั้งโดย botnets อื่นเป็นส่วนหนึ่งของแผนการจ่ายต่อการติดตั้งโดยอาชญากรไซเบอร์"