Botnet Pushdo berkembang, menjadi lebih tangguh untuk menghapus upaya

Peneliti keamanan dari Damballa telah menemukan varian baru dari malware Pushdo yang lebih baik dalam menyembunyikan lalu lintas jaringan jahatnya dan lebih tahan terhadap upaya penghapusan terkoordinasi.

Program Trojan Pushdo tanggal kembali ke awal 2007 dan digunakan untuk mendistribusikan ancaman malware lainnya, seperti Zeus dan SpyEye. Ini juga dilengkapi dengan modul mesin spam sendiri, yang dikenal sebagai Cutwail, yang secara langsung bertanggung jawab untuk sebagian besar lalu lintas spam harian dunia.

Industri keamanan telah mencoba untuk mematikan botnet Pushdo / Cutwail empat kali selama terakhir lima tahun, tetapi upaya tersebut hanya menghasilkan gangguan sementara.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pada bulan Maret, peneliti keamanan dari Damballa mengidentifikasi pola lalu lintas jahat baru dan dapat melacaknya kembali ke varian baru dari malware Pushdo.

"Varian PushDo terbaru menambahkan dimensi lain dengan menggunakan peralihan domain dengan Domain Generation Algorithms (DGAs) sebagai mekanisme fallback ke metode komunikasi perintah-dan-kontrol (C & C) normal, "Para peneliti Damballa mengatakan pada hari Rabu di sebuah posting blog.

Perangkat lunak perusak menghasilkan lebih dari 1.000 nama domain unik yang tidak ada setiap hari dan menyambung ke mereka jika tidak dapat menjangkau server K & C kerasnya. Karena penyerang tahu bagaimana algoritme bekerja, mereka dapat mendaftarkan salah satu dari domain tersebut terlebih dahulu dan menunggu bot untuk tersambung guna memberikan instruksi baru.

Teknik ini dimaksudkan untuk menyulitkan peneliti keamanan untuk mematikan server perintah-dan-kontrol botnet atau untuk produk keamanan untuk memblokir lalu lintas C & C.

"PushDo adalah keluarga malware besar ketiga yang telah diamati oleh Damballa dalam 18 bulan terakhir untuk beralih ke teknik DGA sebagai sarana berkomunikasi dengan C & C-nya., kata peneliti Damballa. "Varian keluarga malware ZeuS dan malware TDL / TDSS juga menggunakan DGA dalam metode penghindaran mereka."

Peneliti dari Damballa, Dell SecureWorks dan Institut Teknologi Georgia bekerja sama untuk menyelidiki varian baru malware dan mengukur dampaknya. Temuan mereka dipublikasikan dalam laporan bersama yang dirilis hari Rabu.

Selain menggunakan teknik DGA, varian Pushdo terbaru juga meminta lebih dari 200 situs web yang sah secara teratur untuk memadukan lalu lintas C & C dengan lalu lintas yang tampak normal, Para peneliti mengatakan.

Selama penyelidikan, 42 nama domain yang dihasilkan oleh DGA Pushdo terdaftar dan permintaan yang dibuat untuk mereka dimonitor untuk mendapatkan perkiraan ukuran botnet.

"Selama periode hampir dua bulan, kami mengamati 1.038.915 IP unik yang memposting data biner C & C ke sinkhole kami, "kata para peneliti dalam laporan mereka. Jumlah harian adalah antara 30.000 hingga 40.000 alamat IP (Internet Protocol) yang unik, kata mereka.

Negara-negara dengan jumlah infeksi tertinggi adalah India, Iran dan Meksiko, menurut data yang dikumpulkan. China, yang biasanya berada di daftar teratas untuk infeksi botnet lainnya, bahkan tidak termasuk dalam sepuluh besar, sementara AS hanya berada di tempat keenam.

Malware Pushdo umumnya didistribusikan melalui drive-by download attacks-Web serangan berbasis yang mengeksploitasi kerentanan di browser plug-in-atau diinstal oleh botnet lain sebagai bagian dari skema bayar per-pemasangan yang digunakan oleh penjahat dunia maya, kata para peneliti.