Damballaのセキュリティ研究者は、悪意のあるネットワークトラフィックを隠すことでより優れたPushdoマルウェアの新しい亜種を発見し、調整された撤去の努力に対してより弾力的であることを発見しました。 > Pushdoトロイの木馬プログラムは、2007年の初めにさかのぼり、ZeusやSpyEyeのような他のマルウェアの脅威を配布するために使用されています。また、世界の毎日のスパムトラフィックの大部分を直接的に担当しているCutwailという独自のスパムエンジンモジュールも付属しています。
セキュリティ業界は、最後に4回、Pushdo / Cutwailボットネットをシャットダウンしようとしました
[詳しい情報:Windows PCからマルウェアを削除する方法]
3月、Damballaのセキュリティ研究者が新しい悪意のあるトラフィックパターンを特定し、それを元に戻すことができましたPushDoの最新の亜種は、通常のコマンドアンドコントロール(C&C)通信方式のフォールバックメカニズムとしてドメイン生成アルゴリズム(DGA)を使用したドメインフラクシングを使用することで、 Damballaの研究者は水曜日にブログ記事で述べている。マルウェアは、存在しないユニークなドメイン名を毎日1000個以上生成し、ハードコードされたC&Cサーバーに到達できないと接続する。攻撃者はアルゴリズムがどのように動作するかを知っているので、事前にそれらのドメインの1つを登録し、新しい命令を提供するためにボットが接続するのを待つことができます。
このテクニックはセキュリティ研究者が
「PushDoはDamballaが過去18ヶ月間にC&Cと通信するための手段としてDGA技術に目を向けた第3の主要なマルウェアファミリーです。 "、Damballaの研究者は言った。 "ZeuSマルウェアファミリーとTDL / TDSSマルウェアの亜種も、回避方法でDGAを使用しています。" Damballa、Dell SecureWorks、Georgia Institute of Technologyの研究者が協力して、マルウェアの新しい変種を調査し、その影響を測定しました。彼らの調査結果は水曜日に発表された合同レポートに掲載された。
DGA技術の使用に加えて、最新のPushdoの亜種は、通常の見通しのトラフィックとC&Cのトラフィックを融合させるために、調査の間、プッシュドのDGAによって生成された42のドメイン名が登録され、ボットネットのサイズを見積もるために、それらに対する要求が監視された。
「ほぼ2ヶ月の期間にわたって、我々はシンクホールにC&Cバイナリデータを投稿するユニークなIPアドレス1,038,915個を観測した」と同研究者らは報告している。収集されたデータによると、感染数が最も高い国はインド、イラン、メキシコであると、彼らは述べている。他のボットネット感染症のトップにある中国は、トップ10にもかかわらず、米国は6位にとどまっています。
一般に、Pushdoマルウェアはドライブバイダウンロード攻撃で配信されますサイバー犯罪者が使用するペイ・パー・インストール方式の一部として、他のボットネットによってインストールされている、