Pushdo-Spamming-Botnet gewinnt wieder an Kraft

Computer in mehr als 50 Ländern sind mit einer neuen Version von Pushdo infiziert, einem Spam-Botnet, das es seit 2007 gibt und mehrere Versuche überstand, es herunterzufahren.

Früher schickten Pushdo-infizierte Computer täglich bis zu 7,7 Milliarden Spam-Nachrichten. Sicherheitsanalysten haben versucht, sie vier Mal zu töten, indem sie ihre Infrastruktur beschlagnahmen, aber eine neue Version der Malware ist wieder aufgetaucht, mit hohen Konzentrationen von Infektionen in Ländern wie Indien, Indonesien, der Türkei und Vietnam.

"Pushdo war sehr "Es ist sehr erfolgreich in dem, was es getan hat, also macht es viel Sinn für die bösen Jungs, verschiedene Revisionen oder Versionen davon zu entwickeln", sagte Mike Buratowski, Vice President der Cybersicherheitsdienste bei Fidelis Cybersecurity in Austin, Texas.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Die neueste Version hat Fareit (Malware, die Anmeldedaten stiehlt) und Cutwail, ein Modul für Spam-Engines, vorangetrieben. Es wurde auch verwendet, um Online-Banking-Bedrohungen wie Dyre und Zeus zu verteilen.

Ein Teil von dem, was Pushdo so widerstandsfähig gemacht hat, ist das sich häufig ändernde Befehls- und Kontrollsystem, mit dem Anweisungen an einen infizierten PC ausgegeben werden B. Spam-Vorlagen hochladen.

Push-infizierte Computer wenden sich an einen primären Befehls- und Kontrollserver, aber wenn dieser fehlschlägt, greifen sie auf ein sekundäres System zurück, sagte Buratowski.

Mit einem ausgeklügelten Algorithmus wird das sekundäre System generiert 30 Domains benennen einen Tag, an dem ein infizierter Computer versuchen kann, Kontakt aufzunehmen, so ein Hinweis auf Fidelis Blog. Fidelis hat den Algorithmus, der diese Domainnamen generiert, reverse-engineeriert, so dass er einige Domains registrieren kann.

Dieser Prozess, bekannt als Sinkholing, lässt Fidelis den Umfang von Pushdo-Infektionen auf der ganzen Welt erkennen, da einige infizierte Computer diese Domains aufrufen . Die meisten enden in ".kz", der Ländercode-Top-Level-Domain für Kasachstan.

Dafür brauche es eine Menge Aufwand und Expertise, sagte Buratowski. Aber Fidelis ist jetzt in der Lage, eine Reihe von Yara-Regeln zu erstellen, die Administratoren in ihre Netzwerkperimetergeräte einbinden können, um Computer daran zu hindern, diese Domänen zu besuchen. Fidelis hat alle Domains berechnet, die diese Version von Pushdo in diesem Jahr verwenden will.

Obwohl es scheint, dass ungepatchte Verbraucher von Pushdo am meisten gefährdet sind, sagte Buratowski, dass sein Unternehmen einige Infektionen in Unternehmen gesehen hat In der Vergangenheit wurde Pushdo durch Spam- und Drive-by-Download-Angriffe verbreitet, bei denen es sich um webbasierte Angriffe handelt, die nach Sicherheitslücken auf dem Computer einer Person suchen. Es wurde gelegentlich auch von anderen Botnets im Rahmen von Pay-per-Install-Programmen für cyberkriminelle Affiliates installiert.

Die Sicherheitsindustrie hat versucht, Pushdo in den letzten sieben Jahren vier Mal zu schließen, aber diese Bemühungen führten nur zu vorübergehenden Störungen.

Im Jahr 2010 kontaktierte Lastline, ein Sicherheitsunternehmen, das sich aus Forschern des Instituts Eurecom in Frankreich, der Universität von Kalifornien in Santa Barbara und anderen zusammensetzte, ISPs, die einige der Command-and-Control-Server von Pushdo hosten > Viele ISPs haben die Verbindung zu den Servern unterbrochen, was zu einem plötzlichen Rückgang der Spam-Ausgabe von Pushdo führte. ISPs bemühten sich auch, Kontakt mit Kunden aufzunehmen, deren Computer infiziert waren. Die Forscher waren jedoch skeptisch, den Sieg zu erklären, und zwar zu Recht.