ИБ-компания Bitdefender обнаружила новый вариант троянца Pushdo, который уже начал, и весьма агрессивно, завоевывать просторы Интернета. Перехватив трафик на нескольких C&C-доменах по методу sinkholing, румынские исследователи за двое суток обнаружили более 45 тыс. заражений.

Троянец-дроппер Pushdo известен давно, в основном благодаря компоненту Cutwail, предназначенному для рассылки спама. В период расцвета ботнет, построенный на основе Pushdo, насчитывал около 2 млн зараженных машин, ежедневно распространявших миллиарды нелегитимных сообщений, в том числе вредоносных. Операторы Pushdo сдают его в аренду по частям и время от времени обновляют как дроппер, так и спамбот. За пять лет этот крупнейший ботнет-спамер пережил четыре попытки ликвидации, однако все еще держится на плаву.

Как показал анализ, бинарный код нового Pushdo содержит шифрованный оверлей, который играет роль контролера: если прописанные в этом фрагменте условия не соблюдены, сэмпл не будет работать корректно. В нем же был обнаружен список из сотни «чистых» доменных имен, призванных маскировать C&C-домены, прописанные в коде. Перемены коснулись и DGA, хотя базовая структура алгоритма осталась прежней; эксперты отметили, что из-за обновления некоторых констант и списков буквенных символов внешний вид доменных имен, генерируемых Pushdo, сильно изменился. Поменялись также публичный и приватный ключи, используемые для защиты внутренних коммуникаций, однако протокол обмена с C&C остался без изменений.

Осуществив подмену, исследователи менее чем за три часа насчитали 8840 запросов, исходящих с 2336 IP-адресов. За 24 часа было выявлено 11 тыс. зараженных хостов, через двое суток — свыше 45 тыс.; совокупное число обращений составило около 500 тыс. Большое количество заражений обнаружено в Индии (4619) и Вьетнаме (3847), несколько меньше — в США, Турции и Аргентине. За ними в убывающем порядке следуют Индонезия, Мексика, Иран, Италия и Таиланд.

Категории: Главное