पुष्डो बोनेट विकसित हो रहा है, निकालने के प्रयासों के लिए अधिक लचीला हो जाता है

डंबल्ला के सुरक्षा शोधकर्ताओं ने पुशडो मैलवेयर का एक नया संस्करण पाया है जो इसके दुर्भावनापूर्ण नेटवर्क यातायात को छिपाने में बेहतर है और समन्वयित प्रयासों के लिए अधिक लचीला है।

पुशडो ट्रोजन प्रोग्राम 2007 की शुरुआत में आता है और ज़ीउस और स्पाइए जैसे अन्य मैलवेयर खतरों को वितरित करने के लिए उपयोग किया जाता है। यह अपने स्वयं के स्पैम इंजन मॉड्यूल के साथ आता है, जिसे कटवेल के नाम से जाना जाता है, जो दुनिया के दैनिक स्पैम यातायात के बड़े हिस्से के लिए सीधे जिम्मेदार है।

सुरक्षा उद्योग ने आखिरी बार पुष्डो / कटवेल बॉटनेट को चार बार बंद करने की कोशिश की है पांच साल, लेकिन उन प्रयासों के परिणामस्वरूप केवल अस्थायी व्यवधान हुए।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

मार्च में, डंबल्ला के सुरक्षा शोधकर्ताओं ने नए दुर्भावनापूर्ण यातायात पैटर्न की पहचान की और उन्हें वापस ढूंढने में सक्षम थे पुशडो मैलवेयर के एक नए संस्करण के लिए।

"पुशडो का नवीनतम संस्करण डोमेन जनरेशन एल्गोरिदम (डीजीए) के साथ डोमेन फ्लक्सिंग का उपयोग करके अपने सामान्य कमांड-एंड-कंट्रोल (सीएंडसी) संचार विधियों के लिए फ़ॉलबैक तंत्र के रूप में एक और आयाम जोड़ता है, "डंबल्ला के शोधकर्ताओं ने बुधवार को एक ब्लॉग पोस्ट में कहा।

मैलवेयर हर दिन 1,000 से अधिक गैर-मौजूद अद्वितीय डोमेन नाम उत्पन्न करता है और यदि यह अपने हार्ड-कोडित सी और सी सर्वर तक नहीं पहुंच पाता है तो उनसे कनेक्ट होता है। चूंकि हमलावरों को पता है कि एल्गोरिदम कैसे काम करता है, वे पहले से ही उन डोमेन में से एक को पंजीकृत कर सकते हैं और नए निर्देश देने के लिए बॉट्स को कनेक्ट करने का इंतजार कर सकते हैं।

यह तकनीक सुरक्षा शोधकर्ताओं को बंद करने के लिए कठिन बनाना है। बॉटनेट के कमांड-एंड-कंट्रोल सर्वर या सुरक्षा उत्पादों के लिए अपने सीएंडसी यातायात को अवरुद्ध करने के लिए।

"पुशडो तीसरा प्रमुख मैलवेयर परिवार है जो पिछले 18 महीनों में डंबला ने सीजीए के साथ संचार करने के साधन के रूप में डीजीए तकनीकों को बदलने के लिए देखा है।, "डंबल्ला शोधकर्ताओं ने कहा। "ज़्यूयूएस मैलवेयर परिवार और टीडीएल / टीडीएसएस मैलवेयर के वेरिएंट भी उनके चोरी विधियों में डीजीए का उपयोग करते हैं।"

डंबला, डेल सिक्योरवर्क्स और जॉर्जिया इंस्टीट्यूट ऑफ टेक्नोलॉजी के शोधकर्ताओं ने मैलवेयर के नए संस्करण की जांच करने और इसके प्रभाव को मापने के लिए मिलकर काम किया। बुधवार को जारी एक संयुक्त रिपोर्ट में उनके निष्कर्ष प्रकाशित किए गए थे।

डीजीए तकनीकों का उपयोग करने के अलावा, नवीनतम पुशडो संस्करण नियमित रूप से 200 से अधिक वैध वेबसाइटों से पूछताछ करता है ताकि सामान्य सी यातायात के साथ अपने सीएंडसी यातायात में मिश्रण हो सके। शोधकर्ताओं ने कहा।

जांच के दौरान, पुष्डो के डीजीए द्वारा उत्पन्न 42 डोमेन नाम पंजीकृत थे और बोनेट के आकार का आकलन करने के लिए उनसे किए गए अनुरोधों की निगरानी की गई।

"लगभग दो महीने की अवधि में, शोधकर्ताओं ने अपनी रिपोर्ट में कहा, हमने 1,038,915 अद्वितीय आईपी को हमारे सिंकहोले में सीएंडसी बाइनरी डेटा पोस्ट किया। एकत्रित आंकड़ों के मुताबिक, दैनिक गणना 30,000 से 40,000 अद्वितीय आईपी (इंटरनेट प्रोटोकॉल) पते के बीच थी।

उच्चतम संक्रमण वाले देश भारत, ईरान और मेक्सिको हैं। चीन, जो आमतौर पर अन्य बोनेट संक्रमण के लिए सूची के शीर्ष पर है, शीर्ष दस में भी नहीं है, जबकि अमेरिका केवल छठे स्थान पर है।

पुष्डो मैलवेयर आमतौर पर ड्राइव-डाउनलोड डाउनलोड-वेब के माध्यम से वितरित किया जाता है शोधकर्ताओं ने कहा कि साइबर अपराधियों द्वारा उपयोग की जाने वाली पे-पर-इंस्टॉल योजनाओं के हिस्से के रूप में ब्राउज़र प्लग-इन में भेद्यता का शोषण करने वाले आधारित हमलों या अन्य बोनेट द्वारा स्थापित किया गया है।