بوتدو الروبوتية يتطور ، يصبح أكثر مرونة لمحاولات الإزالة

لقد اكتشف باحثون أمنيون من Damballa نوعًا جديدًا من البرامج الضارة من نوع Pushdo التي تعد أفضل لإخفاء حركة مرور الشبكة الضارة ولديها قدر أكبر من المرونة في جهود الإزالة المنسقة. > برنامج Pushdo Trojan يعود إلى أوائل عام 2007 ويستخدم لتوزيع تهديدات البرامج الضارة الأخرى ، مثل Zeus و SpyEye. كما يأتي مع وحدة محرك البريد المزعج الخاصة به ، والمعروفة باسم Cutwail ، والتي هي المسؤولة مباشرة عن جزء كبير من حركة المرور العشوائية اليومية في العالم.

وقد حاولت صناعة الأمن لإيقاف الروبوتات Pushdo / Cutwail أربع مرات خلال الماضي خمس سنوات ، ولكن هذه الجهود لم تسفر إلا عن اضطرابات مؤقتة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows]

في آذار ، حدد باحثون أمنيون من دامبولا أنماط حركة مرور ضارة جديدة وتمكنوا من تتبعها إلى نوع جديد من البرامج الضارة Pushdo.

"يضيف أحدث إصدار من PushDo بُعدًا آخر باستخدام تدفق النطاق مع خوارزميات إنشاء المجال (DGAs) كآلية احتياطية لأساليب الاتصال العادية للتحكم في الأوامر والتحكم (C & C) ، "قال الباحثون في Damballa يوم الأربعاء في تدوينة بالبريد.

تولد البرامج الضارة أكثر من 1000 اسم نطاق فريد غير موجود كل يوم وتتصل بهم إذا لم تستطع الوصول إلى خوادم C & C المشفرة. نظرًا لأن المهاجمين يعرفون كيف تعمل الخوارزمية ، يمكنهم تسجيل أحد هذه النطاقات مقدمًا والانتظار حتى يتم الاتصال بالبوتات من أجل تقديم تعليمات جديدة.

يهدف هذا الأسلوب إلى جعل من الصعب على الباحثين الأمنيين إيقاف تشغيل خوادم التحكم و التحكم في botnet أو منتجات الأمان تمنع حركة المرور C & C الخاصة بهم.

"PushDo هي ثالث عائلة ضارة كبرى لاحظها Damballa في الأشهر الـ 18 الماضية ليتحول إلى تقنيات DGA كوسيلة للتواصل مع C & C ، وقال الباحثون Damballa. "كما استخدم المتغيرات من عائلة البرامج الضارة ZeuS والبرامج الضارة TDL / TDSS DGA في أساليب التهرب الخاصة بهم."

عمل باحثون من Damballa و Dell SecureWorks ومعهد Georgia Technology معًا للتحقيق في الشكل الجديد للبرامج الضارة وقياس تأثيره. ونشرت النتائج التي توصلوا إليها في تقرير مشترك صدر يوم الأربعاء.

بالإضافة إلى استخدام تقنيات DGA ، يقوم أيضًا أحدث إصدار من Pushdo بالبحث عن أكثر من 200 موقع ويب شرعي بشكل منتظم من أجل مزج حركة المرور C & C مع حركة مرور عادية المظهر ، قال الباحثون

أثناء التحقيق ، تم تسجيل 42 من أسماء النطاقات التي تم إنشاؤها بواسطة DGA في بوشدو وتم رصد الطلبات المقدمة لهم من أجل الحصول على تقدير لحجم الروبوتات.

"على مدى ما يقرب من شهرين ، لاحظ الباحثون في تقريرهم أن 1،038،915 من عناوين IP الفريدة تقوم بنشر البيانات الثنائية C & C إلى المجرى. وكان العدد اليومي بين 30000 إلى 40000 عنوان IP (بروتوكول إنترنت) فريد من نوعه ، حسبما ذكروا.

إن البلدان ذات أعلى عدوى هي الهند وإيران والمكسيك ، وفقًا للبيانات المجمعة. الصين ، التي عادة ما تكون في قمة قائمة المصابين بالتهابات الروبوتات الأخرى ، ليست حتى في المراكز العشرة الأولى ، في حين أن الولايات المتحدة تحتل المرتبة السادسة فقط.

يتم توزيع البرامج الضارة لبوشو بشكل عام من خلال هجمات التنزيل على الويب وقال الباحثون إن الهجمات التي استُخدمت لاستغلال نقاط الضعف في المكونات الإضافية للمتصفح أو مثبتة في شبكات بوت نت أخرى كجزء من مخططات الدفع لكل تثبيت التي يستخدمها المجرمون الإلكترونيون.