Os pesquisadores da empresa de segurança Damballa identificaram uma nova variante do malware Pushdo, que é melhor em esconder seu tráfego malicioso e é mais resistente aos esforços coordenados para derrubada da rede.
O Cavalo de Troia (do início de 2007) é usado para distribuir outras ameaças de malware, como Zeus e SpyEye. Ele também é equipado com seu próprio módulo spam, conhecido como Cutwail, que é diretamente responsável por grande parte do tráfego de spam diário mundial.
A indústria de segurança tentou derrubar a botnet (rede de computadores zumbis) Pushdo/Cutwail quatro vezes durante os últimos cinco anos, mas esses esforços só resultaram em interrupções temporárias.
Em março, pesquisadores de segurança da Damballa identificaram novos padrões de tráfego malicioso e foram capazes de rastreá-los, chegando à nova variante do malware Pushdo. "A última variante acrescenta uma outra dimensão ao usar técnicas de geração de domínio (domain flux) como um mecanismo de resposta normal ao seu método de comunicação de comando e controle (C&C)", disseram os pesquisadores da Damballa, na quarta-feira (15) em um post no blog da empresa.
O malware gera mais de mil nomes inexistentes de domínios únicos a cada dia, e se conecta a eles se não conseguir alcançar seus servidores C&C codificados. Uma vez que os crackers sabem como o algoritmo funciona, eles podem registrar um desses domínios com antecedência e aguardar os bots para conectar, a fim de entregar novas instruções.
Essa técnica tem como objetivo tornar mais difícil para os pesquisadores de segurança derrubar os servidores de comando e controle da botnet, ou para produtos de segurança bloquear o tráfego do C&C.
"O Pushdo é a terceira maior família de malware que Damballa tem observado nos últimos 18 meses a adotar técnicas de geração de domínio como um meio de se comunicar com o seu servidor", disseram os pesquisadores da empresa. "As variantes da família do malware ZeuS e do malware TDL/TDSS também usam esse