Feltámadt az egyik legnagyobb kártékony hálózat

A Pushdo trójai ismét aktivizálódott, és megint egy kiterjedt kártékony hálózat felépítésébe fogott. Most viszont minden korábbinál nehezebb lesz kihúzni a méregfogát.
 

A számítógépes kártékony programok világában a Pushdo trójai neve korántsem ismeretlen. A károkozó ugyanis már 2007 elején felhívta magára a figyelmet elsősorban azáltal, hogy banki adatok lopására alkalmas programokat kezdett terjeszteni. Így hozzájárult a hírhedt Zeus és SpyEye trójai számítógépekre való feljuttatásához is. Ezzel azonban még nem volt vége a károkozásainak, ugyanis az általa megfertőzött PC-kből egy nagyon jelentős kiterjedésű botnetet épített fel, amit a vírusterjesztés mellett jelentős mennyiségű kéretlen elektronikus levél célba juttatására is felhasznált. A spamelési tevékenysége olyan méreteket öltött, hogy kezdetben a világ spamforgalmának jelentős részét egymaga képes volt produkálni.

A biztonsági cégek és a hatóságok világszerte munkálkodtak azon, hogy a Pushdo által felépített botnetet meg lehessen bénítani. Az elmúlt öt évben összesen négy jelentős, összehangolt akció indult a Pushdo botnet ellen, amelyek több-kevesebb sikert hoztak. Azonban mindegyikről elmondható, hogy csak átmenetileg éreztették a hatásukat, ugyanis valamilyen úton-módon a Pushdo mögött meghúzódó kiberbűnözői csoportok mindig képesek voltak újra életet lehelni a hálózatukba. Ez történt az elmúlt hetekben is, ugyanis a Pushdo ismét aktivizálódott.

Minden kezdődik elölről

A Pushdo újbóli éledezésére először márciusban figyeltek fel a Damballa cég kutatói, akik az elmúlt napokban arról számoltak be, hogy a trójai minden korábbinál több fejtörést fog okozni, ugyanis jelentősen képes megnehezíteni az újonnan épülő botnet leállítását. Ezt elsősorban azzal éri el, hogy a hozzá tartozó vezérlőszerverekhez való hozzáférést több módon biztosítja.

A trójai minden példánya tartalmaz egy-egy fix címlistát, ami alapján a botnetet irányító kiszolgálókat képes elérni. Azonban, ha a biztonsági cégek, szolgáltatók ezeket a webcímeket blokkolják, például feketelisták segítségével, és ezáltal a trójai nem tud csatlakozni egy szerverhez, akkor jön a következő trükk. A károkozó rendelkezik egy olyan algoritmussal, amely minden egyes nap 1000 domain nevet generál. A vírusterjesztők pedig pontosan tisztában vannak azzal, hogy az algoritmus mely napokon, milyen domain neveket állít elő, és szükség esetén azokból párat be tudnak regisztrálni. Így aztán jelentősen képesek megnehezíteni a feketelistákra épülő vagy a hírnévalapú védelmi technológiák dolgát.

A domain nevek generálásával kapcsolatos trükkről meg kell jegyezni, hogy nem egy új keletű megoldásról van szó. Úgynevezett DGA (Domain Generation Algorithms) algoritmusokkal többek között a széles körben terjedő, rengeteg kárt okozó Zeus trójai és a TDL/TDSS kártevőcsalád is rendelkezik.

Mire képes a Pushdo?

A legújabb Pushdo variáns fontos jellemzője, hogy a hozzá kapcsolódó hálózati adatforgalmat próbálja leplezni, és teljesen legális adatok közé bújtatni. Ennek érdekében rendszeresen több mint 200 weboldal közül választ, amelyek letöltésével, felkeresésével igyekszik elrejteni a saját nemkívánatos kommunikációját. Eközben pedig visszatér régi önmagához, és kéretlen elektronikus levelek küldözgetésében vesz részt, vagyis spamelést támogat.

Gyors terjedés

A Damballa kutatói az elmúlt hetekben több mint egymillió olyan egyedi IP-címet azonosítottak, amelyek mögött feltételezhetően Pushdo-val fertőzött rendszerek húzódnak meg. A legtöbb fertőzött számítógép Indiában, Iránban és Mexikóban található, de az USA is meglehetősen előkelő helyen áll ebből a szempontból. A biztonsági cég szerint a Pushdo legtöbbször egyéb kártékony programok révén kerülhet fel a PC-kre, de gyakori, hogy fertőzött weboldalakon keresztül töltődik le. Ennek során képes kihasználni böngészőket érintő sebezhetőségeket is, ami alapvetően befolyásolja az elleni folytatott védekezést. A naprakészen tartott víruskeresők mellett fontos a Windows, a webböngészők és az egyéb alkalmazások rendszeres biztonsági frissítése.