Sikkerhedsforskere fra Damballa har fundet en ny variant af Pushdo-malware, der bedre kan skjule sin ondsindede netværkstrafik og er mere modstandsdygtig over for koordineret takedown-indsats.

Sikkerhedsindustrien har forsøgt at lukke Pushdo / Cutwail botnet fire gange i løbet af det sidste Fem år, men disse bestræbelser har kun resulteret i midlertidige forstyrrelser.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

I marts identificerede sikkerhedsforskere fra Damballa nye ondsindede trafikmønstre og kunne spore dem tilbage til en ny variant af Pushdo malware.

"Den nyeste variant af PushDo tilføjer en anden dimension ved at bruge domænefluxing med Domain Generation Algorithms (DGA'er) som en tilbagekoblingsmekanisme til sine normale kommando- og kontrolmetoder (C & C) "Damballa-forskerne sagde onsdag i et blogindlæg.

Malware genererer over 1.000 ikke-eksisterende unikke domænenavne hver dag og forbinder dem, hvis de ikke kan nå sine hardkodede C & C-servere. Da angriberne ved, hvordan algoritmen virker, kan de registrere en af ​​disse domæner på forhånd og vente på, at robotterne tilsluttes for at levere nye instruktioner.

Denne teknik er beregnet til at gøre det svært for sikkerhedsforskere at lukke botnet's command-and-control-servere eller til sikkerhedsprodukter for at blokere sin C & C-trafik.

"PushDo er den tredje store malware-familie, som Damballa har set i de sidste 18 måneder for at henvende sig til DGA-teknikker som et middel til at kommunikere med C & C, "sagde Damballa forskerne. "Varianter af ZeuS malware familie og TDL / TDSS malware bruger også DGA i deres unddragelsesmetoder."

Forskere fra Damballa, Dell SecureWorks og Georgia Institute of Technology arbejdede sammen for at undersøge malware's nye variant og måle dens indvirkning. Deres resultater blev offentliggjort i en fælles rapport, der blev udgivet onsdag.

Ud over at bruge DGA-teknikker spørger den seneste Pushdo-variant også regelmæssigt over 200 legitime websites for at blande C & C-trafikken med normal trafik, forskere sagde.

Under undersøgelsen blev 42 domænenavne genereret af Pushdo's DGA registreret, og anmodningerne til dem blev overvåget for at få et estimat af botnetets størrelse.

"I løbet af næsten to måneder, vi observerede 1.038.915 unikke IP'er, der sendte C & C-binære data til vores sinkhole, "siger forskerne i deres rapport. Den daglige tælling var mellem 30.000 til 40.000 unikke IP-adresser (Internet Protocol), sagde de.

De lande med den højeste infektionstal er Indien, Iran og Mexico ifølge de indsamlede data. Kina, som sædvanligvis er øverst på listen for andre botnetinfektioner, er ikke engang i top ti, mens USA kun er på sjette plads.

Pushdo-malware distribueres generelt via drive-by download-angreb-web baserede angreb, der udnytter sårbarheder i browser plug-ins-eller er installeret af andre botnets som en del af pay-per-installeringssystemer, der anvendes af cyberkriminelle, siger forskerne.