PushDo؛ بدافزاری در حال تکامل
بدافزار PushDo بدافزار جدیدی نیست. این بدافزار از سال 2007 میلادی فعال است و تلاش های مکرر در از کار انداختن PushDo و دیگر برنامه های مخرب مرتبط با آن، تابحال نتیجه بخش نبوده و فقط توانسته اند بطور موقت فعالیت آن را متوقف کنند. اکنون گونه جدیدی از بدافزار PushDo مشاهده شده که نسبت به گونه های قبلی، در برابر ابزارهای امنیتی، مقاوم تر بوده و به روش های جدیدی سعی در مخفی نگه داشتن خود دارد.
بدافزار PushDo اغلب به عنوان وسیله ای جهت انتشار و توزیع بدافزارهای دیگر، نظیر ZeuS و SpyEye، استفاده می شود. این بدافزار به همراه خود ابزار ارسال هرزنامه (Spam) هم دارد. این ابزار ارسال انبوه هرزنامه که به Cutwail مشهور است، مسئول ایجاد و ارسال درصد قابل توجهی از هرزنامه هایی است که روزانه در سرتاسر جهان پخش می شوند.
با همکاری مشترک بدافزار PushDo و ابزار ارسال هرزنامه Cutwail، یک شبکه مخرب جهانی از کامپیوترهای آلوده و تحت کنترل به وجود آمده است که در پنج سال گذشته، چهار دفعه اقدام به برچیدن این شبکه و متوقف ساختن فعالیت های مخرب آن شده است، ولی هر بار پس از گذشت چند ماه، دوباره شاهد فعالیت این بدافزارها بوده ایم.
اخیراً گونه جدیدی از بدافزار PushDo شناسایی شده که از روش جدیدی برای برقراری ارتباط با مرکز کنترل و فرماندهی خود استفاده می کند. در حقیقت، این روش جدید، راهکار اضطراری و جایگزین برای مواقعی است که سرورهای فرماندهی به هر دلیلی از کار افتاده باشند و به درخواست های ارسالی از کامپیوترهای آلوده به PushDo پاسخ ندهند. در این روش، بر اساس یک الگوریتم خاص، روزانه بیش از یک هزار نام دامنه (Domain) که وجود خارجی نداشته و به ثبت نرسیده اند، توسط بدافزار PushDo تولید می شود. در صورتیکه بدافزار نتواند با مرکز فرماندهی همیشگی خود ارتباط برقرار کند، شروع به تماس گرفتن با یک به یک این هزار دامنه می کند تا پاسخی دریافت کند.
گردانندگان شبکه مخرب PushDo/Custwail بر اساس این الگوریتم خاص می دانند که بدافزار به سراغ چه دامنه هایی خواهد رفت. در نتیجه می توانند به سرعت نام یکی از هزار دامنه را ثبت کرده و فوراً سرور فرماندهی خود را بر پا کنند.
با استفاده از این روش، شرکت امنیتی همواره باید در حال حدس و گمان باشند و اقدام بعدی گردانندگان شبکه PushDo/Custwail را در ثبت یکی از دامنه ها پیش بینی کنند. حتی اگر الگوریتم مورد استفاده را شکسته و فرمول ساخت نام دامنه ها را به دست آورند، باز هم کنترل یک هزار دامنه در هر روز، کار چندان آسانی نیست.
بدافزار PushDo سومین بدافزاری است که بطور حرفه ای و جدی از “الگوریتم ساخت نام دامنه” استفاده می کند. تابحال برخی گونه های بدافزار ZeuS و بدافزار TDL/TDSS از این روش برای فعال ماندن هرچه بیشتر شبکه مخرب خود، استفاده کرده اند.
همچنین گونه جدید بدافزار PushDo برای مخفی نگه داشتن فعالیت های مخرب خود، دست به ابتکار جالبی زده است. این گونه جدید هر روز درخواست هایی به 200 سایت معتبر و مشهور جهان ارسال می کند و بدین ترتیب سعی دارد تا ارتباط با سرور فرماندهی را در بین ترافیک های عادی و روزمره، مخفی و پنهان سازد.
اخیراً با ایجاد یک مرکز فرماندهی جعلی (Sink-hole) توسط یک شرکت امنیتی و فریب کامپیوترهای آلوده به بدافزار PushDo به ایجاد ارتباط با این مرکز، آمارهای جالبی به دست آمده است. طی دو ماه فعالیت این سرور جعلی، اطلاعات سرقت شده توسط بدافزار PushDo از بیش از یک میلیون نشانی IP مستقل به این سرور فرماندهی ارسال شده است.
بیشترین فعالیت بدافزار PushDo در کشورهای هند، ایران و مکزیک می باشد. گرچه اغلب اوقات، نام کشور چین در صدر کشورهای آلوده به شبکه های مخرب سایبری قرار دارد، ولی در این مورد خاص، در فهرست 10 گانه آلوده ترین کشورها هم قرار نمی گیرد. کشور آمریکا هم فقط در رتبه ششم است.
بدافزار PushDo اغلب با سوء استفاده از نقاط ضعف مختلف در مرورگرها و یا برنامه های جانبی (add-ons) مرورگرها، قربانیان خود را آلوده می کند. همچنین مشاهده شده که بدافزارهای دیگر، بعنوان یک مرحله از مراحل آلوده سازی قربانی خود، اقدام به نصب بدافزار PushDo می نمایند.
