Pushdo : Le malware infecte 11 000 machines en 24 heures

Un des plus anciens malwares encore actif à ce jour, Pushdo, a encore frappé sur Internet et a infecté récemment plus de 11 000 machines en tout juste 24 heures.

Vu pour la première fois en 2007, Pushdo est un Trojan polyvalent qui est notamment connu pour délivrer des malwares comme ZeuS ou SpyEye sur les machines infectées, dans le but de réaliser des campagnes de spam, par l'intermédiaire du composant Cutwail qu'on lui associe.

BitDefender a découvert une nouvelle version de Pushdo, bien que le protocole de communication reste le même il s'avère que les clés de sécurité utilisées entre la cible et le serveur de commandes ont étaient changées. Le binaire est quant à lui modifié également avec une partie chiffrée qui a pour objectif d'effectuer des vérifications afin d'assurer le bon fonctionnement lors de l'exécution.

BitDefender précise également qu'un nouveau DGA (Domain Generation Algorithms) est actuellement utilisé. Bien que la structure principale de l'algorithme ait été préservée, les noms de domaine générés sont très différents. Seulement des constantes et des listes de lettres utilisées pour calculer la longueur du nom de domaine, et, pour choisir les caractères du nom de domaine ont été mises à jour.

La région la plus affectée est l'Asie avec l'Inde et le Vietnam en tête de liste avec 10% du total d'hôtes infectés pour chacun de ces deux pays. Quant aux Etats-Unis, ils sont concernés pour 5% du total. Par ailleurs, d'autres pays comme l'Italie, la Russie et la France sont affectés sans que l'on sache exactement de combien de machines.

Des membres de l'équipe sécurité de chez BitDefender continuent leurs investigations sur Pushdo afin de faire avancer le dossier dans les prochains jours, et, de rendre le malware détectable par les anti-virus le plus rapidement possible.