Desde que o trojan Pushdo ressurgiu, as chaves públicas e privadas usadas para proteger a comunicação entre os bots e os servidores de comando e controle foram alteradas, mas o protocolo de comunicação continua o mesmo. Outra mudança significativa, foi feita no nível binário, com novos binários do Pushdo contendo uma criptografia "overlay", desempenhando o papel de um check-up. Se as condições especificadas nesse "overlay" não forem cumpridas, a amostra não irá funcionar adequadamente.
Além de tudo isso, a Bitdefender informa que um novo DGA (Domain Generation Algorithm) está atualmente em uso. Embora a estrutura principal do algoritmo tenha sido preservado, os nomes de domínio gerados parecem muito diferentes. Apenas algumas constantes e "lists of letters", que são usadas para calcular a extensão de nome de domínio e para escolher os caracteres desses nomes de domínios foram atualizados.
Vale ressaltar que o tráfego para os domínios "sinkholed", foi originado de mais de 11.000 endereços IP únicos em um período de 24 horas. A região mais afetada parece ser a asiática, com a Índia e o Vietnã no topo da lista de hosts comprometidos e que representam cerca de 10% das infecções cada.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2809