Cutwail/PushDo

pushdo

Cutwail botneti ilk olarak 2007 yılında görülmüştür. Çok fazla miktarda spam maili yollayabilmek için kötücül yazılımlarla etkilenmiş bir bilgisayar ordusu kullanır. Bu sayede hem toplam işi birçok bilgisayara dağıtmış olur hem de IP bazlı kara liste gibi spam filtreleme tekniklerinden kurtulur.

Cutwail yazılımı da, ZeuS ve SpyEye gibi, bilgisayarlara Trojan bileşeni olan Pushdo ile bulaşır. Pushdo trojanı kötücül yazılımları yükleyen ve çalıştıran bir sistemdir. Bu yazılım bir bilgisayara bulaştıktan sonra kurbanın sistem konfigürasyonuna bağlı olarak, önce Pushdo komuta kontrol sunucularına ulaşır ve ip listeleri, spam motoru gibi kötücül yazılımın diğer bileşenlerini indirir. Bu bileşenler indirilip, çalıştırıldıktan sonra bilgisayar artık spam botu haline gelmiştir. Kendisini Cutwail komuta kontrol sunucularına kayıt ettirdikten sonra sunuculardan gelecek talimatları beklemeye başlar.
Komuta kontrol iletişim metodu dışında PushDo yazılımının yeni varyasyonu alan adı üreten bir algoritma kullanır. Eğer PushDo komuta kontrol sunucusuna bağlanamazsa, 1.000’den fazla birbirinden farklı alan adları oluşturur ve onlara bağlanır. Saldırgan algoritmanın nasıl çalıştığını bildiği için komuta kontrol sunucu kullanılamaz olsa bile yeni bir alan adı kayıt ettirerek yeni talimatları etkisindeki bilgisayarlara gönderebilir.
Pushdo komuta kontrol sunucularıyla iletişimini maskelemek için alakasız ve rastgele seçilmiş sitelere de istek yollar. Geçmişte virüs bütün TCP bağlantılarını GET metodu ile yapılıyordu ve hiç HTTP başlığı yoktu, bu yüzden farketmek daha kolaydı. Fakat, virüs HTTP başlıkları ekleyerek zamanla daha karmaşık bir hal aldı ve POST metodu kullanmaya başladı. Ayrıca virüs isteklerini alt alana değil kök alan adlarına yapıyor ve ana dizinine ya da ?ptrxcz_ ile başlayan dizine istek yolluyor. Ağ yöneticisi olarak, kök alan adınıza, POST metodu ile yapılan başlangıç dizinini ya da ?ptrxcz_ ile başlayan dizin isteklerini engellemek isteyebilirsiniz.
Virus sadece Windows sistemlere bulaşır. Eğer bilgisayarına bu kötücül yazılım bulaştığını düşünüyorsanız Malwarebytes ve Norton Power Eraser gibi yazılımları kullanabilirsiniz. Aşağıdaki dosyalar pushdo trojanının bir parçası, eğer bu dosyalar belirtilen dizinlerde var ise onları da silin:
system32driversip6fw.sys
system32driversnetdtect.sys
driversruntime.sys
driverssecdrv.sys
30 Temmuz 2010 ile 25 Ağustos 2010 tarihleri arasında 87.7 milyar spam maili başarıyla gönderilmiştir. Bitdefender araştırmacılarına göre, en çok etkilenen ülkeler arasında Hindistan, Vietnam ve Türkiye var.
EN ÇOK ETKİLENEN ÜLKELER
• Vietnam – 1319
• Hindistan – 1297
• Endonezya – 610
• Birleşik Devletler – 559
• Türkiye – 507
• İran – 402
• Tayland – 345
• Arjantin – 315
• İtalya – 302
• Meksika – 274