El botnet Pushdo es responsable del envío de casi 8.000 millones de correos de spam al día

i bien Pushdo todavía no ha captado la atención tanto como el botnet Storm y el gusano Conficker, según informes recientes de Trend Micro, Pushdo es el segundo botnet más grande del mundo - que envía aproximadamente 7.700 millones de correos no deseados al día. Esto significa que Pushdo es responsable de aproximadamente uno de cada 25 correos electrónicos enviados. Este número probablemente es mucho mayor en Rusia donde se da la mayor parte del spam de Pushdo.

El equipo de investigación de Trend Micro asegura que existen varias razones para la falta de notoriedad de Pushdo, ya que sus autores han utilizado activamente varias técnicas que le ayudan a actuar "por debajo del radar", dificultando así su detección. Además de que Pushdo es responsable de una enorme cantidad de spam, también actúa como el conductor principal para que las bandas criminales distribuyan código malicioso. Así, existen muchas detecciones genéricas diferentes para el spam y el código malicioso de Pushdo. Esta confusión ha ayudado al botnet a tener un perfil más bajo que sus notables competidores, y hace mucho más difícil el trabajo de los investigadores de seguridad.

Las actualizaciones de Pushdo contienen varios ejecutables, incluyendo spam que anuncia las capacidades de spam del botnet, spam vinculado a sitios pornográficos, spam de una farmacia canadiense y spam de réplicas de relojes, entre otros. Pushdo también genera spam publicitario local - desde clases de salsa hasta servicios de abogados. Normalmente, los binarios downloader/updater se detectan como "PUSHDO", a través de "PANDEX" y otros nombres que han sido detectados, agregándose a la confusión y ayudando a los criminales a mantener un perfil bajo de detección.

Además, uno de los módulos descarga una consola de dispositivos que intercepta el tráfico de correo electrónico saliente y registra a los receptores de cada mensaje. Entonces, envía esta información a un servidor que recolecta la información para permitir que la banda sepa exactamente cuántos correos electrónicos se han enviado por cada campaña para reportarlo a sus clientes.

Casi todos los componentes de Pushdo residen en la memoria del equipo, con muy pocos elementos instalados en el disco. La mayoría de la tecnología antivirus se basa en analizar archivos ejecutables, lo que explica por qué Pushdo evita las asociaciones de los archivos, lo que hace al código malicioso más difícil de detectar. Asimismo, a diferencia de otros botnets conocidos que se propagan a través de la explotación de vulnerabilidades y de correo masivo, Pushdo no contiene medios para auto-replicarse. La tendencia de los propietarios de botnets de cambiar frecuentemente la funcionalidad y el código de Pushdo hace al botnet aún más difícil de identificar.

Pushdo actúa más como una "operación criminal" que como un elemento aislado de código malicioso. De acuerdo con los investigadores de Trend Micro, parece que Pushdo tiene acuerdos con otros grupos de código malicioso para instalar el software. El botnet también aparentemente ha negociado acuerdos con grupos de código malicioso separados para instalar Pushdo.