Een botnet dat al sinds 2007 actief is en in de afgelopen vijf jaar vier keer werd uitgeschakeld, is nog altijd springlevend en van een update voorzien die de levensduur nog verder moet verlengen. Het gaat om PushDo, een botnet dat vooral gebruikt wordt voor het versturen van spamberichten. De nieuwste variant doet veel moeite om het verkeer tussen de besmette machines te verbergen.

Dat ontdekten onderzoekers van Dell Secureworks en Damballa. Zo gebruikt de malware RSA-encryptie, waardoor het verkeer lastiger te identificeren is, en is er een domain generation algorithm (DGA) toegevoegd, om in real-time nieuwe domeinen te genereren waarmee de besmette computers communiceren.

Domeinnamen
Om onderzoekers te misleiden is de PushDo-bot ook van een valse 'traffic generator' voorzien, die als afleiding fungeert. Door het gebruik van DGA is het botnet beter bestand tegen pogingen om het weer offline te halen. Het DGA fungeert als een back-up in het geval de hoofd Command & Control (C&C)-server van het botnet onbereikbaar is.

Het algoritme genereert een lijst met domeinnamen waarvan er één de nieuwe C&C-server kan zijn. Het DGA kan 1380 unieke domeinnamen op een dag genereren. Sommige botnets werken met configuratiebestanden waarin een lijst met domeinnamen staat vermeld. In het geval van PushDo ontbreekt deze lijst en is er steeds maar één domein actief.

IP-adressen
De malware zou onder andere bij overheidsorganisaties en militaire netwerken actief zijn. Gedurende een periode van twee maanden werden 1,1 miljoen unieke IP-adressen waargenomen die met de C&C-server verbinding probeerden te maken.

Aan de hand van het waargenomen verkeer schatten de onderzoekers dat de nieuwe PushDo tussen de 175.000 en 500.000 unieke IP-adressen heeft besmet, waarbij er gemiddeld steeds 200.000 IP-adressen actief zijn.