A SecureWorks IT-biztonsági cég szerint érdekes viselkedést mutat a PushDo elnevezésű kártevő-terjesztő hálózat, amelyet korábban "csak" a hírhedt Cutwail spammelő rendszer háttér-szolgáltatásaként ismertek a kutatók.

A mintegy 300 ezer fertőzött zombi gépből álló PushDo különféle jelszólopó, reklám-kattintó és keresési eredményeket meghamisító trójai programokat terjeszt bérmunkában. Ez megszokottnak számít hacker-körökben - az újdonságot az a módszer jelenti, ahogyan a botnet vezérlőrendszerét igyekeznek álcázni a feltehetően kelet-európai illetőségű üzemeltetők.

A PushDo hálózatban részt vevő feltört, távvezérelt zombi gépek furcsa adatcsomagokban kommunikálnak az őket távirányító ún. C&C szerverekkel: a szabványos tartalmat kamu SSL-fejléc vezeti be. Ez arra szolgálhat, hogy álcázza a forgalom jellegét a felszínes hálózati megfigyelés elől, hiszen SSL-titkosított kapcsolatot webes banki műveletekhez és online vásárláshoz szokás használni.

A Shadow Server Alapítvány megfigyelései szerint a PushDo extra zajt is generál a neten, hogy növelje álcázásának hatékonyságát. A látszólag SSL-kapcsolatot kezdeményező, de hibás formátumú "kézfogás" kéréseket a botnet a CIA, FBI, PayPal, Twitter és a Yahoo szervere felé is elküldi. Szerencsére az így keletkezett forgalom volumene nem elég ahhoz, hogy leállást vagy lassulást (ún. DDoS-jelenség) okozzon a célba vett portálokon.

A valódi SSL-titkosított kapcsolatok egyébként meglehetősen számításigényesek, így hálózati támadásra való felhasználásuk kétélű fegyver lenne: a célpontot erősen sújtja, viszont a forgalom típusa alapján könnyű kitiltani - ráadásul a tömeges adatcsomag gyártás lassító hatása a támadóknál is jelentkezik. A felhasználó ebből esetleg rájöhet, hogy otthoni gépe nincs rendben: fertőzött zombi lett belőle, amit valaki más is használ helyette.