«Лаборатория Касперского» обнаружила новый вариант вредоносной программы Kido
«Лаборатория Касперского», сообщает об обнаружении новой версии вредоносной программы Kido, также популярной как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом сквозь P2P-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Ботнет Kido активизировался.
Новый вариант Kido отличается от своих предыдущих версий, и нынче это снова червь. Первичный анализ кода зловреда позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая 2009 года.
Первый из них – FraudTool.Win32.SpywareProtect2009.s – поддельный антивирус, который размещен на серверах, расположенных на территории Украины. При запуске программа предлагает «удалить найденные вирусы», требуя за это деньги – $49.95.
Вторым файлом, который устанавливается Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также небезызвестный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама. Iksmas (Waledac) появился в январе 2009 года, и еще в таком случае многие эксперты заметили некоторое сходство алгоритмов работы между Kido и им. Одновременно в эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте.
«За 12 часов Iksmas, установленный новой версией Kido, неоднократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама. Всего за 12 часов работы одного-единственного бота он отправил 42 298 спам-писем, - комментирует текущую ситуацию Александр Гостев, глава центра глобальных исследований и анализа угроз "Лаборатории Касперского». – При этом практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, дабы антиспам-технологии не смогли обнаружить такую рассылку, основываясь на методах анализа частоты использования конкретного домена. Всего мы зафиксировали использование 40 542 доменов третьего уровня и 33 домена второго уровня. Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно вымышленных. Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80 000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5 000 000, то получается, что за одни сутки этот ботнет мог разослать примерно 400 миллиардов писем со спамом!»
В настоящее время в «Лаборатории Касперского» проводится детальный анализ новой модификации Kido. Специалисты компании ведут работы по созданию новой версии утилиты KKiller с учетом функциональных особенностей новой версии сетевого червя.
У пользователей защитных продуктов «Лаборатории Касперского» нет причин для беспокойства: новый вариант червя Kido (Net-Worm.Win32.Kido.js) с самого начала детектировался эвристически (как HEUR:Worm.Win32.Generic), точно так же, как и загружаемый им вариант Iksmas.
citcity.ru
публикации сходной тематики
- Лаборатория Касперского сообщила подробности о новой версии Conficker
- “Лаборатория Касперского” предупреждает о появлении новой версии вредоносной программы Kido
- ЛК: Вирусную “двадцатку” марта возглавил червь Conficker
- ЛК: Рейтинг вредоносных программ в феврале 2009 года
- ЛК: «Развитие угроз в первом квартале 2009 года»