«Лабараторыя Касперскага», паведамляе аб выяўленні новай версіі шкоднаснай праграмы Kido, таксама вядомай як Conficker і Downadup. У ноч з 8 на 9 красавіка кампутары, заражаныя Trojan-Downloader.Win32.Kido, узаемадзейнічаючы сябар з сябрам праз P2P-злучэнні, падалі каманду іншым заражаным машынам на загрузку новых файлаў. Ботнет Kido актывізаваўся.
Новы варыянт Kido адрозніваецца ад сваіх папярэдніх версій, і зараз гэта зноў чарвяк. Першасны аналіз кода зловреда дазваляе казаць аб тым, што бягучая версія Kido будзе функцыянаваць да 3 траўня 2009 гады.
Акрамя загрузкі самаабнаўлення Kido загружае на заражаныя кампутары 2 новых файла.
Першы з іх – FraudTool.Win32.SpywareProtect2009.s – падроблены антывірус, які размешчаны на серверах, размешчаных на тэрыторыі Ўкраіны. Пры запуску праграма прапаноўвае «выдаліць знойдзеныя вірусы», патрабуючы за гэта грошы – $49.95.
Другім файлам, які ўсталёўваецца Kido на заражаныя сістэмы, стаў Email-Worm.Win32.Iksmas.atz, таксама вядомы як Waledac. Гэта паштовы чарвяк, які валодае функцыяналам крадзяжу дадзеных і рассыланні спаму. Iksmas (Waledac) з'явіўся ў студзені 2009 гады, і яшчэ тады шматлікія эксперты заўважылі некаторае падабенства алгарытмаў працы паміж Kido і ім. Адначасова ў эпідэміяй Kido ішла не меней масавая эпідэмія Iksmas у электроннай пошце.
«За 12 гадзін Iksmas, усталяваны новай версіяй Kido, неаднаразова падлучаўся да сваіх цэнтраў кіравання па ўсім міры і атрымліваў ад іх каманды на рассыланне спаму. Усяго за 12 гадзін працы аднаго-адзінага бота ён адправіў 42 298 спам-лістоў, - каментуе бягучую сітуацыю Аляксандр Гостев, кіраўнік цэнтра глабальных даследаванняў і аналізу пагроз "Лабараторыі Касперскага». – Пры гэтым практычна ў кожным лісце выкарыстоўваецца ўнікальны дамен. Відавочна, што гэта зроблена для таго, каб антыспам-тэхналогіі не змаглі выявіць такое рассыланне, засноўваючыся на метадах аналізу частаты выкарыстання пэўнага дамена. Усяго мы зафіксавалі выкарыстанне 40 542 даменаў трэцяга ўзроўня і 33 дамена другога ўзроўня. Практычна ўсе гэтыя сайты знаходзяцца ў Кітаі і зарэгістраваныя на самых розных людзей, верагодна выдуманых. Просты матэматычны падлік паказвае, што адзін бот Iksmas адпраўляе прыкладна 80 000 лістоў у суткі. Калі выказаць здагадку, што агульная колькасць заражаных машын складае 5 000 000, то атрымліваецца, што за адны суткі гэты ботнет мог разаслаць прыкладна 400 мільярдаў лістоў са спамам!»
У цяперашні час у «Лабараторыі Касперскага» праводзіцца дэталёвы аналіз новай мадыфікацыі Kido. Адмыслоўцы кампаніі вядуць працы па стварэнні новай версіі ўтыліты KKiller з улікам функцыянальных асаблівасцяў новай версіі сеткавага чарвяка.
У карыстачоў ахоўных прадуктаў «Лабараторыі Касперскага» няма чыннікаў для турботы: новы варыянт чарвяка Kido (Net-Worm.Win32.Kido.js) з самога пачаткі дэтэктаваўся па-эўрыстычнаму (як HEUR:Worm.Win32.Generic), сапраўды гэтак жа, як і загружаны ім варыянт Iksmas.
«Лабараторыя Касперскага» выявіла новую версію шкоднаснай праграмы Kido
13 красавіка 2009
Каментароў (0)