Reţeaua botnet controlată prin virusul Kido/Conficker a devenit activă

Bucureşti, 13 aprilie 2009 – Specialiştii în securitate ai Kaspersky Lab au anunţat că a fost detectată o nouă versiune a virusului Kido, cunoscut şi ca Downadup sau Conficker. În noaptea de 8 spre 9 aprilie, computerele infectate cu Trojan.Downloader.Win32.Kido s-au contactat reciproc prin intermediul reţelei P2P, comandând descărcarea de noi fişiere malware, astfel reţeaua botnet controlată de Kido devenind activă.

Această ultimă versiune a Kido, înregistrată ca Net-Worm.Win32.Kido.js, diferă semnificativ de variantele anterioare, fiind din nou un vierme cu limită de funcţionare până la data de 3 mai 2009, conform analizelor preliminare

În afara faptului că virusul îşi descarcă singur actualizări, Kido descarcă şi alte două fişiere pe calculatoarele infectate. Unul dintre acestea este un program antivirus fals, detectat ca FraudTool.Win32.SpywareProtect2009.s şi care este distribuit folosind site-uri din Ucraina. Atunci când este instalat, acesta alertează utilizatorul că are computerul infectat şi trebuie să plătească 49,95$ pentru devirusare.

Al doilea fişier descărcat de Kido pe sistemele infectate este Email-Worm.Win32.Iksmas.atz, cunoscut şi ca Waledac, care poate fura date confidenţiale şi trimite mesaje spam. Atunci când acest program periculos a fost înregistrat în ianuarie 2009, mulţi specialişti IT au remarcat similarităţi între Kido şi Iksmas. Mai mult decât atât, epidemia Kido a corespuns unui val de mesaje spam generate de Iksmas

„Timp de aproape 12 ore, Iksmas s-a conectat de câteva ori la centrele sale de control din întreaga lume şi a primit comenzi pentru a trimite mesaje spam”, a declarat Alex Gostev, Head of Kaspersky Lab Global Research & Analysis Team. „În doar 12 ore, un singur computer infectat a trimis 42.298 de spam-uri, care virtual conţineau nume unice de domenii. Această operaţiune a fost realizată în mod evident pentru a împiedica filtrele anti-spam, care analizează frecvenţa utilizării unui domeniu, să detecteze această operaţiune de spam în masă. În total, am identificat 40.542 domenii de nivel trei şi 33 domenii de nivel doi, care sunt virtual localizate în China şi înregistrate pe numele unor persoane diferite, cel mai probabil inventate. Aşadar, printr-un simplu calcul, observăm că reţeaua infectată cu Iksmas trimite în jur de 80.000 de emailuri pe zi. Presupunând că există cinci milioane de computere infectate, botnet-ul poate trimite aproximativ 400 miliarde de mesaje spam în 24 de ore”, a completat Gostev

Experţii Kaspersky Lab conduc o analiză detaliată a ultimei versiuni de Kido şi lucrează la actualizarea utilitarului KKiller, ţinând cont de ultimele proprietăţi şi caracteristici ale virusului.

Utilizatorii produselor Kaspersky Lab sunt protejaţi împotriva noii variante de Kido (Net-Worm.Win32.Kido.js), precum și împotriva variantelor de Iksmas pe care virusul le descarcă, acestea fiind detectate prin intermediul filtrului euristic ca HEUR:Worm.Win32.Generic.

http://www.agora.ro/index.php?qs_sect_id=126&qs_f_id=5&qs_stire_id=26572