Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.
Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s
Еще самый первый вариант Kido в ноябре прошлого года загружал поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.
SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:
После запуска он показывает следующий интерфейс:
Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):
В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).
Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.
Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.
Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.
Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.
Лаборатория Касперского
Комментариев нет:
Отправить комментарий