Pull to refresh

Neverending story

Reading time 2 min
Views 741
По просьбе FkSD, ибо у него не хватает кармы.

Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло.

Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории.
Одним из загруженных файлов является поддельный антивирус — FraОudTool.Win32.SpywareProtect2009.s
Еще самый первый вариант Kido, в ноябре прошлого года, также загружал поддельные антивирусы в систему. Спустя почти полгода – этот функционал очередной раз использован неизвестными киберпреступниками.
SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009

Будучи запущенным он показывает следующий интерфейс и, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги – 49.95$


В настоящий момент поддержка распространения этого поддельного антивируса осуществляется сайтами, размещенным на территории Украины (131-3.elaninet.com, 78.26.179.107)
Вторым файлом, который был установлен Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.
Iksmas (Waledac) появился в январе 2009 года и еще тогда многие эксперты заметили некоторое сходство в части алгоритмов работы между Kido и им. Все время пока проходила эпидемия Kido – паралелльно шла не менее массовая эпидемия Iksmas в электронной почте. Однако, до сих пор не было доказательств связи этих червей между собой.
Сегодня ночью эти доказательства появились – Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах и в руках зломышленников появился гигантский ботнет, рассчитанный на рассылку спама.
Кроме того, по пока непроверенной информации, возможно находятся под атакой сайты некоторых компаний и организаций-участников группы Conficker Working Group.

Гостев Александр, www.secureblog.info
Tags:
Hubs:
+58
Comments 53
Comments Comments 53

Articles