Бесконечная история

Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами c 1 апреля, произошло.

Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.

Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.

Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.

Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s

Еще самый первый вариант Kido в ноябре прошлого года пытался загружать поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.

SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:

После запуска он показывает следующий интерфейс:

Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):

В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).

Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.

Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.

Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.

Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.

[обновление] Как выяснилось позже, сайты CWG были недоступны из-за проблем у одного из калифорнийских провайдеров.