Архив

Ботнет Kido активизировался

В ночь с 8 на 9 апреля компьютеры, зараженные сетевым червем Kido, известным также как Conficker и Downadup, через P2P-соединения получили команду на загрузку ложного антивируса SpywareProtect2009 и спамбота Waledac.

Как установили эксперты «Лаборатории Касперского», загружаемая Kido программа FraudTool.Win32.SpywareProtect2009.s размещена на серверах, расположенных на территории Украины. При запуске она выводит на экран резидентной системы многочисленные оповещения о несуществующих проблемах и предлагает «удалить найденные угрозы», требуя за это 49,95 долларов. Кроме того, этот «антивирус» пытается загрузить в систему еще один компонент — троянский даунлоудер, который обеспечивает загрузку новых версий SpywareProtect2009.

Функционал почтового червя Waledac (в классификации «Лаборатории Касперского» — Email-Worm.Win32.Iksmas.atz) ориентирован на хищение информации и рассылку спама. По данным экспертов, его загрузка производилась с сервера goodnewsdigital.com, который является одним из основных источников распространения этой вредоносной программы.

В «Лаборатории Касперского» наблюдали, как после установки в систему один из ботов Waledac в течение 12 часов неоднократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама. За это время он отправил 42298 спамовых сообщений. Если предположить, что общее количество зараженных Kido машин составляет 5 миллионов (а, по некоторым оценкам, их может быть более 10 миллионов) и все они будут работать с такой же производительностью, то за сутки этот ботнет способен разослать около 400 миллиардов единиц спама.

Исследователи отмечают, что для обхода систем фильтрации спамеры на этот раз снабдили практически каждое письмо уникальной ссылкой. Почти все указанные ссылками веб-сайты размещены в китайской доменной зоне и зарегистрированы разными лицами.

Первичный анализ кода новой версии Kido показал, что она будет функционировать до 3 мая 2009 года. Однако, по оценке Trend Micro, далеко не все компьютеры, зараженные Kido, получили обновления.

Полиморфный сетевой червь Kido с функционалом даунлоудера использует критическую уязвимость MS08-067 в Microsoft Windows и распространяется через локальные сети и съёмные носители информации. Наибольшее число заражений Kido зарегистрировано в корпоративных сетях. Хотя патч для устранения упомянутой уязвимости был выпущен в октябре прошлого года, в настоящее время, по оценке компании Sophos, 10% пользователей его пока не установили.

В настоящее время многие компании, специализирующиеся на сетевой безопасности, добавили сигнатуры Kido в свои базы данных и даже разработали утилиты для его обнаружения и удаления. Однако борьба с этой инфекцией осложнена тем, что этот червь, установившись в системе, блокирует доступ к веб-сайтам этих компаний. А в целях профилактики рядовым пользователям рекомендуется отключить функцию автозапуска в системе Windows.

Ботнет Kido активизировался

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике