Ботнет Kido активизировался

В ночь с 8 на 9 апреля компьютеры, зараженные сетевым червем Kido, известным также как Conficker и Downadup, через P2P-соединения получили команду на загрузку ложного антивируса SpywareProtect2009 и спамбота Waledac.

Как установили эксперты «Лаборатории Касперского», загружаемая Kido программа FraudTool.Win32.SpywareProtect2009.s размещена на серверах, расположенных на территории Украины. При запуске она выводит на экран резидентной системы многочисленные оповещения о несуществующих проблемах и предлагает «удалить найденные угрозы», требуя за это 49,95 долларов. Кроме того, этот «антивирус» пытается загрузить в систему еще один компонент — троянский даунлоудер, который обеспечивает загрузку новых версий SpywareProtect2009.

Функционал почтового червя Waledac (в классификации «Лаборатории Касперского» — Email-Worm.Win32.Iksmas.atz) ориентирован на хищение информации и рассылку спама. По данным экспертов, его загрузка производилась с сервера goodnewsdigital.com, который является одним из основных источников распространения этой вредоносной программы.

В «Лаборатории Касперского» наблюдали, как после установки в систему один из ботов Waledac в течение 12 часов неоднократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама. За это время он отправил 42298 спамовых сообщений. Если предположить, что общее количество зараженных Kido машин составляет 5 миллионов (а, по некоторым оценкам, их может быть более 10 миллионов) и все они будут работать с такой же производительностью, то за сутки этот ботнет способен разослать около 400 миллиардов единиц спама.

Исследователи отмечают, что для обхода систем фильтрации спамеры на этот раз снабдили практически каждое письмо уникальной ссылкой. Почти все указанные ссылками веб-сайты размещены в китайской доменной зоне и зарегистрированы разными лицами.

Первичный анализ кода новой версии Kido показал, что она будет функционировать до 3 мая 2009 года. Однако, по оценке Trend Micro, далеко не все компьютеры, зараженные Kido, получили обновления.

Полиморфный сетевой червь Kido с функционалом даунлоудера использует критическую уязвимость MS08-067 в Microsoft Windows и распространяется через локальные сети и съёмные носители информации. Наибольшее число заражений Kido зарегистрировано в корпоративных сетях. Хотя патч для устранения упомянутой уязвимости был выпущен в октябре прошлого года, в настоящее время, по оценке компании Sophos, 10% пользователей его пока не установили.

В настоящее время многие компании, специализирующиеся на сетевой безопасности, добавили сигнатуры Kido в свои базы данных и даже разработали утилиты для его обнаружения и удаления. Однако борьба с этой инфекцией осложнена тем, что этот червь, установившись в системе, блокирует доступ к веб-сайтам этих компаний. А в целях профилактики рядовым пользователям рекомендуется отключить функцию автозапуска в системе Windows.