“Вторжение” началось


Только вчера брату дистанционно по симптомам сообщил, что его комп. заражен Conficker-ом (Kido, Downadup) и вот сегодня давно ожидаемая новость на сайте Касперского: Сегодня ночью ботнет Kido начал работать. Все ждали этого момента с 1-ого апреля и оно случилось!

Скопировал запись из их блога под кат, очень она интересная.
Вкратце - авторы червя рассылают на зараженные компьютеры 2 новых вируса: поддельный антивирус и почтовый червь.

Задача первого - напугать пользователя и заставить заплатить 50 долларов. Никогда не ведитесь на просьбы “антивируса” заплатить деньги за вылечивание от вирусов - так делают не настоящие антивирусы, а те самые поддельные. Они ни отчего не лечат, просто пугают и требуют денег.

Задача второго - своровать данные и рассылать почтовый спам с компьютера пользователя. Приятно ли, если все ваши друзья получат письмо с вирусом с вашего адреса?

Также эксперты касперского подозревают, что началась атака на сайты тех, кто противодействует распространению этого вируса.
Управление загруженными вирусами идет с серверов на территории Украины. Что-то уж очень много следов указывает на Украину всвязи с этим червем…

В общем, читайте дальше статью с блога Касперского.



Событие, ожидавшееся экспертами c 1 апреля, произошло.Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.

Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.

Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s
Еще самый первый вариант Kido в ноябре прошлого года загружал поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.
SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:

После запуска он показывает следующий интерфейс:

Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):

В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).
Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.
Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.
Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.
Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.



Понравилась статья? Подпишись на RSS!



Похожие статьи:


Вопросы и ответы: Conficker и 1 апреля
Модификация червя Downadup - W32.Downadup.C.
Новый червь Downadup
Ждем новой эпидемии?
Очень опасная критическая уязвимость в Adobe Flash Player
Африканские письма, страсти и $5.7млн
Сделай свой интернет безопасным

16 комментариев к “Вторжение” началось

  • Чего-то F-Secure пока молчит по этому поводу. ;)

    У меня такое ощущение складывается, что ребята решили попросту распродать свой ботнет или его часть. Ибо (а) грузят чужие (скорее всего) вредоносы и (б) добавили функцию самоуничтожения на 3 мая.

    • Пока что только касперский опубликовал эту инфу. Может быть даже, что ошиблись, хотя врядли.
      А насчет распродажи - это не так. Они его монетизировать начали - загружают в него другие вирусы, с помощью которых уже будут деньги зарабатывать - спам рассылать, ддосить, деньги вымогать и т.п.

      • Не только Касперский. Trend Micro и Symantec сделали это ещё раньше: http://www.theregister.co.uk/2009/04/09/conficker_botnet_update/

        То, что они загружают другие вирусы - это как раз меня и смущает. Потому что эти вирусы вряд ли писали эти же ребята. То если либо они забашляли за вирусы, либо им забашляли за ботнет. Собственно, боты сдаются в аренду - насколько я знаю, это типичная практика. И, имея в распоряжении такую нехилую зомби-армию, проще как раз сдавать её в аренду или продавать, чем выдумывать что-то своё.

        В совокупности с функцией самоуничтожения (Касперский только упоминает о ней вскользь), гипотеза о продаже выглядит логично. Т.е. они обновляют Конфикер на части зомби-компьютеров, запускают на них чужаков, а потом полностью удаляются (Trend Micro пишет, что удаляют абсолютно все следы своего пребывания).

        • Цель любого “профессионального” червя или вируса изначально - монетизация, заработок денег. Так что неудивительно, что они начали его монетизировать. Странно только, что они готовы уже в мае все свои следы удалить, очень странно. Возможно у них готов новый вирус, который не работает вместе к конфикером, вот они его и удаляют заранее, а потом новый начнут запускать.
          Как такая идея? Иначе зачем самоуничтожаться?

      • Вот, кстати, такая же гипотеза:

        http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131380&intsrc=news_ts_head

        “Two things come to mind,” said Hogan [Symantec Corp.], referring to the Conficker.e-Waledac connection. “The people responsible for Waledac could be from the same group as Conficker, or they may be directly associated with the Conficker people. Or the people behind Conficker have sold the use of their botnet to Waledac, who in turn are in the spam business.”

  • http://www.eset.com/threat-center/blog/

    http://www.eset.com/threat-center/blog/?p=954

    Bratislava, April 9, 2009
    Conficker stopped connecting to domainsESET dubbed the new variant Win32/Conficker.AQ

    ESET detected a new variant of Conficker worm that is different to the previous ones in one major, yet surprising feature. It doesn’t contact any of the control domains, even though it originally operated with up to 50 000 domains a day. Conficker and the size of its botnet (a network of infected PC’s) has attracted a lot of media attention in the past days.

    The new variant, created on April 7th, communicates only within its own peer-to-peer network. It comprises of two main components. The server part infects vulnerable PC’s in the network, installing the client part. These clients become a part of the Conficker botnet. There is an interesting feature in the code of the worm that causes the server part to deactivate and remove from the PC after May 3rd. However, the botnet will be active even after this date and Conficker will remain to be one of the most prevalent current threats.

    Similarly as previous variants, Win32/Conficker.AQ exploits the Windows MS08-067 vulnerability. The users are therefore adviced to keep their systems up-to-date and protect their PC’s with a security software.
    http://www.eset.eu/press-conficker-aq-stopped-contacting-to-domains

    Threat Encyclopaedia
    Win32/Conficker.AQ
    http://www.eset.eu/encyclopaedia/win32_conficker_aq_trojan_dropper_kido_downad_e?lng=en

  • интересно, а вирусные пакеты для убунты есть?

  • Вот ещё 10 числа тоже что-то подытожили.
    Conficker: rising and shining…
    http://www.eset.com/threat-center/blog/?p=961

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>