Обнаружена новая разновидность червя Conficker

  Эксперты антивирусной компании Trend Micro заявили, что сетевой червь Conficker все-таки начал проявлять первые признаки активности и серверы компании уже на протяжении нескольких суток фиксируют растущие объемы пирингового трафика между инфицированными компьютерами.

  Одновременно с этим, в блоге компании появилось сообщение об обнаружении нового варианта червя Conficker Worm_Downnad.E, который распространяется при помощи технологии p2p. Сообщается, что действию данного червя подвержены только пользователи операционной системы Windows. Сейчас специалисты Trend Micro исследуют образцы кода, но уже очевидно, что он как минимум работает в качестве кейлоггера и похищает закрытую информацию с зараженной машины.

  Существующая на сегодня разновидность червя распространяется в различных .sys-файлах нескольких руткитов, причем само наличие вредоноcного кода в рутките обнаружить очень сложно, так как Conficker зашифрован исключительно стойкими алгоритмами шифрования. В блоге Trend Micro приводятся данные, согласно которым червь пытается тестировать интернет-соединения, обращаясь к сайтам MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com.

  Вирусные аналитики говорят, что все логи своей деятельности червь старательно подчищает, а дата "выключения" червя обозначена как 3 мая. "Так как зараженные компьютеры получают компоненты червя с многих источников, а не с одного сервера, заблокировать источники Conficker довольно сложно. Но наши данные показывают, что после 3 мая новый вариант червя прекратит всякую репликацию, хотя инфицированные машины по-прежнему можно будет контролировать удаленно", - говорит директор по информационному образованию Trend Micro Девид Перри.

  На днях исследователи Trend Micro обнаружили, что многие зараженные машины начали передавать в больших объемах зашифрованный трафик на один из серверов, IP-адрес которого принадлежит корейскому сегменту глобальной сети.

  "Судя по всему, в новой версии червя Downad/Conficker основным методом коммуникации являются не HTTP-соединения с серверами, а P2P-соединения с другими инфицированными машинами", - говорится в блоге компании.

  Кроме того, червь налаживает связь с машинами, зараженными сетевыми червями семейства Waledac, а также с огромной спамовой бот - сетью Storm. Новый Downad/Conficker пытается получать доступ к доменам Waledac и скачивать оттуда новые инструкции в зашифрованных форматах. По предположительным данным, данные инструкции также могут представлять собой дополнительные компоненты Downad/Conficker, наделяющие его новым функционалом.

  Добавлено 13.04.2009

  Лаборатория Касперского также сообщила о найденной новой версии Kido, известной также как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом через p2p-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Ботнет Kido активизировался. Новый вариант Kido отличается от своих предыдущих версий, и теперь это снова червь. Первичный анализ кода позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая 2009 года.

  Согласно последним данным, червь загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.

  Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее.

  Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.

  Кроме того, Kido загружает на зараженные компьютеры червя Iksmas, также известного как Waledac. Он появился в январе 2009 года. Предназначение Iksmas - кража персональных данных и рассылка спама.

  В среднем один компьютер, зараженный Iksmas, отправляет в сутки 80 тысяч спам-сообщений. Практически все домены, с которыми связываются Iksmas для получения инструкций, находятся в Китае.

  Впервые атака червя Kido(Conficker) была зафиксирована в начале 2009 года. В течение нескольких дней он заразил десять миллионов компьютеров. Ботнет, образованный этими компьютерами, является одним из крупнейших в мире.