• Реклама

  • Социальные сети



    Новости сайта Лыткарино Online
    на главной странице Яндекса
    добавить на Яндекс
lytgeygen

Kido начал действовать.

2 сообщения в этой теме

Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло.

Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.

Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.

Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории.

Одним из загруженных файлов является поддельный антивирус — FraОudTool.Win32.SpywareProtect2009.s

Еще самый первый вариант Kido, в ноябре прошлого года, также загружал поддельные антивирусы в систему. Спустя почти полгода – этот функционал очередной раз использован неизвестными киберпреступниками.

SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009

Будучи запущенным он показывает следующий интерфейс и, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги – 49.95$

В настоящий момент поддержка распространения этого поддельного антивируса осуществляется сайтами, размещенным на территории Украины (131-3.elaninet.com, 78.26.179.107)

Вторым файлом, который был установлен Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.

Iksmas (Waledac) появился в январе 2009 года и еще тогда многие эксперты заметили некоторое сходство в части алгоритмов работы между Kido и им. Все время пока проходила эпидемия Kido – паралелльно шла не менее массовая эпидемия Iksmas в электронной почте. Однако, до сих пор не было доказательств связи этих червей между собой.

Сегодня ночью эти доказательства появились – Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах и в руках зломышленников появился гигантский ботнет, рассчитанный на рассылку спама.

Кроме того, по пока непроверенной информации, возможно находятся под атакой сайты некоторых компаний и организаций-участников группы Conficker Working Group.

Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js).

Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры.

За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама.

Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем:

Subject: A unique opportunity to live healthier life!

Hot News for You http://ie.hipraputt.com/

Subject: Add power to your man's hammer

We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M

http://bv.relaxkind.com/

Subject: Hot life — our help here. Ensure your potence today!

Solution to low-sized perks http://bj.jilfawris.com/

Subject: Perfect solutions to have it hard as stone!

Your one and only online Chemist. http://zer.jilfawris.com/

Subject: She will dream of you days and nights!

Love her everywhere. http://lrmt.jilfawris.com/

Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем.

Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

Нами было зафиксировано использование 40'542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки.

Полный список доменов второго уровня, использованных в рассылке:

aromatangy.com

calmchic.com

crisppride.com

cykduhdao.com

deblanf.com

eslihos.net

fabjust.com

fadvyil.com

fadvyil.net

faynetr.com

goodcure.at

gooddoctoronline.at

gooddoctorscare.at

gooddoctorsite.at

gooddoctorworld.at

gooddruginfo.at

gooddrugonline.at

gooddrugsite.at

gooddrugworld.at

goodearthlawncare.at

gotbake.net

hereftu.net

hipraputt.com

jilfawris.com

kepiseu.com

kepiseu.net

multinew.com

plumppeak.com

relaxkind.com

uljyelsel.com

vapshei.net

yuleaware.com

zwefopcyn.com

Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных.

Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5'000'000, то получается, что за одни сутки этот ботнет мог разослать примерно 400'000'000'000 (400 миллиардов!) писем со спамом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас