lytgeygen Жалоба Опубликовано 12 апреля, 2009 Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами, еще с 1 апреля – произошло. Комьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов. Новый вариант Kido (Net-Worm.Win32.Kido.js) – значительно отличается от предыдущей версий и имеет два важных отличия – это снова червь и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время. Кроме обновления самого себя Kido загрузил на зараженные компьютеры новые файлы и это самое интересное в этой истории. Одним из загруженных файлов является поддельный антивирус — FraОudTool.Win32.SpywareProtect2009.s Еще самый первый вариант Kido, в ноябре прошлого года, также загружал поддельные антивирусы в систему. Спустя почти полгода – этот функционал очередной раз использован неизвестными киберпреступниками. SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009 Будучи запущенным он показывает следующий интерфейс и, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги – 49.95$ В настоящий момент поддержка распространения этого поддельного антивируса осуществляется сайтами, размещенным на территории Украины (131-3.elaninet.com, 78.26.179.107) Вторым файлом, который был установлен Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама. Iksmas (Waledac) появился в январе 2009 года и еще тогда многие эксперты заметили некоторое сходство в части алгоритмов работы между Kido и им. Все время пока проходила эпидемия Kido – паралелльно шла не менее массовая эпидемия Iksmas в электронной почте. Однако, до сих пор не было доказательств связи этих червей между собой. Сегодня ночью эти доказательства появились – Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах и в руках зломышленников появился гигантский ботнет, рассчитанный на рассылку спама. Кроме того, по пока непроверенной информации, возможно находятся под атакой сайты некоторых компаний и организаций-участников группы Conficker Working Group. Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время. Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js). Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама. Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем: Subject: A unique opportunity to live healthier life! Hot News for You ссылка Subject: Add power to your man's hammer We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M ссылка Subject: Hot life — our help here. Ensure your potence today! Solution to low-sized perks ссылка Subject: Perfect solutions to have it hard as stone! Your one and only online Chemist. ссылка Subject: She will dream of you days and nights! Love her everywhere. ссылка Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем. Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена. Нами было зафиксировано использование 40'542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки. Полный список доменов второго уровня, использованных в рассылке: aromatangy.com calmchic.com crisppride.com cykduhdao.com deblanf.com eslihos.net fabjust.com fadvyil.com fadvyil.net faynetr.com goodcure.at gooddoctoronline.at gooddoctorscare.at gooddoctorsite.at gooddoctorworld.at gooddruginfo.at gooddrugonline.at gooddrugsite.at gooddrugworld.at goodearthlawncare.at gotbake.net hereftu.net hipraputt.com jilfawris.com kepiseu.com kepiseu.net multinew.com plumppeak.com relaxkind.com uljyelsel.com vapshei.net yuleaware.com zwefopcyn.com Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных. Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5'000'000, то получается, что за одни сутки этот ботнет мог разослать примерно 400'000'000'000 (400 миллиардов!) писем со спамом. Вставить Ник Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Sem Жалоба Опубликовано 12 апреля, 2009 Кто ещё не вылечился жать СЮДА Вставить Ник Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
