Эксперты «Лаборатории Касперского» рапортуют о новых схемах работы сетевого червя Conficker (или Kido). По последним данным, на зараженные компьютеры червь загружает поддельный антивирус SpywareProtect2009, чья работа в системе видна всем пользователям, ПК которых заражены.
Как сообщает сайт Сybersecurity.ru, выглядит этот процесс следующим образом: SpywareProtect2009 каждые несколько минут выводит на экран сообщения о «сетевых атаках», «новых вирусах» или «проблемах с браузером». Назойливость этого антивируса может подтолкнуть неискушенных пользователей к покупке «лечения» за $50. Тем самым, пользователь не только теряет эту сумму, но и дает злоумышленникам данные со своей банковской карточки.
Кроме многочисленных сообщений, SpywareProtect2009 также пытается загрузить еще один компонент в систему – Trojan-Downloader.Win32.FraudLoad.ecl, который должен обеспечивать обновление версии SpywareProtect2009 на более новые.
«Нами был перехвачен вариант подобного троянца, который производил загрузку новых версий SpywareProtect2009 с сайта alsterstore.com. Мы известили об этом регистратора и через 20 минут ресурс был закрыт», – сообщается в официальном блоге компании.
Ранее появлялась информация, что ботнет Kido загрузил на инфицированные ПК другого червя – Iksmas aka Waledac с сайта goodnewsdigital.com. Данный ресурс давно известен специалистам по компьютерной безопасности, которые называют его одним из главных источников распространения этого вредоносного кода.
«Мы проследили за «жизнью» ботнета, а также за действиями червь-спамбота Iksmas. За 12 часов этот червь несколько раз подключался к центрам управления и получал команды на рассылку спам-сообщений», – отмечают в компании. Всего лишь за 12 часов работы единственного бота, тот смог отправить 42 298 спам-сообщений. Причем в спаме были ссылки на домены, которые в каждом отдельном письме были уникальными. Очевидно, что эта мера была направлена на противодействие антиспам-технологиям, которые в таком случае не смогли бы определить рассылку лишь на основании анализа частоты использования домена.
«Мы зафиксировали эксплуатацию 40 542 доменов 3-его уровня, а также 33 доменов 2-го уровня. Они принадлежат самим спамерам и заказчикам рассылок. Значительная часть этих сайтов расположена в Китае, причем регистрация каждый раз произведена на имя конкретного человека. Вероятно, все эти имена вымышленные», – говорится в блоге компании.
Самый простой математический подсчет приводит к выводу, что один бот Iksmas рассылает около 80 тысяч писем ежедневно. Если сопоставить эту цифру с предполагаемым число заражения ПК в 5 миллионов штук, то за один день данный ботнет способен разослать порядка 400 миллиардов спам-сообщений!
