A Kaspersky Lab acaba de anunciar que os seus analistas detectaram mais uma nova versão do programa malicioso Kido (também conhecido como Conficker e Downadup). Durante a noite de 8 para 9 de Abril, os computadores infectados com o vírus Trojan-Downloader.Win32.Kido (também conhecido como Conficker.c) contactaram entre si através de P2P, induzindo as máquinas infectadas a descarregar novos ficheiros maliciosos, activando desta forma a botnet do Kido.
A última variação do Kido difere significativamente das anteriores: depois de, numa primeira fase, ter sido um worm – infectando o maior número possível de computadores –, transformou-se depois em trojan-downloader (descarregador de Trojans), e agora assume, de novo, a forma de worm. As análises iniciais sugerem que tem uma funcionalidade limitada por data, devendo apenas ser activo até ao próximo dia 3 de Maio de 2009.
Além de descarregar actualizações de si próprio, agora o Kido também descarrega dois novos ficheiros nas máquinas infectadas. Um deles é uma aplicação antivírus furtiva (detectada como FraudTool.Win32.SpywareProtect2009.s), também chamada scareware, que se está a expandir a partir da Ucrânia. Uma vez em funcionamento, o programa mostra frequentemente ao utilizador uma interface que lhe pergunta se quer apagar “vírus detectados” por um preço de 49,95 dólares. Este antivírus falso chega a ser tão insistente que muitos utilizadores acabam por clicar na oferta para pagar pela desinfecção, sendo vítimas da consequente burla.
O segundo ficheiro que o Kido descarrega nos sistemas infectados é o programa email-Worm.Win32.Iksmas.atz. Trata-se de um worm, também conhecido como Waledac, que está preparado para roubar dados e para enviar spam (por exemplo, ofertas para empréstimos ou produtos farmacêuticos).
Quando este programa malicioso foi detectado pela primeira vez em Janeiro de 2009, muitos peritos detectaram semelhanças entre o Kido e o vírus Iksmas. Com efeito, a epidemia do Kido é praticamente igual à epidemia de e-mail causada no seu tempo pelo Iksmas.
“Por um período de 12 horas, o Iksmas ligou-se várias vezes aos seus centros de controlo por todo o mundo, recebendo comandos para enviar e-mails de spam e, nessa altura, um só “bot” enviou 42.298 mensagens de spam”, conta Aleks Gostev, director de Investigação e Análise Global da Kaspersky Lab. “Virtualmente, todos os e-mails continham um único domínio, o que obviamente foi feito para evitar que os filtros anti-spam detectassem o envio massivo de e-mails através dos métodos habituais, que analisam a frequência com que um domínio específico é utilizado”.
E Gostev prossegue: “No total detectámos o uso de 40.542 domínios de terceiro nível e 33 de segundo nível, todos virtualmente localizados na China e registados em nome de várias pessoas, a maioria provavelmente fictícios”.
“Um simples cálculo mostra que o “bot” do Iksmas envia cerca de 80.000 e-mails em apenas 24 horas. Assumindo que lá fora existem 5 milhões de máquinas infectadas, a botnet poderá enviar cerca de 400.000 milhões de mensagens de spam num só dia!”, sublinha o responsável da Kaspersky Lab.
A Kaspersky Lab está a actualmente a realizar uma análise detalhada desta nova variante do Kido. Os peritos da companhia estão a trabalhar já numa nova versão do utilitário KKiller, tendo em conta as funcionalidades específicas desta última variante do worm.
Os utilizadores de produtos Kaspersky não têm que se preocupar com nada: a nova versão do Kido (Net-Worm.Win32.Kido.js) já foi detectada por meios heurísticos desde a sua saída (como HEUR:Worm.Win32.Generic), como ocorre com a variante do Iksmas que descarrega.
Minha opinião: Para quem usa este anti-virus esta de boa, agora para quem não usa ele (eu por exemplo o.o ) , vou ter que ficar experto e deixar o meu anti-virus sempre atualizado, esse virus é muito perigoso pois ele usa o nosso pc para se atualizar e infectar outros pcs afff, não é atoa que a Microsoft esta oferecendo mó grana para quem souber algo sobre o criador desta praga ¬¬ .
Qui 16 Abr 2009 - 18:47