“Вторжение” началось
Только вчера брату дистанционно по симптомам сообщил, что его комп. заражен Conficker-ом (Kido, Downadup) и вот сегодня давно ожидаемая новость на сайте Касперского: Сегодня ночью ботнет Kido начал работать. Все ждали этого момента с 1-ого апреля и оно случилось!
Скопировал запись из их блога под кат, очень она интересная.
Вкратце - авторы червя рассылают на зараженные компьютеры 2 новых вируса: поддельный антивирус и почтовый червь.
Задача первого - напугать пользователя и заставить заплатить 50 долларов. Никогда не ведитесь на просьбы “антивируса” заплатить деньги за вылечивание от вирусов - так делают не настоящие антивирусы, а те самые поддельные. Они ни отчего не лечат, просто пугают и требуют денег.
Задача второго - своровать данные и рассылать почтовый спам с компьютера пользователя. Приятно ли, если все ваши друзья получат письмо с вирусом с вашего адреса?
Также эксперты касперского подозревают, что началась атака на сайты тех, кто противодействует распространению этого вируса.
Управление загруженными вирусами идет с серверов на территории Украины. Что-то уж очень много следов указывает на Украину всвязи с этим червем…
В общем, читайте дальше статью с блога Касперского.
Событие, ожидавшееся экспертами c 1 апреля, произошло.Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.
Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s
Еще самый первый вариант Kido в ноябре прошлого года загружал поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.
SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:
После запуска он показывает следующий интерфейс:
Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):
В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).
Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.
Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.
Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.
Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.
Понравилась статья? Подпишись на RSS!
Похожие статьи:
Вопросы и ответы: Conficker и 1 апреля
Модификация червя Downadup - W32.Downadup.C.
Новый червь Downadup
Ждем новой эпидемии?
Очень опасная критическая уязвимость в Adobe Flash Player
Африканские письма, страсти и $5.7млн
Сделай свой интернет безопасным
Чего-то F-Secure пока молчит по этому поводу.
У меня такое ощущение складывается, что ребята решили попросту распродать свой ботнет или его часть. Ибо (а) грузят чужие (скорее всего) вредоносы и (б) добавили функцию самоуничтожения на 3 мая.
Пока что только касперский опубликовал эту инфу. Может быть даже, что ошиблись, хотя врядли.
А насчет распродажи - это не так. Они его монетизировать начали - загружают в него другие вирусы, с помощью которых уже будут деньги зарабатывать - спам рассылать, ддосить, деньги вымогать и т.п.
Не только Касперский. Trend Micro и Symantec сделали это ещё раньше: http://www.theregister.co.uk/2009/04/09/conficker_botnet_update/
То, что они загружают другие вирусы - это как раз меня и смущает. Потому что эти вирусы вряд ли писали эти же ребята. То если либо они забашляли за вирусы, либо им забашляли за ботнет. Собственно, боты сдаются в аренду - насколько я знаю, это типичная практика. И, имея в распоряжении такую нехилую зомби-армию, проще как раз сдавать её в аренду или продавать, чем выдумывать что-то своё.
В совокупности с функцией самоуничтожения (Касперский только упоминает о ней вскользь), гипотеза о продаже выглядит логично. Т.е. они обновляют Конфикер на части зомби-компьютеров, запускают на них чужаков, а потом полностью удаляются (Trend Micro пишет, что удаляют абсолютно все следы своего пребывания).
Цель любого “профессионального” червя или вируса изначально - монетизация, заработок денег. Так что неудивительно, что они начали его монетизировать. Странно только, что они готовы уже в мае все свои следы удалить, очень странно. Возможно у них готов новый вирус, который не работает вместе к конфикером, вот они его и удаляют заранее, а потом новый начнут запускать.
Как такая идея? Иначе зачем самоуничтожаться?
Вот, кстати, такая же гипотеза:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131380&intsrc=news_ts_head
http://www.eset.com/threat-center/blog/
http://www.eset.com/threat-center/blog/?p=954
Bratislava, April 9, 2009
Conficker stopped connecting to domainsESET dubbed the new variant Win32/Conficker.AQ
ESET detected a new variant of Conficker worm that is different to the previous ones in one major, yet surprising feature. It doesn’t contact any of the control domains, even though it originally operated with up to 50 000 domains a day. Conficker and the size of its botnet (a network of infected PC’s) has attracted a lot of media attention in the past days.
The new variant, created on April 7th, communicates only within its own peer-to-peer network. It comprises of two main components. The server part infects vulnerable PC’s in the network, installing the client part. These clients become a part of the Conficker botnet. There is an interesting feature in the code of the worm that causes the server part to deactivate and remove from the PC after May 3rd. However, the botnet will be active even after this date and Conficker will remain to be one of the most prevalent current threats.
Similarly as previous variants, Win32/Conficker.AQ exploits the Windows MS08-067 vulnerability. The users are therefore adviced to keep their systems up-to-date and protect their PC’s with a security software.
http://www.eset.eu/press-conficker-aq-stopped-contacting-to-domains
Threat Encyclopaedia
Win32/Conficker.AQ
http://www.eset.eu/encyclopaedia/win32_conficker_aq_trojan_dropper_kido_downad_e?lng=en
Странно, никто пока не писал про серверную и клиентскую части. Выглядит так, словно серверная часть - это и есть собственно Конфикер, а клиентская - другой вредонос (Waledac, SpywareProtect2009 или ещё что).
Но, может, в ESET знают больше, чем другие.
Symantec разродился подробностями: https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/262 Теперь понятно, что это за серверная и клиентские части:
The ultimate purpose of W32.Downadup.E is to install W32.Downadup.C on vulnerable systems. W32.Downadup.C will not be removed after May 3, 2009
То бишь контроль над компами они сохраняют.
Думаю, в следующие пару дней нам еще много подробностей напишут, будем ждать.
Пока каждый байт нового червя не раскопают - точно не сказать, что и как.
Ваши уже тоже отписались, лаконично: http://www.f-secure.com/weblog/archives/00001652.html
[OFF: Похоже, какие-то проблемы с плагином OpenID, не могу законнектиться. Наверное, надо сбросить кэш.]
Ага, и наших уже прочитал. Но полной информации пока никто не дал - слишком мало времени на анализ. Да еще и выходные - у нас тут пасха на 4 дня
Не всегда работает, да еще и комментарии режет, если в них определенные буквы есть, например, большая буква И
Про OpenID - глючный плагин
интересно, а вирусные пакеты для убунты есть?
Антивирусные?
Есть.
нет. я имел в виду именно вирусы под среду линуха.
Есть и немало, хотя меньше на порядки, чем под винду.
Легко гуглится и на википедии даже статья про вирусы под линукс есть.
Вот ещё 10 числа тоже что-то подытожили.
Conficker: rising and shining…
http://www.eset.com/threat-center/blog/?p=961