Kaspersky Lab analiza la nueva versión de Kido (Conficker)
La última variante de Kido difiere significativamente de las anteriores: después de pasar de ser un worm – tratando de infectar el mayor número posible de ordenadores– a convertirse en un trojan-downloader (descargador de troyanos), el malware es ahora, de nuevo, un worm.
Comparte
esta noticia...
...
en digg
|| 24-04-2009:
Kaspersky Lab ha anunciado hoy que sus analistas han detectado una nueva versión del programa malicioso Kido (también conocido como Conficker y Downadup). Durante la noche del 8 al 9 de abril, los ordenadores infectados con el virus Trojan-Downloader.Win32.Kido (también conocido como Conficker.c) contactaron entre sí a través de P2P, induciendo a las máquinas infectadas a descargar nuevos ficheros maliciosos, activando de esta forma el botnet de Kido.
La última variante de Kido difiere significativamente de las anteriores: después de pasar de ser un worm – tratando de infectar el mayor número posible de ordenadores– a convertirse en un trojan-downloader (descargador de troyanos), el malware es ahora, de nuevo, un worm. Los análisis iniciales sugieren que tiene funcionalidad limitada por fecha, hasta el 3 de mayo de 2009.
Además de descargar actualizaciones de sí mismo, ahora Kido también descarga dos nuevos ficheros en las máquinas infectadas. Uno de ellos es una rogue anti-virus (detectada as FraudTool.Win32.SpywareProtect2009.s), también llamado scareware, que se está expandiendo desde sitios ubicados en Ucrania. Una vez que el programa está funcionando, se muestra al usuario con frecuencia una interfaz que le pregunta si quiere borrar “virus detectados” por un precio de 49,95 dólares. Este antivirus falso llega a ser tan molesto que muchos usuarios harán click en la oferta para pagar por la desinfección, siendo víctima de la consiguiente estafa.
El segundo fichero que descarga Kido en los sistemas infectados es el programa email-Worm.Win32.Iksmas.atz. Se trata de un worm, también conocido como Waledac, que está capacitado para robar datos y para enviar spam (por ejemplo, ofertas para préstamos o productos farmacéuticos).
Cuando este programa malicioso fue detectado por primera vez en enero de 2009, muchos expertos apreciaron la similitude existente entre Kido y el virus Iksmas. La epidemia de Kido es prácticamente igual que la epidemia de e-mail que causó en su día Iksmas.
“Por un período de 12 horas, Iksmas conectó varias veces con sus centros de control por todo el mundo, recibiendo comandos para enviar e-mailings de spam, y en ese tiempo, un solo “bot” envió 42.298 mensajes de spam,” asegura Aleks Gostev, director de Investigación y Análisis Global de Kaspersky Lab. “Virtualmente, todos los e-mails contenían un único dominio, lo que obviamente se hizo para prevenir que los filtros anti-spam detectaran el e-mailing masivo a través de sus métodos habituales que analizan la frecuencia con que un dominio específico es utilizado”. “En total –asegura Gostev- detectamos el uso de 40.542 dominios de tercer nivel y 33 de Segundo nivel, todos los cuales estaban virtualmente ubicados en China y registrados a nombre de varias personas, la mayoría probablemente inventados”.
“Un simple cálculo muestra que el “bot” de Iksmas envía cerca de 80.000 e-mails en sólo 24 horas. Asumiendo que ahí fuera hay 5 millones de máquinas infectadas, el botnet podría enviar ¡cerca de 400.000 millones de mensajes de spam en un solo día!”
Kaspersky Lab está llevando a cabo actualmente un análisis detallado de esta nueva variante de Kido. Los expertos de la compañía están trabajando ya en una nueva version de la utilidad KKiller, teniendo en cuenta las funcionalidades específicas de esta última versión del worm.
Los usuarios de productos Kaspersky no tienenh porqué preocuparse: la nueva version de Kido (Net-Worm.Win32.Kido.js) ha sido detectada por medios heurísticos desde su salida (como HEUR:Worm.Win32.Generic), como ocurre con la variante de Iksmas que descarga.
Menéame
Delicio.us
Fresqui
Google
Technorati
Yahoo
Reddit
Enchilame