Fausse application antivirale et diffusion massive de courriers indésirables constituent les nouvelles menaces pour les PCs contaminés.

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc), confirme la détection d’une nouvelle variante du programme malicieux Kido, également connu sous les noms de Conficker ou de Downadup. Dans la nuit du 8 au 9 avril 2009, les serveurs et ordinateurs infectés par Trojan-Downloader.Win32.Kido, ou Conficker.c, se sont connectés en mode Peer-to-Peer, conduisant les machines contaminées à télécharger de nouveaux programmes malicieux.

Cette nouvelle variante de Kido diffère des versions précédentes : de l’état de ver à celui de Trojan-Downloader, Kido s’est à nouveau transformé en ver. Des premières analyses indiquent qu’il ne serait plus opérationnel au-delà du 3 mai 2009.

Outre le téléchargement de ses propres mises à jour, Kido installe 2 nouveaux fichiers sur les machines infectées :

1. Une application présentée comme antivirale corrompue (FraudTool.Win32.SpywareProtect2009.s), nommée scareware. Lorsque l’application est lancée, l’utilisateur visualise une interface qui lui propose de supprimer les « virus détectés » pour la somme de 49,95$. Cette fausse application antivirale se révèle persistante incitant les utilisateurs à cliquer sur le lien associé à l’offre et les conduisant à être finalement escroqués.
2. Un ver qui se propage par courrier électronique (email-Worm.Win32.Iksmas.atz) – également connu sous le nom de Waledac – capable de dérober des données et de diffuser des spams, telles que des offres de prêts bancaires ou encore de produits pharmaceutiques douteux.
3. Lors de sa première identification en janvier 2009, de très nombreux experts ont révélés la similitude entre Kido et un autre programme malicieux connu sous le nom de Iksmas. En effet, Kido engendre une épidémie se propageant par email, de même ampleur à celle provoquée par Iksmas.

« En l’espace en 12 heures, Iksmas s’est connecté à ses centres de contrôle dans le monde entier à de multiples reprises et a reçu l’ordre de diffuser des spams. En seulement 12 heures, un seul PC asservi envoyait 42 298 messages indésirables », commente Aleks Gostev, directeur du groupe de recherche et d’analyse international de Kaspersky Lab. Il ajoute : « Chaque message diffusé contenait un nom de domaine unique. Ainsi, Il était impossible pour les filtres anti-spam de détecter la diffusion en masse par la méthode d’analyse de fréquence d’utilisation de noms de domaines spécifiques. Au total, nous avons identifié 40 542 noms de domaines de 3ème niveau et 33 noms de domaines de 2nd niveau. Pratiquement, tous ces sites se trouvent en Chine et sont enregistrés aux noms de nombreuses personnes différentes, la plupart certainement fictives ». Aleks Gostev observe également : « Un simple calcul démontre qu’un seul PC zombie associé au réseau Iksmas envoie environ 80 000 e-mails en 24 heures. Si l’on estime que 5 millions de machines sont infectées, cela porte à 400 milliards le nombre de spams qui pourraient être diffusés par le réseau zombie en 24 heures ! ».

Les équipes de Kaspersky Lab procèdent en ce moment à une analyse détaillée de la nouvelle variante de Kido. Ils travaillent parallèlement au développement d’une nouvelle version de l’utilitaire KKiller, application dédiée qui permet de supprimer le programme malicieux, y compris la dernière version de Kido.

Les utilisateurs des solutions de sécurité de Kaspersky Lab sont protégés : la nouvelle version du ver Kido (Net-Worm.Win32.Kido.js) a été détectée de manière heuristique dès les premiers instants (sous le nom de HEUR:Worm.Win32.Generic), tout comme la variante de Iksmas qu’il télécharge.