Kaspersky Lab analizza una nuova variante di Kido (Conficker)

15 apr
Notizie Virus

Kaspersky Lab ha rilevato una nuova variante di Kido (conosciuto anche come Conficker o Downadup). Durante la notte tra l'8 e il 9 aprile i computer infetti dal file Trojan-Downloader.Win32.Kido (conosciuto anche come Conficker.c) sono entrati in contatto attraverso una rete P2P, rilevando istruzioni per il download di nuovi file, attivando quindi di fatto la botnet di Kido.

L'ultima variante di Kido è molto diversa dalle precedenti: dopo essersi trasformato da worm – cercando di infettare il maggior numero di computer – in un trojan-downloader, il programma è tornato ad essere un worm. Da un'analisi preliminare, sembra che la sua funzionalità abbia un termine temporale, il 3 maggio 2009.

Oltre a scaricare aggiornamenti di sé stesso, Kido scarica anche due nuovi file sulle macchine infette. Il primo è un falso antivirus (classificato come FraudTool.Win32.SpywareProtect2009.s) – chiamato anche scareware – diffuso attraverso alcuni siti provenienti dall'Ucraina. Una volta che il programma è in funzione, viene notificata di continuo la presenza di “alcuni virus” e si richiede il pagamento di 49,95 $ per la loro rimozione. Questo falso antivirus è talmente insistente che probabilmente l'utente deciderà di effettuare la scansione a pagamento e verrà quindi truffato.

Il secondo file scaricato da Kido è email-Worm.Win32.Iksmas.atz. Questo email worm, conosciuto anche con il nome di Waledac, è in grado di sottrarre informazioni personali e di diffondere spam. Quando fu rilevato per la prima volta, a gennaio 2009, molti esperti di sicurezza informatica hanno notato una certa somiglianza tra Iksmas e Kido. L'epidemia causata da Kido è stata replicata da un'epidemia spam simile, causata da Iksmas.
“In 12 ore, Iksmas si è connesso diverse volte al suo centro di controllo e ha ricevuto l'istruzione di effettuare mailing di spam. In sole 12 ore, un singolo computer infetto ha inviato 42.298 mail spam” è il commento di Alex Gostev, Capo del Global Research and Analysis Team di Kaspersky Lab, “Ogni email rimandava l'utente ad un dominio diverso, in modo da prevenire il rilevamento dei filtri anti-spam che analizzano la frequenza con cui un dominio è presente all'interno delle email.
In totale, abbiamo rilevato ben 40,542 domini di terzo livello e 33 domini di secondo livello. Tutti questi siti sono virtualmente provenienti dalla Cina e sono registrati con nomi di persone, probabilmente inventati”.

“Un semplice calcolo mostra che Iksmas ha inviato il 24 ore ben 80.000 messaggi spam. Stimando in 5 milioni le macchine infette, la botnet è stata in grado di inviare in 24 ore 400 miliardi di messaggi spam”

Kaspersky Lab sta effettuando al momento un'analisi più dettagliata della nuova variante di Kido. I maggiori esperti dell'azienda stanno lavorando su una nuova versione della utiliy KKiller sulla base delle nuove caratteristiche del worm.

Gli utenti in possesso delle soluzioni Kaspersky Lab non hanno di che preoccuparsi – la nuova variante di Kido (Net-Worm.Win32.Kido.js) è stata individuata prontamente dal rilevatore euristico (classificata come HEUR:Worm.Win32.Generic).