Перейти до змісту
  • Internet
  • [kido, Conficker, Downadup] -> “Вторжение” началось


    CTPAX

    Рекомендовані повідомлення

    Вот сегодня давно ожидаемая новость на сайте Касперского: Сегодня ночью ботнет Kido начал работать. Все ждали этого момента с 1-ого апреля и оно случилось!

     

    Скопировал запись из их блога, очень она интересная.

    Вкратце - авторы червя рассылают на зараженные компьютеры 2 новых вируса: поддельный антивирус и почтовый червь.

     

    Задача первого - напугать пользователя и заставить заплатить 50 долларов. Никогда не ведитесь на просьбы ”антивируса” заплатить деньги за вылечивание от вирусов - так делают не настоящие антивирусы, а те самые поддельные. Они ни отчего не лечат, просто пугают и требуют денег.

     

    Задача второго - своровать данные и рассылать почтовый спам с компьютера пользователя. Приятно ли, если все ваши друзья получат письмо с вирусом с вашего адреса?

     

    Также эксперты касперского подозревают, что началась атака на сайты тех, кто противодействует распространению этого вируса (в связи с чем апдейт сервера большинства антивирусов слегка перегружены и загрузки обновлений затруднены).

    Управление загруженными вирусами идет с серверов на территории Украины. Что-то уж очень много следов указывает на Украину всвязи с этим червем…

     

    В общем, читайте дальше статью с блога Касперского.

     

     

     

     

    Событие, ожидавшееся экспертами c 1 апреля, произошло.Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.

    Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.

     

    Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.

     

    Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s

    Еще самый первый вариант Kido в ноябре прошлого года загружал поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.

    SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:

     

    http://anime.brovary.net/gallery/images/4/large/1_207758778.jpg

     

    После запуска он показывает следующий интерфейс:

     

    http://anime.brovary.net/gallery/images/4/large/1_207758780.jpg

     

    Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):

     

    http://anime.brovary.net/gallery/images/4/large/1_207758782.jpg

     

    В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).

    Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.

    Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.

    Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.

    Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.

     

     

    Предлагаю в этой теме обсудить последние методы защиты и лечения этого коня.

    Вот список утилит от ведущих антивирусных компаний, которые помогут вам обнаружить\вылечится от всех старых версий кидо (лично я рекомендую использовать утилиту Кидокиллер от касперского).

     

    Ссылка

     

    - Советую всем, ктом использует Винду, вылечиться хотя бы от старых версий этого трояна, т.к. если он обновится до последней версии у вас - это сделать будет уже весьма проблематично.

     

    - Так же можете добавить адресс (131-3.elaninet.com, 78.26.179.107) в блеклист своих фаерволов, чтобы хотя бы за эти первые дни, пока нету адекватной защиты, не подцепить еще и FraudTool.Win32.SpywareProtect2009.s

    Змінено користувачем CTPAX

    ...憂懼...


    Darker Than Black

    ¬осподин админ, ¬де я мо¬у узнать, почему буква "¬" переворачивается?

    Посилання на коментар
    Поділитись на інші сайти

    Проверка на инфекцирование вашей операционной системы.

    (Работает только при подключенном интернете)

    --------------------------------------------------------------------------------------------------

    http://www.f-secure.com/export/system/fsgalleries/thumbnails/thumbnails_112xN/FSC_logo_pos_112x128.jpg_____http://www.secureworks.com/images/headerlogo.gif_____http://us.trendmicro.com/images/common/LogoTrendMicro_3d.gif

     

    http://www.confickerworkinggroup.org/infection_test/openbsd.jpg________http://www.confickerworkinggroup.org/infection_test/linux.png________http://www.confickerworkinggroup.org/infection_test/freebsd.png

    ---------------------------------------------------------------------------------------------------

     

     

    Итак смотрим на изображения выше и сравниваем с этими:

     

    http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_2723.jpg - все изображения отображаются - это значит Ваша операционная ситема не заражена Conficker (или вы используете прокси)

     

    http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_1278.jpg - если не видно 3 верхних изображения, то Вы скорей всего заражены Conficker (C variant or greater)

     

    http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_3666.jpg - не отображаются только крайние верхние изображения, значит Вы вероятней всего заражены Conficker A/B variant

     

    http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_1429.jpg - не видно изображений. Вы не подключены к интернету или в Вашем браузере отключен показ изображений =)

     

    [Любая друграя комбинация изображений] - слабенький инет

     

    ---------------------------------------------------------------------------------------------------

    Змінено користувачем CTPAX

    ...憂懼...


    Darker Than Black

    ¬осподин админ, ¬де я мо¬у узнать, почему буква "¬" переворачивается?

    Посилання на коментар
    Поділитись на інші сайти

    Хе, у меня чистая ось исходя из вішеуказаного теста )
    Посилання на коментар
    Поділитись на інші сайти

    у меня на работе проблема этого вируса начинается как всегда с флэшек, побороть его только смог нортон интернет секюрити,доктор веб,нод32, они его пропускают :bye:
    Посилання на коментар
    Поділитись на інші сайти

    ×
    ×
    • Створити...

    Важлива інформація

    Використовуючи цей сайт, Ви погоджуєтеся з нашими Умови використання, Політика конфіденційності, Правила, Ми розмістили cookie-файлы на ваш пристрій, щоб допомогти зробити цей сайт кращим. Ви можете змінити налаштування cookie-файлів, або продовжити без зміни налаштувань..