[kido, Conficker, Downadup] -> “Вторжение” началось

[CTPAX 0]

Вот сегодня давно ожидаемая новость на сайте Касперского: Сегодня ночью ботнет Kido начал работать. Все ждали этого момента с 1-ого апреля и оно случилось!

 

Скопировал запись из их блога, очень она интересная.

Вкратце - авторы червя рассылают на зараженные компьютеры 2 новых вируса: поддельный антивирус и почтовый червь.

 

Задача первого - напугать пользователя и заставить заплатить 50 долларов. Никогда не ведитесь на просьбы ”антивируса” заплатить деньги за вылечивание от вирусов - так делают не настоящие антивирусы, а те самые поддельные. Они ни отчего не лечат, просто пугают и требуют денег.

 

Задача второго - своровать данные и рассылать почтовый спам с компьютера пользователя. Приятно ли, если все ваши друзья получат письмо с вирусом с вашего адреса?

 

Также эксперты касперского подозревают, что началась атака на сайты тех, кто противодействует распространению этого вируса (в связи с чем апдейт сервера большинства антивирусов слегка перегружены и загрузки обновлений затруднены).

Управление загруженными вирусами идет с серверов на территории Украины. Что-то уж очень много следов указывает на Украину всвязи с этим червем…

 

В общем, читайте дальше статью с блога Касперского.

 

 

 

 

Событие, ожидавшееся экспертами c 1 апреля, произошло.Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.

Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.

 

Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.

 

Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s

Еще самый первый вариант Kido в ноябре прошлого года загружал поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.

SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:

 

http://anime.brovary.net/gallery/images/4/large/1_207758778.jpg

 

После запуска он показывает следующий интерфейс:

 

http://anime.brovary.net/gallery/images/4/large/1_207758780.jpg

 

Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):

 

http://anime.brovary.net/gallery/images/4/large/1_207758782.jpg

 

В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).

Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.

Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.

Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.

Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.

 

 

Предлагаю в этой теме обсудить последние методы защиты и лечения этого коня.

Вот список утилит от ведущих антивирусных компаний, которые помогут вам обнаружить\вылечится от всех старых версий кидо (лично я рекомендую использовать утилиту Кидокиллер от касперского).

 

Ссылка

 

- Советую всем, ктом использует Винду, вылечиться хотя бы от старых версий этого трояна, т.к. если он обновится до последней версии у вас - это сделать будет уже весьма проблематично.

 

- Так же можете добавить адресс (131-3.elaninet.com, 78.26.179.107) в блеклист своих фаерволов, чтобы хотя бы за эти первые дни, пока нету адекватной защиты, не подцепить еще и FraudTool.Win32.SpywareProtect2009.s

Змінено 10 квітня, 2009 користувачем CTPAX

[CTPAX 0]

Проверка на инфекцирование вашей операционной системы.

(Работает только при подключенном интернете)

--------------------------------------------------------------------------------------------------

http://www.f-secure.com/export/system/fsgalleries/thumbnails/thumbnails_112xN/FSC_logo_pos_112x128.jpg_____http://www.secureworks.com/images/headerlogo.gif_____http://us.trendmicro.com/images/common/LogoTrendMicro_3d.gif

 

http://www.confickerworkinggroup.org/infection_test/openbsd.jpg________http://www.confickerworkinggroup.org/infection_test/linux.png________http://www.confickerworkinggroup.org/infection_test/freebsd.png

---------------------------------------------------------------------------------------------------

 

 

Итак смотрим на изображения выше и сравниваем с этими:

 

http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_2723.jpg - все изображения отображаются - это значит Ваша операционная ситема не заражена Conficker (или вы используете прокси)

 

http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_1278.jpg - если не видно 3 верхних изображения, то Вы скорей всего заражены Conficker (C variant or greater)

 

http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_3666.jpg - не отображаются только крайние верхние изображения, значит Вы вероятней всего заражены Conficker A/B variant

 

http://city.brovary.net/portal/uploads/1239396731/gallery_960_81_1429.jpg - не видно изображений. Вы не подключены к интернету или в Вашем браузере отключен показ изображений =)

 

[Любая друграя комбинация изображений] - слабенький инет

 

---------------------------------------------------------------------------------------------------

Змінено 11 квітня, 2009 користувачем CTPAX

[Mister Dio 0]

Хе, у меня чистая ось исходя из вішеуказаного теста )

[TETRADON 1]

у меня на работе проблема этого вируса начинается как всегда с флэшек, побороть его только смог нортон интернет секюрити,доктор веб,нод32, они его пропускают :bye: