卡巴斯基实验室对Kido (Conficker) 新变种的分析
创始人
2024-03-26 02:30:12
0

【51CTO.com 综合消息】领先的信息安全解决方案提供商——卡巴斯基实验室宣布近日监测到一种Kido恶意软件(又名 Conficker 或者 Downadup)的新变种。4月8日及9日夜间,卡巴斯基实验室监测到大量感染Trojan-Downloader.Win32.Kido(又名Conficker.c)的计算机开始通过P2P网络互相联系,并通过互联网下载最新的恶意文件到受感染计算机,准备激活Kido僵尸网络。

这次发现的Kido新变种同以往变种有很大的不同。目前Kido恶意软件又回归蠕虫病毒的功能。对此新变种的初步分析显示,该变种的各种功能具有时效性,并且会在2009年5月3日后停止发作。

Kido新变种不仅会联网自动升级,还会下载两个新的恶意文件到受感染计算机。其中一个文件为流氓反病毒软件恶意程序, 名为FraudTool.Win32.SpywareProtect2009.s。该恶意程序主要通过一些位于乌克兰的网站进行传播。 一旦该程序运行,它会伪装成杀毒软件, 提示用户必须支付49.95美元才能删除它在用户计算机上发现的一些所谓的“病毒”。

Kido新变种下载的另外一个文件为Email-Worm.Win32.Iksmas.atz蠕虫。该电子邮件蠕虫又被称作Waledac。它能够窃取用户的数据并且大量发布垃圾电子邮件。该蠕虫样本在2009年1月份被初次截获到时,很多IT专家都注意到它与Kido恶意软件有很多相似之处。而Kido疫情的爆发规模等几方面特征同Iksmas蠕虫通过电子邮件造成的疫情也非常相似。

卡巴斯基实验室全球研究和分析组总监Aleks Gostev这样评论:“在当前的形势下,在短短12小时之内,Iksmas蠕虫几次连接其位于全球的控制中心并且接收指令,开始发布大量垃圾邮件。就在这12小时内,受控制的一台僵尸网络中的计算机就发布了多达42,298封垃圾邮件。在这些垃圾邮件中,几乎每一封邮件都包含一个唯一的域名。很明显,这样做的目的是用来避免这些垃圾邮件被反垃圾邮件过滤器检测到。 因为反垃圾邮件过滤器是通过分析某一个特定域名被使用的频率来判断收到的邮件是否是垃圾邮件的。整体来看,我们共检测到该蠕虫使用了40,542个三级域名和33个二级域名。而这些域名都位于中国,并且注册这些域名的都是不同的人,而且这些注册人很有可能使用的都是假名。”

“一台受Iksmas蠕虫感染和控制的计算机在24小时内就可以发送大约80,000封垃圾邮件,假设有五百万台受感染的机器,他们组成的僵尸网络能够在24小时期间发送大概4000亿封垃圾邮件,其数量是非常惊人的!”

卡巴斯基实验室目前正在对Kido新变种进行更详细地技术分析。同时,卡巴斯基的专家也在对我们最新版的KKiller工具进行改进,增加对抗新版本蠕虫变种的功能等。

使用卡巴斯基实验室安全产品的用户们无须担心,Kido蠕虫的新变种(Net-Worm.Win32.Kido.js)以及其下载的Iksmas变种都能够被卡巴斯基相关产品的启发式技术所查杀。

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...