A Kaspersky Lab acaba de anunciar que seus analistas detectaram mais uma nova versão do Kido (Conhecido também como Conficker e Downadup). Durante a noite de 8 para 9 de abril, os computadores infectados com o vírus Trojan-Downloader.Win32.Kido (também conhecido como Conficker.c) se conectaram através de P2P, fazendo as máquinas infectadas baixarem novos arquivos maliciosos, ativando a botnet do Kido.
A última variação do Kido direfencia-se significativamente das outras:
Em uma primeira fase ele seria um Worm, infectando o maior número possível de máquinas.Transformou-se depois em um trojan-downloader (malware que baixa tronjans, como o nome já diz) e agora assume novamente a forma de worm.As análises iniciais sugerem que tem um funcionalidade limitada por data, devendo ser ativo novamente até o próximo dia 3 de maio.
Agora além de baixar atualizações o Kido baixa dois novos arquivos nas máquinas infectadas.
Um dele é um antivírus falso detectado como FraudTool.Win32.SpywareProtect2009.s, também chamado de scareware, esta se expandindo a partir da Ucrânia. Uma vez em funcionamento, o
programa mostra frequentemente ao utilizador uma interface q lhe pergunta se quer apagar “vírus detectados” por um preço de 49,95 dólares. Esse scareware chega a ser tão chato e insistente que muitos acabam clicando na “oferta” para pagar pela desinfecção.
O segundo arquivo é o Worm email-Worm.Win32.Iksmas.atz também conhecido como Waledac, que está preparado para roubar dados e para enviar spam (por exemplo, ofertas para empréstimos ou produtos farmacêuticos). Além de que Worms que enviam spam consomem a conexão de internet do usuário infectado, acredite já tive muitos problemas com e-mail worms. 
Quando este programa malicioso foi detectado pela primeira vez em Janeiro de 2009, muitos peritos detectaram semelhanças entre o Kido e o vírus Iksmas. Com efeito, a epidemia do Kido é praticamente igual à epidemia de e-mail causada no seu tempo pelo Iksmas.
“Por um período de 12 horas, o Iksmas ligou-se várias vezes aos seus centros de controle por todo o mundo, recebendo comandos para enviar e-mails de spam e, nessa altura, um só “bot” enviou 42.298 mensagens de spam”, conta Aleks Gostev, director de Investigação e Análise Global da Kaspersky Lab. “Virtualmente, todos os e-mails continham um único domínio, o que obviamente foi feito para evitar que os filtros anti-spam detectassem o envio massivo de e-mails através dos métodos habituais, que analisam a frequência com que um domínio específico é utilizado”.
E Gostev prossegue: “No total detectámos o uso de 40.542 domínios de terceiro nível e 33 de segundo nível, todos virtualmente localizados na China e registados em nome de várias pessoas, a maioria provavelmente fictícios”.
“Um simples cálculo mostra que o “bot” do Iksmas envia cerca de 80.000 e-mails em apenas 24 horas. Assumindo que lá fora existem 5 milhões de máquinas infectadas, a botnet poderá enviar cerca de 400.000 milhões de mensagens de spam num só dia!”A Kaspersky Lab está a actualmente a realizar uma análise detalhada desta nova variante do Kido. Os peritos da companhia estão a trabalhar já numa nova versão do utilitário KKiller,
tendo em conta as funcionalidades específicas desta última variante do worm.Os utilizadores de produtos Kaspersky não têm que se preocupar com nada: a nova versão do Kido (Net-Worm.Win32.Kido.js) já foi detectada por meios heurísticos desde a sua saída (como HEUR:Worm.Win32.Generic), como ocorre com a variante do Iksmas que descarrega!
Visitantes online agora:
