Эксперты "Лаборатории Касперского" сообщают о новых методах работы
широко известного сетевого червя Conficker (в терминологии ЛК этот
червь называется Kido). Согласно последним данным, червь загружает на
зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в
системе видна пользователям, чьи компьютеры заражены.
Выглядит
это примерно так: поддельный антивирус постоянно, каждые несколько
минут, показывает на экране различные сообщения об «обнаружении
вирусов», «сетевых атаках», «проблемах с браузером» и так далее.
Назойливость
этого поддельного антивируса настолько велика, что неискушенный
пользователь с большой вероятностью может кликнуть на предложение об
оплате «лечения» и не только потерять 50 долларов США, но и «подарить»
данные своей кредитной карточки злоумышленникам — с самым
непредсказуемым результатом.
Кроме демонстрации многочисленных
сообщений, SpywareProtect2009 пытается загрузить в систему еще один
компонент — троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl).
Этот троянец, в свою очередь, должен обеспечивать загрузку новых версий
SpywareProtect2009.
"Перехваченный нами вариант этого троянца
осуществлял загрузку новых версий поддельного антивируса с сайта
alsterstore.com. Об этом нами был извещен регистратор доменной зоны, и
в течении 20 минут этот ресурс был закрыт", отмечается в блоге компании.
Ранее
сообщалось, что ботнет Kido установил на зараженные компьютеры другого
известного червя — Iksmas aka Waledac. Загрузка Iksmas производилась с
сервера goodnewsdigital.com, который давно известен экспертам и
является одним из основных источников распространения этого червя в
настоящее время.
"Мы решили последить за жизнью ботнета и тем,
что же будет делать червь-спамбот Iksmas, попав в компьютеры. За 12
часов, Iksmas неодократно подключался к своим центрам управления по
всему миру и получал от них команды на рассылку спама", - говорят в
компании.
Всего за 12 часов работы одного единственного бота он
отправил 42 298 спам-писем. В спаме есть ссылки на домены. Практически
в каждом письме используется уникальный домен. Очевидно, что это
сделано для того, чтобы антиспам-технологии не смогли обнаружить такую
рассылку основываясь на методах анализа частоты использования
конкретного домена.
"Нами было зафиксировано использование
40'542 доменов третьего уровня и 33 доменов второго уровня. Все они
принадлежат спамерам и компаниями, которые заказывают у них данные
рассылки. Практически все эти сайты находятся в Китае и
зарегистрированы на самых разных людей, вероятно, вымышленных" -
сообщается в блоге "Лаборатории Касперского".
Источник: http://www.cybersecurity.ru/news/68184.html
|