Kaspersky Lab analysiert neue Modifikation von Kido / Conficker / Downadup
// April 15th, 2009 // IT, Kaspersky, Security
Neue Bedrohungen für infizierte Rechner in Form von E-Mail-Spam und einer bösartigen Antiviren-Applikation
Moskau/Ingolstadt, 15. April 2009 – Kaspersky Lab warnt vor einer neuen Version des Schadprogramms Kido, auch bekannt unter den Namen Conficker und Downadup. In der Nacht auf den 9. April 2009 nahmen Rechner, die mit Trojan-Downloader.Win32.Kido (Conficker.c) infiziert waren, über Peer-to-Peer-Verbindungen Kontakt miteinander auf. Die Maschinen erhielten die Anweisung, die neuen Schadprogramme herunterzuladen und damit das Kido-Botnet zu aktivieren.
Die neue Kido-Modifikation weist einen signifikanten Unterschied zu seinen Vorgängern auf: Nachdem er als Wurm so viele Opfer wie möglich infiziert, wird er zu einem Trojan-Downloader, um am Ende wieder die Form eines Wurms anzunehmen. Nach ersten Analysen kann man davon ausgehen, dass Kido seine gefährliche Funktion nur bis zum 3. Mai 2009 beibehält.
Kido lädt nun nicht nur Updates auf die infizierten Rechner, sondern auch zwei neue infizierte Dateien. Bei der einen Datei handelt es sich um eine bösartige Antiviren-Applikation, auch Scareware genannt. Sobald das Programm läuft, poppt beim Opfer in regelmäßigen Abständen ein Fenster auf, die dem User mitteilt, dass sein Rechner infiziert sei. Er erhält dabei die Möglichkeit, die angeblich entdeckten Viren zu einem Preis von 49,95 US-Dollar zu löschen. FraudTool.Win32.SpywareProtect2009.s wird über ukrainische Seiten verbreitet und ist so lästig, dass voraussichtlich viele User auf das Desinfizierungs-Angebot klicken werden.
Die zweite Datei, die Kido auf die infizierten Rechner lädt, ist ein E-Mail-Wurm namens Iksmas, der auch als Waledac bekannt ist. Worm.Win32.Iksmas.atz, der im Januar 2009 entdeckt wurde, stiehlt Daten und verschickt Spam. Schon damals bemerkten viele IT-Experten eine Ähnlichkeit zwischen Kido und Iksmas. Die Kido-Epidemie ist mit der von Iksmas ausgelösten E-Mail-Epidemie, vergleichbar.
„Während einer Zeitspanne von zwölf Stunden nahm Iksmas mehrmals Kontakt zu weltweit verteilten Kontrollzentren auf. Das Schadprogramm erhielt von dort den Befehl, Spam-Mails zu verschicken. In nur zwölf Stunden verschickte ein einziger Bot 42.298 Spam-Nachrichten“, erklärt Aleks Gostev, Head of Kaspersky Lab Global Research and Analysis Team. „Nahezu jede E-Mail enthielt ihre eigene Domain. Dies wurde offensichtlich mit der Absicht getan, die Spam-Filter beim Aufspüren der Massennachrichten zu hindern. Die Filter analysieren dabei die Frequenz, mit der eine spezifische Domain benutzt wird. Insgesamt entdeckten wir 40.542 Domains des dritten Levels und 33 des zweiten. Praktisch alle Seiten waren in China registriert – wahrscheinlich unter erfundenen Namen“, so Gostev weiter.
„Eine simple Kalkulation zeigt, dass ein Iksmas-Bot rund 80.000 E-Mails in 24 Stunden verschicken kann. Angenommen, es gibt fünf Millionen infizierte Rechner da draußen, könnte das Botnet ungefähr 400 Milliarden Spam-Nachrichten in nur 24 Stunden verschicken“, meint Aleks Gostev abschließend.
<!--wpads#intext-kl-->
Anwender, die sich mit Sicherheitslösungen von Kaspersky Lab schützen, haben keinen Grund zur Sorge: Die neue Version des Kido-Wurms (Net-Worm.Win32.Kido.js) wurde von Beginn an heuristisch als Heur:Worm.Win32.Generic entdeckt. Auch die heruntergeladene Iksmas-Variante wird von den Kaspersky-Produkten erkannt.
(via Isabella Fröhlich - essential media GmbH)
Ähnliche Beiträge:
- Kido startet mit neuer Modifikation erneut durch
- Removal Tool für Kido und Conficker
- Conficker in China zensiert!
- Kaspersky Lab und Microsoft schließen gemeinsam neue Zero-Day-Sicherheitslücke von Stuxnet
- Kaspersky Lab entdeckt 25millionsten Schädling
3 Responses to “Kaspersky Lab analysiert neue Modifikation von Kido / Conficker / Downadup”
Leave a Reply
Letzte Kommentare
Ähnliche Beiträge
letzte Artikel
QR Code
Partner
Was heißt denn folgender Satz:
"dass Kido seine gefährliche Funktion nur bis zum 3. Mai 2009 beibehält." ??
Ich hab in einigen News diese Formulierung gelesen, in anderen News standen Sachen wie "funktioniert nur bis", "deinstalliert sich selbst am", "deaktiviert sich am" usw.
Kann ja kaum sein, das Datum ist immerhin schon lange vorbei.
Habe jetzt auch erst mal nur die Pressemitteilung übernommen. Aber ich frage gleich mal unsere Virenanalysten, die müssten mir da etwas zu sagen können. Melde mich nochmal per Kommentar, wenn ich genauere Infos habe.
Also ich weiß zwar nicht, was Dein Kalender sagt, aber ich habe noch April.
Also es ist wohl so, dass sich der Kido zum 03.05. deaktiviert, wenn nicht vorher über das Peer-to-Peer-Netz neue Updates bezogen werden (können). Deaktiviert bedeutet in diesem Fall wohl, dass er zwar noch auf dem Host vorhanden ist, aber keine Änderung vornimmt oder neue Updates bezieht.
Es wird auch vermutet, dass der Kido bzw. das Botnetz, welches er aufgebaut hat, an die Waledac-Leute verkauft wurde. Ich denke, man muss einfach erstmal abwarten, um zu sehen, was weiter passiert.