今夜、木戸ボットネットが機能し始めました。 4月1日から専門家が期待するイベントが発生しました。
Trojan-Downloader.Win32.Kido(別名Conficker.C)に感染したコンピューターは、P2P接続を介して相互作用し、感染したマシンに新しいファイルをダウンロードするよう指示しました。
Kidoの新しいバージョン(Net-Worm.Win32.Kido.js)は以前のバージョンとは大きく異なり、2つの重要な違いがあります。これは再びワームであり、2009年5月3日までしか機能しません。 その機能のより詳細な分析が現在進行中です。
自分自身を更新することに加えて、Kidoは感染したコンピューターに新しいファイルをアップロードしました。これはこの話で最も興味深いものです。
ダウンロードされたファイルの1つは、偽のアンチウイルス-FraudTool.Win32.SpywareProtect2009.sです。
昨年11月、Kidoの最初のバージョンでも、偽のアンチウイルスがシステムにダウンロードされました。 ほぼ半年後、この機能は未知のサイバー犯罪者によって再び使用されました。
SpywareProtect2009は、spy-protect-2009.com、spywrprotect-2009.com、spywareprotector-2009で入手できます。
起動すると、次のインターフェイスが表示され、伝統によれば、「見つかったウイルスを削除する」ことを提案し、これにお金が必要です-$ 49.95
現在、この偽のアンチウイルスの配布は、ウクライナにあるサイト(131-3.elaninet.com、78.26.179.107)でサポートされています
Kidoが感染システムにインストールした2番目のファイルは、Waledacとしても知られるEmail-Worm.Win32.Iksmas.atzでした。 これは、データの盗難とスパムの機能を備えたメールワームです。
Iksmas(Waledac)は2009年1月に登場しましたが、それでも多くの専門家が、木戸と彼の間の作業アルゴリズムの類似点に気づきました。 その間、木戸の流行は続いていました-並行して、メールにはそれほど大きなIksmasの流行はありませんでした。 ただし、これまでのところ、これらのワームが相互に関連しているという証拠はありませんでした。
この証拠は今夜登場しました-現在、KidoとIksmasは感染したコンピューターに存在し、スパムを送信するように設計された巨大なボットネットが攻撃者の手に現れました。
さらに、未検証の情報によると、Conficker Working Groupに参加しているいくつかの企業や組織のサイトが攻撃を受けている可能性があります。
Gostev Alexander、www.secureblog.info