Спецы "Лаборатории Касперского" информируют о новых методах работы знаменитого сетевого червяка Conficker (в терминологии ЛК этот червяк называется Kido). Согласно последним данным, червяк загружает на зараженные ПК поддельный антивирус SpywareProtect2009. Его работа в совокупы видна юзерам, чьи компы заражены.
"Мы решили последить за судьбой ботнета и тем, что все-таки будет делать червь-спамбот Iksmas, попав в компы. За двенадцать часов, Iksmas неодократно подключался к своим центрам управления в мире и приобретал от их команды на рассылку мусора", – молвят в компании.
"Перехваченный нами вариант этого троянца производил загрузку новых догадок поддельного антивируса с веб-сайта alsterstore.com.
Об этом нами был извещен регистратор доменной местности, и в течении 20 минут этот ресурс был закрыт", отмечается в блоге компании.
Всего за двенадцать часов работы 1-го единственного бота он послал 40 два 298 спам-писем. В мусоре имеется ссылки на домены.
Практически в каждом письме употребляется домен.
Очевидно, что это изготовлено чтоб антиспам-технологии не смогли отыскать такую рассылку основываясь на методах анализа частоты внедрения определенного домена.
Назойливость этого поддельного антивируса так огромна, что неискушенный юзер полностью может быть может кликнуть на предложение об оплате "исцеления" и не только лишь потерять 50 баксов, да и "подарить" эти своей кредитной карточки правонарушителям – с самым непредсказуемым достигнутым результатом.
"Нами было зафиксировано применение 40 тыщ 500 40 два доменов третьего и доменов 30 три уровня второго уровня.
Они все принадлежат спамерам и компаниями, которые заказывают у их эти рассылки. Практически все эти веб-сайты находятся в Китае и зарегистрированы на самых разных людей, может быть, измышленных" – сообщается в блоге "Лаборатории Касперского".
Смотрится это примерно так: поддельный антивирус повсевременно, каждые несколько минут, указывает на дисплее различные сообщения об "обнаружении вирусов", "сетевых атаках", "дилеммах с браузером" и без того позже.
Не считая демонстрации бессчётных сообщений, SpywareProtect2009 пробует загрузить в совокупа очередной компонент – троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl).
Этот троянец, со собственной стороны, должен пичкать загрузку новых догадок SpywareProtect2009.
Ранее передавалось, что ботнет Kido установил на зараженные компы другого известного червяка – Iksmas aka Waledac.
Загрузка Iksmas выполнялась с сервера goodnewsdigital.com, что в дальнем прошедшем известен спецам и есть одним из основных источников распространения этого червяка Сейчай.
Легкий математический подсчет гласит о том, что один бот Iksmas посылает примерно восемьдесят тыщ писем в денек.
В случае если высказать предположение, что общее число зараженных автомобилей создает 5 000 000, то выходит, что за одни деньки этот ботнет имел возможность разослать примерно четыреста млрд писем со мусором.