Poslední varianta červa Kido se od předešlých verzí výrazně liší: malware se nyní opět chová jako červ, tj. snaží se o další šíření. První analýzy vedou k závěru, že červ má nastavenou časově omezenou aktivitu a měl by přestat být aktivní 3. května 2009.
Kromě stažení vlastní aktualizace červ Kido do infikovaných počítačů stahuje dva nové soubory. Jeden je podvodná antivirová aplikace (FraudTool.Win32.SpywareProtect2009.s), která se začala šířit ze serverů umístěných na Ukrajině. Po spuštění tento program uživateli nabízí, že za poplatek 49,95 dolarů odstraní „nalezené viry“. Jako druhý soubor Kido stahuje do nakažených počítačů Email-Worm.Win32.Iksmas.atz. Tento e-mailový červ, který je známý také jako Waledac, se snaží krást data a rozesílat spam. Když byl tento malware letos v lednu zjištěn poprvé, mnoho IT odborníků upozornilo na podobnost mezi červy Kido a Iksmas. Epidemie červa Kido měla podobný rozsah i povahu jako šíření červa Iksmas, který k němu ovšem používal e-mail.
„Během 12 hodin se červ Iksmas dokáže mnohokrát připojit k některému ze svých řídicích center. Tyto servery jsou po celém světě a červ od nich přijímá příkazy k rozesílání spamu. Jediný sledovaný infikovaný počítač (bot) takhle za 12 hodin rozeslal 42 298 e-mailů,“ uvádí Alex Gostev, ředitel Global Research and Analysis Team společnosti Kaspersky Lab. „Prakticky každý e-mail má jako adresu odesilatele nastavenou jinou doménu. Tento postup je pravděpodobně namířen proti antispamovým filtrům, které odhalují spam pomocí analýzy doménových jmen používaných při masových spamových kampaních. Celkem jsme ve spamu detekovali použití 40 542 domén třetí úrovně a 33 domén druhé úrovně.
Téměř všechny z těchto serverů se nacházejí v Číně. Používané domény jsou registrovány na různé lidi, většinou jde ale zřejmě o fiktivní jména.“
„Jednoduchý výpočet ukazuje, že jediný bot červa Iksmas rozešle za 24 hodin asi 80 000 e-mailů. Pokud je v tuto chvíli infikováno 5 milionů počítačů, znamená to, že celý botnet dokáže během jediného dne rozeslat 400 miliard spamových zpráv!“
Společnost Kaspersky Lab právě provádí podrobnou analýzu nové varianty červa Kido. Odborníci společnosti pracují na nové verzi nástroje KKiller, přičemž zohlední specifickou funkcionalitu nové verze červa.
Uživatelé produktů společnosti Kaspersky Lab se nemusejí aktuálního vývoje nijak obávat. Nová verze červa Kido, Net-Worm.Win32.Kido.js, je heuristikou odhalena (jako HEUR:Worm.Win32.Generic), totéž platí pro malware Iksmas.
Kaspersky Lab
Kaspersky Lab je dodavatelem nejaktuálnější ochrany proti bezpečnostním IT hrozbám zahrnujícím viry, spyware, hackerské útoky, phishing a spam. Produkty Kaspersky Lab se mezi firmami z oboru bezpečnosti vyznačují vynikajícími výsledky při detekci hrozeb a nejrychlejší reakcí na ně. Využívají je jak domácí uživatelé, tak malé a střední podniky i velké korporace a rovněž se uplatňují v mobilním prostředí. Technologie Kaspersky® je rovněž součástí produktů a služeb předních světových poskytovatelů řešení pro IT bezpečnost. Více informací najdete na www.kaspersky.cz . Nejnovější informace o antivirech, antispywaru, antispamu a dalších aspektech IT bezpečnosti naleznete na www.viruslist.com .
Skupina PCS
Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem činností – od komplexních služeb v oblasti zabezpečovacích a komunikačních systémů, detekce nebezpečných předmětů, přes dodávky analytických přístrojů a měřících ústředen, až po řešení bezpečnosti dat. Významnou součást tvoří vývoj vlastního ekonomického software a nemocničních informačních systémů.
Skupina PCS působí na českém a slovenském trhu již od roku 1990, zaměstnává přes 100 pracovníků a její roční obrat přesahuje 250 milionů Kč (2007). Vzájemná synergie jednotlivých činností je zárukou rozvoje a stability i do dalších let. Společnosti sídlí ve vlastních objektech v Praze, Blansku a Bratislavě. Více informací najdete na www.pcs.cz a www.pcs.sk .