Kaspersky Lab maakt bekend dat een nieuwe versie van het kwaadaardige programma Kido (ook wel bekend als Conficker of Downadup) is ontdekt. In de nacht van 8 op 9 april zochten computers die geïnfecteerd zijn met Trojan-Downloader.Win32.Kido (Conficker.c) via P2P contact met elkaar; de geïnfecteerde machines werden geïnstrueerd om nieuwe kwaadaardige bestanden te downloaden en zo het Kido-botnet te activeren.
Deze nieuwste variant van Kido verschilt belangrijk van eerdere varianten: na de metamorfose van de worm – die zoveel mogelijk computers probeerde te infecteren – in een programma voor het downloaden van een Trojaans paard is de malware opnieuw geëvolueerd tot worm. Uit eerste analyses blijkt dat de worm actief zal zijn tot 3 mei 2009.
Naast updates voor zichzelf zal Kido ook twee nieuwe bestanden downloaden op geïnfecteerde machines. Een daarvan is een frauduleus antivirusprogramma (FraudTool.Win32. SpywareProtect2009.s) – ook wel scareware genoemd – dat vanuit Oekraïne wordt verspreid. Zodra het programma is geactiveerd, verschijnt regelmatig een interface in beeld met de vraag aan de computergebruiker of hij/zij ‘ontdekte virussen’ wil verwijderen voor een bedrag van $49,95. Dit vervalste antivirusprogramma is zo vervelend dat er een gerede kans bestaat dat gebruikers op het ‘aanbod’ zullen ingaan en zo ten prooi vallen aan deze zwendel.
Het tweede bestand dat door Kido wordt gedownload op geïnfecteerde systemen, is de email-Worm.Win32.Iksmas.atz. Deze e-mailworm staat ook bekend als Waledac en is in staat gegevens te ontvreemden en spam te versturen, bijvoorbeeld aanbiedingen voor dubieuze leningen of farmaceutische producten. Toen dit kwaadaardige programma voor het eerst werd ontdekt in januari 2009, viel diverse IT-experts de gelijkenis tussen Kido en Iksmas op. De Kido-epidemie doet denken aan een e-mailuitbraak van soortgelijke omvang veroorzaakt door Iksmas.
"In een tijdsspanne van twaalf uur zocht Iksmas diverse malen contact met zijn controlecentra en kreeg opdracht om spam-mailings te versturen. In niet meer dan twaalf uur verstuurde slechts één bot 42.298 ongewenste berichten", aldus Eddy Willems, It Security evangelist van Kaspersky Lab Benelux. "Vrijwel elk bericht had een uniek domein. Zo kon uiteraard worden voorkomen dat spamfilters de ongewenste mailings zouden ontdekken door toepassing van een methode die de frequentie van domeingebruik meet. In totaal ontdekten we het gebruik van 40.542 third-level domeinen en 33 second-level domeinen. Nagenoeg al deze sites zijn gesitueerd in China en staan op naam van verschillende – waarschijnlijk fictieve – personen."
"Een eenvoudige berekening laat zien dat één Iksmas-bot circa 80.000 e-mails per etmaal verstuurt. Stel dat er vijf miljoen geïnfecteerde machines zijn, dan kan het botnet plusminus 400 miljard berichten verspreiden in een tijdsspanne van 24 uur."
Kaspersky Lab onderwerpt de nieuwe Kido-variant momenteel aan een uitgebreide analyse. De experts van de onderneming werken aan een nieuwe versie van het hulpprogramma KKiller, waarin de specifieke functionaliteit van de laatste versie van de worm zal worden meegenomen.
Gebruikers van producten van Kaspersky Lab hoeven zich geen zorgen te maken: met de nieuwe versie van de worm Kido (Net-Worm.Win32.Kido.js) is van meet af aan heuristisch rekening gehouden (HEUR:Worm.Win32.Generic), evenals met de variant van Iksmas die door Kido wordt gedownload.
