Новая жизнь и бизнес-модель вируса Conficker/Kido // 21 Февраля 2013

7 апреля 2009 г. неизвестные злоумышленники распространили новую версию вируса Conficker, также известного под названиями Kido, Downup и Downadup. Новый вариант вируса стал одним из немногих примеров, когда вирус имеет ограниченный срок действия. Как выяснили эксперты антивирусных компаний, новый Conficker.C должен полностью прекратить работу уже 3 мая.

Как мы уже писали, вирус Conficker.C распространяется через Интернет, а также через съемные USB-накопители, в том числе через привычные многим пользователям флэшки. Кстати, компания Microsoft уже пообещала вознаграждение 250 тысяч долларов за поимку авторов этого опасного вируса. Интересно, что обновленные версии вируса загружаются на зараженные машины через собственную файлообменную P2P-сеть. Еще одной особенностью Conficker.C является впервые реализованный механизм быстрой смены корневых серверов, используемых для распространения обновлений для вируса. Пока известно, что некоторые следы распространения новой версии вируса ведут на серверы в Южной Корее.

На данный момент исследователи всего мира пытаются найти связь между новой версией Conficker и давно известным спам-ботом Waledac. Дело в том, что вместе с обновлениями вируса загружается новый вариант Waledac.E, который пока умеют обнаруживать лишь немногие антивирусные продукты. Возможно, авторами Conficker выступает та же группа, что отвечает за создание Waledac и его предшественника – печально знаменитого ботнета Storm.

Как заявил специалист «Лаборатории Касперского» Алекс Гостев, вместе с инструментами похищения пользовательской информации и рассылкой спама новый вариант Conficker.C загружает и фальшивую антивирусную программу. Этот фальшивый антивирус требует от пользователя приобрести пакет «Spyware Protect 2009» за 49,95 доллара. Само собой, никакой реальной защиты «Spyware Protect 2009» не обеспечивает.

Если вы хотите проверить, не заражен ли ваш компьютер вирусом Conficker, посетите специальную страницу, созданную учеными из Боннского университета (Германия). Там специальный сервис автоматически определит, есть ли на вашем компьютере признаки заражения. Подробное руководство по обнаружению и удалению вируса можно также найти в специально бюллетене Microsoft MS08-067.

Источники: ReadWriteWeb, Ars Technica