كاسبرسكي لاب تحلل النسخة الجديدة لكيدو أو كونفيكر
أعلنت شركة كاسبرسكي لاب، المطوّر المتخصص للحلول الأمنية لإدارة المحتوى، عن إكتشاف نسخة جديدة من البرنامج الخبيث كيدو (Kido) و(الذي يعرف أيضا بكونفيكر أو دونأدوب).
في ليل الثامن/التاسع من إبريل تواصلت الحواسيب الملوثة بفيروس طروادة – Downloader Win32Kido (Conficker c) عن طريق برامج مشاركة الملفات (Peer-to-Peer ( وأمرت الآلات الملوثة بتنزيل ملفات خبيثة وبالتالي تشغيل كيدو(KIDO).
تختلف النسخة الجديدة لبرنامج كيدو(KIDO) بشكل بارز عن الأشكال السابقة: فإن البرنامج الخبيث عاد إلى شكله الأول كدودة (Worm) ، وتفترض التحليلات الأولية بأن الفيروس لديه مهنة زمنية محددة لغاية الثالث من مايو 2009.
فإلى جانب تنزيل التحديثات الذاتية، يقوم برنامج كيدو (KIDO) بتنزيل ملفين جديدين الى الآلات الملوثة، أحدهما تطبيق قوي لمكافحة الفيروسات (يتم إكتشافه على شكل FraudTool.Win32.SpywareProtect2009.s ) ويتم نشره من مواقع في أوكرانيا. عندما يتم تشغيل هذا التطبيق، يسمح لك البرنامج بالقضاء على "الفيروسات المكتشفة" بكلفة 49.95$.
أما الملف الثاني الذي ينزله كيدو على الأنظمة الملوثة هو Email-Worm.Win32.Iksmas.atz. كما يعرف فيروس البريد الإلكتروني هذا بـWaledac وبإمكانه سرقة البيانات وإرسال البريد المزعج. من الجدير بالذكر أنه عندما تم إكتشاف هذا البرنامج الخبيث في يناير 2009 للمرة الأولى، لاحظ العديد من الخبراء التشابه بين كل من كيدو (KIDO) وإكسماس Iksmas)) . إن درجة انتشار فيروس كيدو كانت شبيهة بدرجة انتشار فيروس اكسماس (Iksmas) والذي حدث عن طريق البريد الإلكتروني.
وفي هذا السياق، علق رئيس فريق البحث والتحليل لكاسبرسكي لاب، السيد ألكس غوستيف على الوضع الراهن قائلا: "لأكثر من 12 ساعة إتصل برنامج إقسماس بمراكز التحكم الخاصة به في كافة أنحاء العالم عدة مرات وتلقى أوامر بإرسال بريد مزعج. وفي غضون 12 ساعة قام برنامج آلي (bot) واحد ببعث42,298 بريدا مزعجا. عمليا، تضمن كل بريد اسم نطاق مميز وذلك بهدف منع فيلتارات مكافحة البريد المزعج من إكتشاف الكم الهائل من البريد والتي تعمل عادة من خلال تحليل النطاق المستخدم لإرسال البريد المزعج. بشكل عام، إكتشفنا إستخدام 40،542 نطاق من المستوى الثالث و33 نطاق من المستوى الثاني. كما وأن هذه المواقع موجودة في الصين ومسجلة بأسماء أشخاص مختلفين وعلى الأرجح وهميين".
وتابع: "عملية حساب بسيطة تظهر بأن برنامج (bot) واحد من إقسيماس يرسل 80,000 بريدا إلكترونيا في غضون 24 ساعة. فلنفترض أنه هناك 5 ملايين آلة ملوثة، هذا يعني أنه بإمكان شبكة البرنامج الآلي (bot) إرسال 400 مليار بريد مزعج في غضون 24 ساعة."
تقوم شركة كاسبرسكي لاب حاليا بإجراء تحليل مفصل عن شكل برنامج كيدو، حيث يعمل خبراء الشركة على نسخة جديدة من KKiller آخذين بالإعتبار الوظيفة المحددة للنسخة الأخيرة للفيروس.