Новый год начался с эпидемии нового червя. Она может стать самой массовой за всю историю вредоносной активности. По данным компании F-Secure, которая именует вредоноса как Downadup, в пятницу червь заразил около 9 млн. компьютеров по всему миру. Специалисты компании Panda Security, которые называют этого же червя Conficker, отметили, что эпидемию вызвала третья модификация вредоноса. Первые заражения этим вредоносным кодом были зафиксированы в конце ноября прошлого года. Однако в базе данных Лаборатории Касперского, где данный червь значиться как Kido.bt, запись датирована 2 января 2009 года. Компания Dr. Web, антивирус которого определяет данного червя как Shadow или Autorunner.5555, утверждает, что червь использует сложный полиморфный механизм для скрытия своего присутствия в системе.
Червь распространяется на съемных носителях и прописывает свой автозапуск в файле autorun.inf в том числе и на жестких дисках. Кроме того, он использует для проникновения на компьютеры уязвимость в протоколе RPC, которая описана Microsoft в бюллетене MS08–067 и имеет соответствующие исправления. Червь также навпространяется по сети с помощью протокола SMB, пытаясь подобрать пароли для открытых каталогов.
После проникновения на компьютер червь пытается заразить процессы rundll32.exe, svchost.exe и explorer.exe, перехватывая работу с DNS-системой для блокировки доступа к сайтам антивирусных компаний, а кроме того, прячется в папке RECYCLER, куда операционная система складывает удаленные документы. По оценкам экспертов основная цель нового червя — создать зомби-сеть для дальнейшей перепродажи.
Компания F-Secure контролирует распространение червя. Так 13 января было зафиксировано 2,5 млн. зараженных компьютеров, 14 января — 3,5, а уже 16 января — 9 млн. Правда, по статистике компании Panda Security количество заражений червем в пятницу и субботу было примерно одинаковым, а уже в воскресенье наметилась тенденция к снижению числа обнаруженных вредоносов. При этом F-Secure проанализировала IP-адреса зараженных компьютеров и обнаружила, что лидерами в данной эпидемии являются страны Китай (38277 зараженных IP), Бразилия (34814 заражений), Россия (24,526) и Индия (16,497), то есть под ударом оказались страны БРИК.
IT-daily Express (20.01.2009)
