Kaspersky Lab Analisa Nova Versão do Kido (Conficker)

A Kaspersky Lab acaba de anunciar que os seus analistas detectaram mais uma nova versão do programa malicioso Kido (também conhecido como Conficker e Downadup). Durante a noite de 8 para 9 de Abril, os computadores infectados com o vírus Trojan-Downloader.Win32.Kido (também conhecido como Conficker.c) contactaram entre si através de P2P, induzindo as máquinas infectadas a descarregar novos ficheiros maliciosos, activando desta forma a botnet do Kido.

A última variação do Kido difere significativamente das anteriores: depois de, numa primeira fase, ter sido um worm – infectando o maior número possível de computadores –, transformou-se depois em trojan-downloader (descarregador de Trojans), e agora assume, de novo, a forma de worm. As análises iniciais sugerem que tem uma funcionalidade limitada por data, devendo apenas ser activo até ao próximo dia 3 de Maio de 2009.

Além de descarregar actualizações de si próprio, agora o Kido também descarrega dois novos ficheiros nas máquinas infectadas. Um deles é uma aplicação antivírus furtiva (detectada como FraudTool.Win32.SpywareProtect2009.s), também chamada scareware, que se está a expandir a partir da Ucrânia. Uma vez em funcionamento, o programa mostra frequentemente ao utilizador uma interface que lhe pergunta se quer apagar “vírus detectados” por um preço de 49,95 dólares. Este antivírus falso chega a ser tão insistente que muitos utilizadores acabam por clicar na oferta para pagar pela desinfecção, sendo vítimas da consequente burla.

O segundo ficheiro que o Kido descarrega nos sistemas infectados é o programa email-Worm.Win32.Iksmas.atz. Trata-se de um worm, também conhecido como Waledac, que está preparado para roubar dados e para enviar spam (por exemplo, ofertas para empréstimos ou produtos farmacêuticos).

Quando este programa malicioso foi detectado pela primeira vez em Janeiro de 2009, muitos peritos detectaram semelhanças entre o Kido e o vírus Iksmas. Com efeito, a epidemia do Kido é praticamente igual à epidemia de e-mail causada no seu tempo pelo Iksmas.

“Por um período de 12 horas, o Iksmas ligou-se várias vezes aos seus centros de controlo por todo o mundo, recebendo comandos para enviar e-mails de spam e, nessa altura, um só “bot” enviou 42.298 mensagens de spam”, conta Aleks Gostev, director de Investigação e Análise Global da Kaspersky Lab. “Virtualmente, todos os e-mails continham um único domínio, o que obviamente foi feito para evitar que os filtros anti-spam detectassem o envio massivo de e-mails através dos métodos habituais, que analisam a frequência com que um domínio específico é utilizado”.

E Gostev prossegue: “No total detectámos o uso de 40.542 domínios de terceiro nível e 33 de segundo nível, todos virtualmente localizados na China e registados em nome de várias pessoas, a maioria provavelmente fictícios”.

“Um simples cálculo mostra que o “bot” do Iksmas envia cerca de 80.000 e-mails em apenas 24 horas. Assumindo que lá fora existem 5 milhões de máquinas infectadas, a botnet poderá enviar cerca de 400.000 milhões de mensagens de spam num só dia!”, sublinha o responsável da Kaspersky Lab.

A Kaspersky Lab está a actualmente a realizar uma análise detalhada desta nova variante do Kido. Os peritos da companhia estão a trabalhar já numa nova versão do utilitário KKiller, tendo em conta as funcionalidades específicas desta última variante do worm.

Os utilizadores de produtos Kaspersky não têm que se preocupar com nada: a nova versão do Kido (Net-Worm.Win32.Kido.js) já foi detectada por meios heurísticos desde a sua saída (como HEUR:Worm.Win32.Generic), como ocorre com a variante do Iksmas que descarrega!

__________________________________

Fonte: www.wintech.com.pt

16 de abril de 2009 Publicado por tecn0logia | Conficker, Kaspersky, Rumores, Segurança | Conficker, Kaspersky Lab, Segurança | 1 Comentário

Twitter Atacado Por Vírus

 

 

 

 

Infecção espalha-se através do perfil dos utilizadores.

A rede social Twitter foi infectada por um vírus originado pelos proprietários do site «StalkDaily» (nota: não visitar a página porque pode causar danos ao computador).

Até ao momento os detalhes ainda são escassos, mas ao que parece, todos os que visitarem o perfil de um utilizador infectado ficam igualmente infectados.

Alguns relatos revelam que o vírus altera a secção «About Me», incluindo um link para a infecção. Os utilizadores atingidos enviam repetidamente actualizações que direccionam para o site da «StalkDaily», noticia o «Techcrunch».

O ataque foi detectado na manhã de sábado, quando uma série de «posts» fizeram referência ao vírus. No entanto só neste momento é que está atingir grandes proporções, contando já com centenas de relatos de utilizadores a quem aconteceu o mesmo.

O oficial detector de «spam» da Twitter revelou que já tomou conhecimento do assunto e que já está a tentar resolver o problema.

____________________________________

Fonte: Wintech

13 de abril de 2009 Publicado por tecn0logia | Segurança, Twitter | infectado, Segurança, Twitter, virus | 4 Comentários

Conficker Volta a Atacar

Segundo a Trend Micro, os computadores estão a receber uma nova variante do Conficker através de ligações a redes P2P. Trata-se do código WORM_DOWNAD.E que, no entender da empresa, é da família do malware Waledac, responsável por um dos botnets de maior expressão.

Paul Ferguson, da Trend Micro, explica que o componente é descarregado “sob a forma de dropper“, uma sequência concebida para instalar malware no PC de uma forma não detectável. De acordo com o especialista, esta variante parece adaptar-se melhor á designação de rootkit, embora ainda não existam informações suficientes para concluir que tipo de código é este.

Ao que tudo indica, o ficheiro transferido tem como objectivo infectar outros PCs ligados à rede que ainda não tenham correcção da Microsoft instalada.

A nova variante dá ainda instruções para o vírus aceder, a 3 de Maio, a sites como MySpace, AOL, eBay e outros para garantir que a máquina infectada possui ligação a Internet e descarregar o segundo componente deste código. Alguns sites serão bloqueados, tal como já acontecia antes.

______________________

Fonte: www.wintech.com.pt

10 de abril de 2009 Publicado por tecn0logia | Segurança | atacar, Conficer, Segurança, volta | 1 Comentário