Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200'652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.
Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.
Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:
Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)
Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:
Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:
Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.
Наблюдая за ботами-2
В предыдущем постинге мы описали, что происходит на зараженных Kido машинах после установки на них спамбота Iksmas.
Однако Kido загрузил на компьютеры не только Iksmas, но еще и поддельный антивирус SpywareProtect2009. Его работа в системе видна пользователям, чьи компьютеры заражены.
Выглядит это примерно так: поддельный антивирус постоянно, каждые несколько минут, показывает на экране различные сообщения об «обнаружении вирусов», «сетевых атаках», «проблемах с браузером» и так далее...
Назойливость этого поддельного антивируса настолько велика, что неискушенный пользователь с большой вероятностью может кликнуть на предложение об оплате «лечения» и не только потерять 50 долларов США, но и «подарить» данные своей кредитной карточки злоумышленникам — с самым непредсказуемым результатом.
Кроме демонстрации многочисленных сообщений, SpywareProtect2009 пытается загрузить в систему еще один компонент — троянец-загрузчик (Trojan-Downloader.Win32.FraudLoad.ecl). Этот троянец, в свою очередь, должен обеспечивать загрузку новых версий SpywareProtect2009.
Перехваченный нами вариант этого троянца осуществлял загрузку новых версий поддельного антивируса с сайта alsterstore.com. Об этом нами был извещен регистратор доменной зоны, и в течении 20 минут этот ресурс был закрыт.
Наблюдая за ботами
Как мы отмечали вчера, ботнет Кидо установил на зараженные компьютеры другого известного червя — Iksmas aka Waledac.
Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.
Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js).
Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры.
За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама.
Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем:
Subject: A unique opportunity to live healthier life!
Hot News for You http://ie.hipraputt.com/
Subject: Add power to your man's hammer
We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M
http://bv.relaxkind.com/
Subject: Hot life - our help here. Ensure your potence today!
Solution to low-sized perks http://bj.jilfawris.com/
Subject: Perfect solutions to have it hard as stone!
Your one and only online Chemist. http://zer.jilfawris.com/
Subject: She will dream of you days and nights!
Love her everywhere. http://lrmt.jilfawris.com/
Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем.
Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.
Нами было зафиксировано использование 40'542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки.
Вот пара скриншотов с данных сайтов:
Полный список доменов второго уровня, использованных в рассылке:
aromatangy.com
calmchic.com
crisppride.com
cykduhdao.com
deblanf.com
eslihos.net
fabjust.com
fadvyil.com
fadvyil.net
faynetr.com
goodcure.at
gooddoctoronline.at
gooddoctorscare.at
gooddoctorsite.at
gooddoctorworld.at
gooddruginfo.at
gooddrugonline.at
gooddrugsite.at
gooddrugworld.at
goodearthlawncare.at
gotbake.net
hereftu.net
hipraputt.com
jilfawris.com
kepiseu.com
kepiseu.net
multinew.com
plumppeak.com
relaxkind.com
uljyelsel.com
vapshei.net
yuleaware.com
zwefopcyn.com
Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных.
Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5'000'000, то получается, что за одни сутки этот ботнет мог разослать примерно 400'000'000'000 (400 миллиардов!) писем со спамом.
Бесконечная история
Сегодня ночью ботнет Kido начал работать. Событие, ожидавшееся экспертами c 1 апреля, произошло.
Компьютеры, зараженные Trojan-Downloader.Win32.Kido (aka Conficker.C), взаимодействуя друг с другом через P2P-соединения, дали команду зараженным машинам на загрузку новых файлов.
Новый вариант Kido значительно отличается от предыдущей версии: это снова червь, и он будет работать только до 3 мая 2009 года. Более детальный анализ его функционала проводится в настоящее время.
Кроме обновления самого себя, Kido загрузил на зараженные компьютеры новые файлы, которые и являются самым интересным в этой истории.
Один из загруженных файлов является поддельным антивирусом — FraudTool.Win32.SpywareProtect2009.s
Еще самый первый вариант Kido в ноябре прошлого года пытался загружать поддельные антивирусы в систему. Спустя почти полгода этот функционал снова использован неизвестными киберпреступниками.
SpywareProtect2009 размещается на сайтах spy-protect-2009.com, spywrprotect-2009.com, spywareprotector-2009:
После запуска он показывает следующий интерфейс:
Затем, по традиции, предлагает «удалить найденные вирусы», требуя за это деньги ($49,95):
В настоящий момент распространение этого поддельного антивируса осуществляется через сайты, размещенные на территории Украины (131-3.elaninet.com, 78.26.179.107).
Вторым файлом, который был установлен новым Kido на зараженные системы, стал Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь, обладающий функционалом кражи данных и рассылки спама.
Iksmas (Waledac) появился в январе 2009 года, и еще тогда многие эксперты заметили некоторое сходство в алгоритмах работы между ним и Kido. Параллельно с эпидемией Kido шла не менее массовая эпидемия Iksmas в электронной почте. Однако до сих пор не было доказательств существования связи между этими червями.
Сегодня ночью эти доказательства появились — Kido и Iksmas теперь вместе присутствуют на зараженных компьютерах, а в руках злоумышленников появился гигантский ботнет, рассчитанный на рассылку спама.
Кроме того, по пока непроверенной информации, под атакой, возможно, находятся сайты некоторых компаний и организаций-участников группы Conficker Working Group.
[обновление] Как выяснилось позже, сайты CWG были недоступны из-за проблем у одного из калифорнийских провайдеров.
