Что такое Kido?
Kido представляет серьезную угрозу для всего интернет-сообщества. Эта
вредоносная программа впервые была обнаружена в ноябре 2008 года. По оценкам
"Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн.
компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным
ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам
возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть
конфиденциальные данные с зараженных компьютеров и распространять нежелательный
контент (в частности, проводить крупномасштабные спам-рассылки).
Анализ функционала этой программы не исключал возможной активизации 1-го
апреля гигантской зомби-сети (ботнета), находящейся под управлением авторов
Кидо, однако в этот день эксперты "Лаборатории Касперского" не зафиксировали
какой-либо активности в обмене данными между зараженными машинами и
потенциальными центрами управления ботнетом. Тем не менее, по-прежнему нельзя
исключать возможности активизации ботнета, при этом последующие за ним действия
злоумышленников пока не поддаются прогнозированию. Анализ ситуации показывает,
что, активизация ботнета может произойти в любой день, начиная с 1 апреля.
В чем опасность Kido?
Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет)
потенциально может дать злоумышленникам возможность совершать крайне мощные
DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с
зараженных компьютеров и распространять нежелательный контент (в частности,
проводить крупномасштабные спам-рассылки).
До последнего времени Kido распространялся через компьютерные сети и сменные
носители информации. В частности, он проникал на компьютеры, используя
критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к
которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению
экспертов, на значительной части машин патч не был установлен на момент пика
распространения Kido в январе. Этот фактор, а также игнорирование эффективной
антивирусной защиты и привели к эпидемии: в настоящее время различными версиями
Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ
в сеть Интернет. В последних версиях Kido отсутствует явная возможность
самораспространения. Программа лишь пытается «укрепиться» на уже зараженных
компьютерах.
Более подробную техническую информацию о том, как Kido проникает в
операционные системы семейства Windows можно посмотреть по адресам:
В Kido реализованы самые современные технологии вирусописателей – например,
загрузка обновлений с постоянно меняющихся адресов сайтов; использование
соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного
канала обновлений; использование стойкого шифрования для защиты от перехвата
контроля; усовершенствованные возможности отключения служб безопасности,
препятствия обновлениям программ защиты и т.д.
Самая последняя версия Kido получает обновления путем загрузки кода с 500
доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч
доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают
крайне сложным контроль над пространством имен в интернете, используемым
вредоносной программой. Поэтому нужно прилагать все возможные усилия для
препятствия обновлению программы на уровне локальных сетей.
|