卡巴斯基：Kido(Conficker)新变种伪装成杀毒软件

　　卡巴斯基实验室宣布近日监测到一种Kido恶意软件(又名 Conficker 或者 Downadup)的新变种。4月8日及9日夜间，卡巴斯基实验室监测到大量感染Trojan-Downloader.Win32.Kido(又名Conficker.c)的计算机开始通过P2P网络互相联系，并通过互联网下载最新的恶意文件到受感染计算机，准备激活Kido僵尸网络。

　　这次发现的Kido新变种同以往变种有很大的不同。目前Kido恶意软件又回归蠕虫病毒的功能。对此新变种的初步分析显示，该变种的各种功能具有时效性，并且会在2009年5月3日后停止发作。

　　Kido新变种不仅会联网自动升级，还会下载两个新的恶意文件到受感染计算机。其中一个文件为流氓反病毒软件恶意程序，名为FraudTool.Win32.SpywareProtect2009.s。该恶意程序主要通过一些位于乌克兰的网站进行传播。 一旦该程序运行，它会伪装成杀毒软件, 提示用户必须支付49.95美元才能删除它在用户计算机上发现的一些所谓的“病毒”。

　　Kido新变种下载的另外一个文件为Email-Worm.Win32.Iksmas.atz蠕虫。该电子邮件蠕虫又被称作Waledac。它能够窃取用户的数据并且大量发布垃圾电子邮件。该蠕虫样本在2009年1月份被初次截获到时，很多IT专家都注意到它与Kido恶意软件有很多相似之处。而Kido疫情的爆发规模等几方面特征同Iksmas蠕虫通过电子邮件造成的疫情也非常相似。

　　卡巴斯基实验室全球研究和分析组总监Aleks Gostev这样评论：“在当前的形势下，在短短12小时之内，Iksmas蠕虫几次连接其位于全球的控制中心并且接收指令，开始发布大量垃圾邮件。就在这12小时内，受控制的一台僵尸网络中的计算机就发布了多达42,298封垃圾邮件。在这些垃圾邮件中，几乎每一封邮件都包含一个唯一的域名。很明显，这样做的目的是用来避免这些垃圾邮件被反垃圾邮件过滤器检测到。 因为反垃圾邮件过滤器是通过分析某一个特定域名被使用的频率来判断收到的邮件是否是垃圾邮件的。整体来看，我们共检测到该蠕虫使用了40,542个三级域名和33个二级域名。而这些域名都位于中国，并且注册这些域名的都是不同的人，而且这些注册人很有可能使用的都是假名。”

　　“一台受Iksmas蠕虫感染和控制的计算机在24小时内就可以发送大约80,000封垃圾邮件，假设有五百万台受感染的机器，他们组成的僵尸网络能够在24小时期间发送大概4000亿封垃圾邮件，其数量是非常惊人的!”

　　卡巴斯基实验室目前正在对Kido新变种进行更详细地技术分析。同时，卡巴斯基的专家也在对我们最新版的KKiller工具进行改进，增加对抗新版本蠕虫变种的功能等。

　　使用卡巴斯基实验室安全产品的用户们无须担心，Kido蠕虫的新变种(Net-Worm.Win32.Kido.js)以及其下载的Iksmas变种都能够被卡巴斯基相关产品的启发式技术所查杀。