Conficker приглашает гостей
Червь Conficker (известный также как Downadup и Kido), от которого ожидали начала вредоносных действий с 1 апреля, наконец зашевелился. В , и некоторых других антивирусных компаниях отмечают обновление этого вредоноса по P2P, а также возможную загрузку на зараженный компьютер червя Waledac.
Необычная активность была замечена 7 апреля сотрудниками Trend Micro, когда их система слежения зафиксировала загрузку нового файла во временную папку Windows. Тщательно изучив новый файл и данные о сетевой активности, специалисты компании пришли к выводу о том, что файл является модификацией последней версии "Конфикера" и был скачан по P2P-протоколу (такая возможность обновления появилась около месяца назад вместе с очередной версией червя, которую в Symantec окрестили Downadup.C).
Новая версия (Downadup.E в терминологии Symantec) отличается от предыдущей в некоторых весьма примечательных моментах. В частности, она восстановила свою способность к размножению через всё ту же уязвимость в Windows. Также в ней предусмотрена функция самоуничтожения, которая запланирована на 3 мая этого года.
Таким образом, Downadup.E сможет увеличить и без того немаленький ботнет, после чего самоуничтожится, оставив, однако, вместо себя "стерильный" Downadup.C. Иными словами, авторы червя разделили его на две части: агрессивную, предназначенную для размножения, и тихую, но способную сопротивляться лечению.
Но и это ещё не все особенности новой версии червя. Многие антивирусные компании сообщают о том, что "Конфикер" пытается связаться с одним из доменов, который используется червём Waledac, и загрузить оттуда последнюю версию этого вредоноса.
Кроме того, как , вместо Waledac новый Conficker может загрузить лже-антивирус SpywareProtect2009 с ряда украинских сайтов. Нечто подобное пытались делать ещё самые первые версии "Конфикера" прошлой осенью.
Специалисты по кибербезопасности продолжают изучать эту модификацию и, за редкими исключениями, не торопятся с выводами о том, какая связь имеется между авторами червя Conficker и создателями Waledac и SpywareProtect2009. Есть вероятность, что это одна и та же группа злоумышленников, однако скорее всего, авторы "Конфикера", захватив несколько миллионов компьютеров, попросту сдают их в аренду другим киберпреступникам. Такую же гипотезу высказывают и в Symantec.
Что до недавних DDoS-атак, которые поначалу связывали с активностью "Конфикера", то, по всей видимости, этот червь не имеет к ним отношения. Такого мнения придерживаются специалисты компании ESET, к которым "Вебпланета" обратилась за комментарием по этому вопросу.
Согласно статистике ESET, процент российских компьютеров, зараженных червём Conficker очень высок. "В марте доля семейства Conficker в общем объеме российского вредоносного трафика составила 22,48%", — говорит ИТ-директор компании Павел Потасуев.
Очевидно, что пользователи, которые пренебрегали до сих пор антивирусной защитой и установкой обновлений безопасности, в самое ближайшее время рискуют испытать на себе действие Waledac, лже-антивируса или других вредоносов.
