【51CTO.com 綜合消息】領(lǐng)先的信息安全解決方案提供商——卡巴斯基實(shí)驗(yàn)室宣布近日監(jiān)測到一種Kido惡意軟件（又名 Conficker 或者 Downadup）的新變種。4月8日及9日夜間，卡巴斯基實(shí)驗(yàn)室監(jiān)測到大量感染Trojan-Downloader.Win32.Kido（又名Conficker.c）的計(jì)算機(jī)開始通過P2P網(wǎng)絡(luò)互相聯(lián)系，并通過互聯(lián)網(wǎng)下載最新的惡意文件到受感染計(jì)算機(jī)，準(zhǔn)備激活Kido僵尸網(wǎng)絡(luò)。

這次發(fā)現(xiàn)的Kido新變種同以往變種有很大的不同。目前Kido惡意軟件又回歸蠕蟲病毒的功能。對此新變種的初步分析顯示，該變種的各種功能具有時效性，并且會在2009年5月3日后停止發(fā)作。

Kido新變種不僅會聯(lián)網(wǎng)自動升級，還會下載兩個新的惡意文件到受感染計(jì)算機(jī)。其中一個文件為流氓反病毒軟件惡意程序, 名為FraudTool.Win32.SpywareProtect2009.s。該惡意程序主要通過一些位于烏克蘭的網(wǎng)站進(jìn)行傳播。 一旦該程序運(yùn)行，它會偽裝成殺毒軟件, 提示用戶必須支付49.95美元才能刪除它在用戶計(jì)算機(jī)上發(fā)現(xiàn)的一些所謂的“病毒”。

Kido新變種下載的另外一個文件為Email-Worm.Win32.Iksmas.atz蠕蟲。該電子郵件蠕蟲又被稱作Waledac。它能夠竊取用戶的數(shù)據(jù)并且大量發(fā)布垃圾電子郵件。該蠕蟲樣本在2009年1月份被初次截獲到時，很多IT專家都注意到它與Kido惡意軟件有很多相似之處。而Kido疫情的爆發(fā)規(guī)模等幾方面特征同Iksmas蠕蟲通過電子郵件造成的疫情也非常相似。

卡巴斯基實(shí)驗(yàn)室全球研究和分析組總監(jiān)Aleks Gostev這樣評論：“在當(dāng)前的形勢下，在短短12小時之內(nèi)，Iksmas蠕蟲幾次連接其位于全球的控制中心并且接收指令，開始發(fā)布大量垃圾郵件。就在這12小時內(nèi)，受控制的一臺僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)就發(fā)布了多達(dá)42,298封垃圾郵件。在這些垃圾郵件中，幾乎每一封郵件都包含一個唯一的域名。很明顯，這樣做的目的是用來避免這些垃圾郵件被反垃圾郵件過濾器檢測到。 因?yàn)榉蠢]件過濾器是通過分析某一個特定域名被使用的頻率來判斷收到的郵件是否是垃圾郵件的。整體來看，我們共檢測到該蠕蟲使用了40,542個三級域名和33個二級域名。而這些域名都位于中國，并且注冊這些域名的都是不同的人，而且這些注冊人很有可能使用的都是假名?！?/P>

“一臺受Iksmas蠕蟲感染和控制的計(jì)算機(jī)在24小時內(nèi)就可以發(fā)送大約80,000封垃圾郵件，假設(shè)有五百萬臺受感染的機(jī)器，他們組成的僵尸網(wǎng)絡(luò)能夠在24小時期間發(fā)送大概4000億封垃圾郵件，其數(shù)量是非常驚人的！”

卡巴斯基實(shí)驗(yàn)室目前正在對Kido新變種進(jìn)行更詳細(xì)地技術(shù)分析。同時，卡巴斯基的專家也在對我們最新版的KKiller工具進(jìn)行改進(jìn)，增加對抗新版本蠕蟲變種的功能等。

使用卡巴斯基實(shí)驗(yàn)室安全產(chǎn)品的用戶們無須擔(dān)心，Kido蠕蟲的新變種(Net-Worm.Win32.Kido.js)以及其下載的Iksmas變種都能夠被卡巴斯基相關(guān)產(chǎn)品的啟發(fā)式技術(shù)所查殺。