【51CTO.com 綜合消息】領(lǐng)先的信息安全解決方案提供商——卡巴斯基實(shí)驗(yàn)室宣布近日監(jiān)測(cè)到一種Kido惡意軟件（又名 Conficker 或者 Downadup）的新變種。4月8日及9日夜間，卡巴斯基實(shí)驗(yàn)室監(jiān)測(cè)到大量感染Trojan-Downloader.Win32.Kido（又名Conficker.c）的計(jì)算機(jī)開始通過P2P網(wǎng)絡(luò)互相聯(lián)系，并通過互聯(lián)網(wǎng)下載最新的惡意文件到受感染計(jì)算機(jī)，準(zhǔn)備激活Kido僵尸網(wǎng)絡(luò)。

這次發(fā)現(xiàn)的Kido新變種同以往變種有很大的不同。目前Kido惡意軟件又回歸蠕蟲病毒的功能。對(duì)此新變種的初步分析顯示，該變種的各種功能具有時(shí)效性，并且會(huì)在2009年5月3日后停止發(fā)作。

Kido新變種不僅會(huì)聯(lián)網(wǎng)自動(dòng)升級(jí)，還會(huì)下載兩個(gè)新的惡意文件到受感染計(jì)算機(jī)。其中一個(gè)文件為流氓反病毒軟件惡意程序, 名為FraudTool.Win32.SpywareProtect2009.s。該惡意程序主要通過一些位于烏克蘭的網(wǎng)站進(jìn)行傳播。 一旦該程序運(yùn)行，它會(huì)偽裝成殺毒軟件, 提示用戶必須支付49.95美元才能刪除它在用戶計(jì)算機(jī)上發(fā)現(xiàn)的一些所謂的“病毒”。

Kido新變種下載的另外一個(gè)文件為Email-Worm.Win32.Iksmas.atz蠕蟲。該電子郵件蠕蟲又被稱作Waledac。它能夠竊取用戶的數(shù)據(jù)并且大量發(fā)布垃圾電子郵件。該蠕蟲樣本在2009年1月份被初次截獲到時(shí)，很多IT專家都注意到它與Kido惡意軟件有很多相似之處。而Kido疫情的爆發(fā)規(guī)模等幾方面特征同Iksmas蠕蟲通過電子郵件造成的疫情也非常相似。

卡巴斯基實(shí)驗(yàn)室全球研究和分析組總監(jiān)Aleks Gostev這樣評(píng)論：“在當(dāng)前的形勢(shì)下，在短短12小時(shí)之內(nèi)，Iksmas蠕蟲幾次連接其位于全球的控制中心并且接收指令，開始發(fā)布大量垃圾郵件。就在這12小時(shí)內(nèi)，受控制的一臺(tái)僵尸網(wǎng)絡(luò)中的計(jì)算機(jī)就發(fā)布了多達(dá)42,298封垃圾郵件。在這些垃圾郵件中，幾乎每一封郵件都包含一個(gè)唯一的域名。很明顯，這樣做的目的是用來避免這些垃圾郵件被反垃圾郵件過濾器檢測(cè)到。 因?yàn)榉蠢]件過濾器是通過分析某一個(gè)特定域名被使用的頻率來判斷收到的郵件是否是垃圾郵件的。整體來看，我們共檢測(cè)到該蠕蟲使用了40,542個(gè)三級(jí)域名和33個(gè)二級(jí)域名。而這些域名都位于中國(guó)，并且注冊(cè)這些域名的都是不同的人，而且這些注冊(cè)人很有可能使用的都是假名。”

“一臺(tái)受Iksmas蠕蟲感染和控制的計(jì)算機(jī)在24小時(shí)內(nèi)就可以發(fā)送大約80,000封垃圾郵件，假設(shè)有五百萬臺(tái)受感染的機(jī)器，他們組成的僵尸網(wǎng)絡(luò)能夠在24小時(shí)期間發(fā)送大概4000億封垃圾郵件，其數(shù)量是非常驚人的！”

卡巴斯基實(shí)驗(yàn)室目前正在對(duì)Kido新變種進(jìn)行更詳細(xì)地技術(shù)分析。同時(shí)，卡巴斯基的專家也在對(duì)我們最新版的KKiller工具進(jìn)行改進(jìn)，增加對(duì)抗新版本蠕蟲變種的功能等。

使用卡巴斯基實(shí)驗(yàn)室安全產(chǎn)品的用戶們無須擔(dān)心，Kido蠕蟲的新變種(Net-Worm.Win32.Kido.js)以及其下載的Iksmas變種都能夠被卡巴斯基相關(guān)產(chǎn)品的啟發(fā)式技術(shù)所查殺。