Kaspersky Lab Kido’nun yeni sürümünü analiz ediyor

Kaspersky Lab

Kido''nun yeni sürümünü analiz ediyor

Güvenli içerik yönetimi çözümlerinin lider geliştiricisi Kaspersky Lab, Conficker ve Downadup olarak da bilinen Kido zararlı programının yeni bir sürümünün saptanması üzerine programın gelişimine yönelik bir analiz gerçekleştirdi., Eski versiyonlarından belirgin bir şekilde farklılık gösteren Kido''nun bu en son sürümünün, yapılan ilk analizlere göre 3 Mayıs 2009''a kadar sınırlandırılmış bir işlevselliğe sahip olduğunu hatırlatan Kaspersky Lab uzmanları, 8 Nisan''ı 9 Nisan''a bağlayan gece Trojan-Downloader.Win32.Kido (Conficker.c) yazılımının bulaştığı bilgisayarların birbirleriyle P2P ağlar üzerinden iletişime geçerek  yeni zararlı dosyaları indirmeye başladığını ve bu sayede Kido botnet''ini aktive etiğini belirtti.

Kido bulaştığı cihazlara kendine ait güncellemelerin yanında iki yeni dosya daha indiriyor. Bunlardan ilki FraudTool.Win32.SpywareProtect2009.s olarak adlandırılan ve Ukrayna merkezli sitelerden yayılan bir sahte antivirüs uygulaması. Bu uygulama çalıştığında, ''saptanan virüslerin" 49.95 dolar karşılığında silinmesini öneren bir ifade beliriyor.

Kido tarafından sisteme indirilen ikinci dosya ise Email-Worm.Win32.Iksmas.atz olarak tanımlanan bir e-posta solucanı. Bu e-posta solucanı aynı zamanda spam içerik göndermekte ve veri çalmakta kullanılan Waledac olarak da biliniyor. Bu zararlı yazılım Ocak 2009''da ilk defa saptandığında birçok bilişim uzmanı Kido ve Iksmas arasında bir benzerlik olduğunu belirtmişti.  Kido salgınının yaşandığı dönemde Iksmas''ın sebep olduğu benzer boyutlarda bir spam e-posta salgını yaşanmıştı.

''12 saati aşan bir periyot boyunca Iksmas, tüm dünyadaki farklı kontrol merkezlerine birçok kez bağlanarak spam içerik gönderimini tetikleyen emirler aldı. Sadece 12 saat içinde tek bir bot 42.398 spam mesaj gönderdi" yorumunu yapan Kaspersky Lab Küresel Araştırma ve Analiz Takımı Başkanı Aleks Gostev ayrıca şunları belirtti: ''Sanal olarak her e-posta mesajı benzersiz bir alan adı içeriyor. Bu işlem belirli bir alan adının kullanım sıklığı temeliyle çalışan anti-spam filtrelerince saptanmayı önlemek için yapılıyor. Toplamda 40.542 adet üçüncü seviye ve 33 adet ikinci seviye alan adının kullanımını belirledik. Sanal olarak bu sitelerin tamamı Çin''de bulunuyor ve muhtemelen uydurulmuş birçok farklı insan adına kayıtları bulunuyor. Tek bir Iksmas bot''u 24 saat içinde yaklaşık 80.000 e-posta gönderebiliyor. Bu zararlı programın 5 milyon cihaza bulaştığını düşünürsek, basit bir hesaplamayla tüm botnet''in 24 saatte yaklaşık 400 milyar spam e-posta gönderebileceği sonucuna varıyoruz"

Kaspersky Lab şu anda Kido''nun yeni versiyonu hakkında detaylı bir analiz gerçekleştiriyor. Şirket uzmanları solucanın son sürümündeki işlevlerini göz önünde bulundurarak virüsü sistemden temizleyen KKiller uygulamasının yeni bir versiyonunu geliştiriyorlar. Kaspersky Lab ürünlerinin kullanıcıları için endişe verici herhangi bir durum bulunmamakla birlikte Kido solucanının yeni sürümü (Net-Worm.Win32.Kido.js) önceden beri indirdiği Iksmas türevi nedeniyle sezgisel olarak (HEUR:Worm.Win32.Generic) saptanabiliyor.