Conficker оказался вымогателем и спамером. Новая версия червя загружает на компьютер два вредоносных файла. Первый – это поддельный антивирус, который требует от пользователя 50 долларов за очистку компьютера от вредоносного программного обеспечения. Фальшивый антивирус, SpywareProtect 2009, загружается с серверов, находящихся на Украине. Попав на компьютер, он периодически выводит на экран сообщение о якобы обнаруженных в системе вирусах. Такие данные приводит "Лаборатория Касперского". При этом предупреждает, что фальшивый антивирус, естественно, ничего не лечит.
Второй файл, который также загружает на зараженные компьютеры Conficker, – это червь известный как Waledac. Его основное назначение – кража персональных данных и рассылка спама. В первые сутки, согласно наблюдениям специалистов "Лаборатории Касперского", всего один зараженный таким червем компьютер разослал больше 80 тысяч спам-писем. Если учесть, что по всему миру количество инфицированных компьютеров варьируется от 9 до 15 миллионов, то путем нехитрых математических вычислений можно подсчитать, что ботнет, созданный червем, способен рассылать до триллиона спам-сообщений в сутки.
Впервые атака червя Conficker была зафиксирована в октябре 2008 года. К началу 2009-го количество зараженных компьютеров приблизилось к 15 миллионам. Ботнет, образованный этими компьютерами, считается самым крупным за всю историю Интернета. И долгое время он был неактивным. Три месяца всемирная паутина жила слухами о том, что 1 апреля – день активации ботнета. Тогда сетевого апокалипсиса не случилось. И тогда же киберспециалисты предположили, что создатели червя ищут клиента, что сдать в аренду крупнейший ботнет.
"Этот гигантский ботнет был продан. Авторы червя заразили миллионы машин по всему миру и сейчас пытаются заработать именно путем продажи этого ботнета другим группам киберпреступников. Наверное, подтверждением этой теории может быть тот факт, что на компьютерах, зараженных червем Kido, появился новый червь, который занимается сбором конфиденциальной информации. И кроме этого рассылает спам, фармацевтический спам. Причем в каких-то гигантских количествах. Несколько десятков тысяч писем уходит в сутки с одного зараженного компьютера", – пояснил Александр Гостев, руководитель центра глобальных исследований и разбработки "Лаборатории Касперского".
Остановить распространение червя пытались разными путями. Основной, по которому пошли 116 стран мира, – это блокирование регистрации доменных имен, к которым ботнет обращался, чтобы получить инструкции от своих владельцев. И пока крупнейшие IT-компании мира расходовали свои ресурсы на блокировку, киберпреступники перепрофилировали червя. Теперь ему не нужно связываться с сервером, чтобы получить команду к действию, достаточно активировать один из зараженных компьютеров, который потом напрямую связывается со своими соседями по ботнету. Кстати, процент российских компьютеров, инфицированных червем, по данным компании ESET, очень высок. В марте доля семейства Conficker в общем объеме вредоносного трафика в Рунете составляла чуть больше 22 процентов – это как раз управляющий трафик от одной зараженной машины к другой. Но, как уверяют специалисты "Лаборатории Касперского", россиянам пока нечего бояться. Похоже, что наша страна на этот раз не попала в список целевой аудитории спамеров.
"Вот этот спам-бот, спам-червь, который посылает спам, обладает интересной особенностью. Он не шлет спам на адреса российских пользователей. Он вообще не посылает этот спам русскоязычным получателям. Он нацелен на рассылку спама исключительно пользователям Западной Европы и США. Поэтому для российской части Интернета никакого всплеска спама мы, к счастью, не замечаем. Для России все, к счастью, с точки зрения спама все остается на прежнем уровне", – уверен Александр Гостев.
