【51CTO.com 綜合消息】領先的信息安全解決方案提供商——卡巴斯基實驗室宣布近日監測到一種Kido惡意軟件（又名 Conficker 或者 Downadup）的新變種。4月8日及9日夜間，卡巴斯基實驗室監測到大量感染Trojan-Downloader.Win32.Kido（又名Conficker.c）的計算機開始通過P2P網絡互相聯系，并通過互聯網下載最新的惡意文件到受感染計算機，準備激活Kido僵尸網絡。

這次發現的Kido新變種同以往變種有很大的不同。目前Kido惡意軟件又回歸蠕蟲病毒的功能。對此新變種的初步分析顯示，該變種的各種功能具有時效性，并且會在2009年5月3日后停止發作。

Kido新變種不僅會聯網自動升級，還會下載兩個新的惡意文件到受感染計算機。其中一個文件為流氓反病毒軟件惡意程序, 名為FraudTool.Win32.SpywareProtect2009.s。該惡意程序主要通過一些位于烏克蘭的網站進行傳播。 一旦該程序運行，它會偽裝成殺毒軟件, 提示用戶必須支付49.95美元才能刪除它在用戶計算機上發現的一些所謂的“病毒”。

Kido新變種下載的另外一個文件為Email-Worm.Win32.Iksmas.atz蠕蟲。該電子郵件蠕蟲又被稱作Waledac。它能夠竊取用戶的數據并且大量發布垃圾電子郵件。該蠕蟲樣本在2009年1月份被初次截獲到時，很多IT專家都注意到它與Kido惡意軟件有很多相似之處。而Kido疫情的爆發規模等幾方面特征同Iksmas蠕蟲通過電子郵件造成的疫情也非常相似。

卡巴斯基實驗室全球研究和分析組總監Aleks Gostev這樣評論：“在當前的形勢下，在短短12小時之內，Iksmas蠕蟲幾次連接其位于全球的控制中心并且接收指令，開始發布大量垃圾郵件。就在這12小時內，受控制的一臺僵尸網絡中的計算機就發布了多達42,298封垃圾郵件。在這些垃圾郵件中，幾乎每一封郵件都包含一個唯一的域名。很明顯，這樣做的目的是用來避免這些垃圾郵件被反垃圾郵件過濾器檢測到。 因為反垃圾郵件過濾器是通過分析某一個特定域名被使用的頻率來判斷收到的郵件是否是垃圾郵件的。整體來看，我們共檢測到該蠕蟲使用了40,542個三級域名和33個二級域名。而這些域名都位于中國，并且注冊這些域名的都是不同的人，而且這些注冊人很有可能使用的都是假名。”

“一臺受Iksmas蠕蟲感染和控制的計算機在24小時內就可以發送大約80,000封垃圾郵件，假設有五百萬臺受感染的機器，他們組成的僵尸網絡能夠在24小時期間發送大概4000億封垃圾郵件，其數量是非常驚人的！”

卡巴斯基實驗室目前正在對Kido新變種進行更詳細地技術分析。同時，卡巴斯基的專家也在對我們最新版的KKiller工具進行改進，增加對抗新版本蠕蟲變種的功能等。

使用卡巴斯基實驗室安全產品的用戶們無須擔心，Kido蠕蟲的新變種(Net-Worm.Win32.Kido.js)以及其下載的Iksmas變種都能夠被卡巴斯基相關產品的啟發式技術所查殺。