Компания «Доктор Веб» предупреждает о новой модификации полиморфного сетевого червя Win32.HLLW.Shadow.based (также известного под именами Kido/Conficker) обеспечивающего основной функционал этой бот-сети. С 1 апреля прогнозируется переход бот-сети на новый режим работы.
Работа бот-сети Shadow завтра, 1 апреля 2009 года, перейдет на новую стадию. На компьютерах, зараженных ранее различными модификациями полиморфного червя Win32.HLLW.Shadow.based, появившимися в феврале и марте этого года, будет произведено обновление вредоносного ПО, в результате чего будет запущен генератор адресов к заранее подготовленным сайтам для получения с них инструкций по дальнейшей работе. Каждые сутки будет генерироваться 50000 адресов, среди которых будет выбираться 500 адресов, и уже через них будут происходить попытки обновления вредоносного ПО. При этом процесс обновления будет тщательно регулироваться таким образом, чтобы не создавать значительную нагрузку на хостинг-серверы, на которых расположены данные вредоносные серверы. Подобной работе бот-сети воспрепятствовать будет значительно сложнее.
Напомним, что Win32.HLLW.Shadow.based для своего распространения использует сразу несколько каналов, среди которых выделяются съёмные носители и сетевые диски. Червь также может распространяться с использованием стандартного для Windows-сетей протокола SMB. При этом для организации удалённого доступа к компьютеру Win32.HLLW.Shadow.based перебирает наиболее часто встречающиеся способы задания пароля, а также пароли из своего словаря. Наконец, вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критического обновления, описанного в бюллетене Microsoft MS08-067.
Компания «Доктор Веб» обращает особое внимание, что асоциальные действия совершают не только создатели Win32.HLLW.Shadow.based, но и пользователи, которые не обращают внимания на заражения своих компьютеров модификациями этих червей, являясь, тем самым, активными участниками бот-сети Shadow, и способствуют ее дальнейшему разрастанию и функционированию.
Для борьбы с бот-сетью Shadow, перешедшей на новую стадию, для пользователей антивирусных продуктов других производителей компания «Доктор Веб» рекомендует:
1.Незамедлительно установить на используемую систему все актуальные обновления, т.к. сетевой червь Win32.HLLW.Shadow.based активно использует известные уязвимости ОС семейства Windows.
2.Произвести обновление вирусных баз.
3.Если Ваш производитель антивируса не детектирует этого червя или не лечит от него систему, необходимо воспользоваться актуальной версией бесплатной антивирусной утилиты Dr.Web CureIt! и произвести полное сканирование зараженной системы.