"Лаборатория Касперского" сообщила об обнаружении новой версии вредоносной программы Kido, также известной как Conficker и Downadup. В ночь с 8 на 9 апреля компьютеры, зараженные Trojan-Downloader.Win32.Kido, взаимодействуя друг с другом через P2P-соединения, отдали команду другим зараженным машинам на загрузку новых файлов. Таким образом активизировался ботнет Kido.

Новый вариант Kido отличается от своих предыдущих версий, и теперь это снова червь. Первичный анализ кода позволяет говорить о том, что текущая версия Kido будет функционировать до 3 мая текущего года.

Помимо загрузки самообновления Kido загружает на зараженные компьютеры два новых файла. Первый из них, FraudTool.Win32.SpywareProtect2009.s — это поддельный антивирус, который размещен на серверах, расположенных на территории Украины. При запуске программа предлагает "удалить найденные вирусы", требуя за это деньги - 49.95 долл.

Второй файл, который Kido устанавливает на зараженные системы, — Email-Worm.Win32.Iksmas.atz, также известный как Waledac. Это почтовый червь с функционалом кражи данных и рассылки спама. Iksmas (Waledac) появился в январе 2009 г., и еще тогда многие эксперты заметили некоторое сходство алгоритмов его работы с Kido. Все время, пока проходила эпидемия Kido, параллельно шла не менее массовая эпидемия Iksmas в электронной почте.

По данным экспертов "Лаборатории Касперского", за 12 часов Iksmas, установленный новой версией Kido, неоднократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама. Всего за 12 часов работы одного бота он отправил 42 298 спам-писем. При этом практически в каждом письме используется уникальный домен, чтобы антиспам-технологии не смогли обнаружить такую рассылку, основываясь на методах анализа частоты использования конкретного домена. Всего зафиксировано использование 40 542 доменов третьего уровня и 33 доменов второго уровня. По мнению специалистов, практически все эти сайты находятся в Китае и зарегистрированы на разных людей, вероятно, вымышленных.

В настоящее время в "Лаборатории Касперского" ведется детальный анализ новой модификации Kido. Специалисты компании работают над созданием новой версии утилиты KKiller с учетом функциональных особенностей обновленного сетевого червя. Новый вариант червя Kido (Net-Worm.Win32.Kido.js) с самого начала детектировался эвристически (как HEUR:Worm.Win32.Generic) точно так же, как и загружаемый им вариант Iksmas.