Форум АНТИЧАТ - Создатели Conficker'a поднимают бабло на фарме

Как мы отмечали вчера, ботнет Кидо установил на зараженные компьютеры другого известного червя — Iksmas aka Waledac.

Загрузка Iksmas производилась с сервера goodnewsdigital.com, который давно известен экспертам и является одним из основных источников распространения этого червя в настоящее время.

Вариант, который был загружен Kido, детектировался Антивирусом Касперского проактивно, при помощи эвристических технологий, как HEUR:Worm.Win32.Generic. Точно так же, эвристически (HEUR:Worm.Win32.Generic) детектировался и сам новый вариант червя Kido (Net-Worm.Win32.Kido.js).

Мы решили последить за жизнью ботнета и тем, что же будет делать червь-спамбот Iksmas, попав в компьютеры.

За 12 часов, Iksmas неодократно подключался к своим центрам управления по всему миру и получал от них команды на рассылку спама.

Весь спам, прошедший прошлой ночью через ботнет, представлял из себя рекламу фармацевтических препаратов. Вот несколько произвольно выбранных примеров писем:

Код:

Subject: A unique opportunity to live healthier life!

Hot News for You http://ie.hipraputt.com/

Subject: Add power to your man's hammer

We supply porno studios since 1972. Try blue-pills and stay up with your girls! ^M

http://bv.relaxkind.com/

Subject: Hot life - our help here. Ensure your potence today!

Solution to low-sized perks http://bj.jilfawris.com/

Subject: Perfect solutions to have it hard as stone!

Your one and only online Chemist. http://zer.jilfawris.com/

Subject: She will dream of you days and nights!

Love her everywhere. http://lrmt.jilfawris.com/

Всего за 12 часов работы одного единственного бота он отправил 42’298 спам-писем.

Как вы можете заметить, в спаме есть ссылки на домены. Практически в каждом письме используется уникальный домен. Очевидно, что это сделано для того, чтобы антиспам-технологии не смогли обнаружить такую рассылку основываясь на методах анализа частоты использования конкретного домена.

Нами было зафиксировано использование 40'542 доменов третьего уровня и 33 доменов второго уровня. Все они принадлежат спамерам и компаниями, которые заказывают у них данные рассылки.

Вот пара скриншотов с данных сайтов:
http://s55.radikal.ru/i147/0904/0e/db137df16f02.jpg
http://s57.radikal.ru/i157/0904/1a/1e4a1e8102c7.jpg
Полный список доменов второго уровня, использованных в рассылке:

Код:

aromatangy.com

calmchic.com

crisppride.com

cykduhdao.com

deblanf.com

eslihos.net

fabjust.com

fadvyil.com

fadvyil.net

faynetr.com

goodcure.at

gooddoctoronline.at

gooddoctorscare.at

gooddoctorsite.at

gooddoctorworld.at

gooddruginfo.at

gooddrugonline.at

gooddrugsite.at

gooddrugworld.at

goodearthlawncare.at

gotbake.net

hereftu.net

hipraputt.com

jilfawris.com

kepiseu.com

kepiseu.net

multinew.com

plumppeak.com

relaxkind.com

uljyelsel.com

vapshei.net

yuleaware.com

zwefopcyn.com

Практически все эти сайты находятся в Китае и зарегистрированы на самых разных людей, вероятно, вымышленных.

Простой математический подсчет показывает, что один бот Iksmas отправляет примерно 80'000 писем в сутки. Если предположить, что общее количество зараженных машин составляет 5'000'000, то получается, что за одни сутки этот ботнет мог разослать примерно 400'000'000'000 (400 миллиардов!) писем со спамом.
Сабж
шаблончик у магазина больно знакомый