Os analistas da Kaspersky Lab detectaram mais uma nova versão do programa malicioso Kido, também conhecido como Conficker e Downadup.

Durante a noite de 8 para 9 de Abril, os computadores infectados com o vírus Trojan-Downloader.Win32.Kido, também conhecido como Conficker.c, contactaram entre si através de P2P, induzindo as máquinas infectadas a descarregar novos ficheiros maliciosos, activando desta forma a botnet do Kido.

A última variação do Kido difere significativamente das anteriores. Depois de, numa primeira fase, ter sido um worm, infectando o maior número possível de computadores, transformou-se depois em trojan-downloader (descarregador de Trojans) e agora assume, de novo, a forma de worm. As análises iniciais sugerem que tem uma funcionalidade limitada por data, devendo apenas ser activo até ao próximo dia 3 de Maio.

Além de descarregar actualizações de si próprio, agora o Kido também descarrega dois novos ficheiros nas máquinas infectadas. Um deles é uma aplicação antivírus furtiva, detectada como FraudTool.Win32.SpywareProtect2009.s, também chamada scareware, que se está a expandir a partir da Ucrânia. Uma vez em funcionamento, o programa mostra frequentemente ao utilizador uma interface que lhe pergunta se quer apagar “vírus detectados” por um preço de 49,95 dólares. Este antivírus falso chega a ser tão insistente que muitos utilizadores acabam por clicar na oferta para pagar pela desinfecção, sendo vítimas da consequente burla.

O segundo ficheiro que o Kido descarrega nos sistemas infectados é o programa email-Worm.Win32.Iksmas.atz. Trata-se de um worm, também conhecido como Waledac, que está preparado para roubar dados e para enviar spam (por exemplo, ofertas para empréstimos ou produtos farmacêuticos).

Quando este programa malicioso foi detectado pela primeira vez, em Janeiro, muitos peritos detectaram semelhanças entre o Kido e o vírus Iksmas. Com efeito, a epidemia do Kido é praticamente igual à epidemia de e-mail causada no seu tempo pelo Iksmas.