TP. Hồ Chí Minh ngày 15/04/2009 – Kaspersky Lab thông báo đã phát hiện được một phiên bản mới của chương trình độc hại Kido (còn gọi là Conficker và Downadup). Trong hai đêm ngày 08/04/2009 và 09/04/2009, những máy vi tính bị nhiễm Trojan-Downloader.Win32.Kido (còn gọi là Conficker.c) đã kết nối với nhau thông qua giao thức P2P nhằm ra lệnh cho các máy bị nhiễm virus tự động tải xuống những tập tin độc hại mới đồng thời kích hoạt một mạng botnet Kido.

Biến thể mới nhất này của Kido khác biệt đáng kể so với các biến thể trước đó là chương trình độc hại này bây giờ lại một lần nữa quay lại ở dạng sâu máy tính. Qua bước đầu phân tích nhận thấy nó có chức năng giới hạn đến ngày 03/05/2009.

Tại máy bị nhiễm, khi tải về bản cập nhật cho chính nó, Kido cũng đồng thời tải về hai tập tin mới. Tập tin thứ nhất là FraudTool.Win32.SpywareProtect2009.s, đó là một chương trình antivirus lừa đảo, có nguồn gốc lây lan từ các trang web nằm ở Ukraine. Khi tập tin này chạy, một giao diện lừa đảo thông báo "đã nhận dạng được các virus" trong máy tính của bạn và mời chào bạn trả 49,95 USD để tiêu diệt các virus này.

Tập tin thứ 2 là Email-Worm.Win32.Iksmas.atz (còn được gọi là Waledac), có khả năng ăn cắp dữ liệu và gửi thư rác. Waledac lần đầu tiên được phát hiện vào tháng 1/2009, nhiều chuyên gia CNTT nhận thấy có sự giống nhau giữa Iksmas và Kido. Quá trình lây nhiễm của Kido qua email tương tự như Iksmas.

Trong vòng hơn 12 giờ, Iksmas đã liên tục kết nối tới các trung tâm kiểm soát của nó khắp nơi trên thế giới để nhận lệnh gửi thư rác. Và cũng chỉ trong 12 giờ, mỗi bot đã  phát tán ra ngoài 42.298 thư rác. Người đứng đầu Nhóm Nghiên cứu và Phân tích của Kaspersky Lab, Aleks Gostev đã nhận xét về tình hình hiện nay như sau: "Hầu như mỗi email chứa một tên miền duy nhất. Điều này rõ ràng được thực hiện nhằm vượt qua sự ngăn chặn của các bộ lọc chống thư rác bằng cách sử dụng phương pháp phổ biến là phân tích tần số mà một domain riêng biệt được sử dụng. Nói chung, chúng tôi đã phát hiện ra việc sử dụng khoảng 40.542 domain cấp 3 và 33 domain cấp 2. Hầu như tất cả các trang web này được đặt tại Trung Quốc và được đăng ký dưới tên của nhiều người khác nhau và khả năng chúng được hư cấu thì chiếm đa số".

Aleks Gostev đã cho biết thêm: "Một tính toán đơn giản cho thấy rằng cứ một trong những Iksmas bot gửi ra khoảng 80.000 email trong vòng 24 giờ. Vậy giả sử rằng có 5 triệu máy tính bị nhiễm, các botnet có thể gửi ra đến 400 tỷ bức thư rác trong khoảng thời gian là 24 giờ!"

Hiện tại, Kaspersky Lab đang thực hiện những phân tích chi tiết các biến thể mới của Kido. Các chuyên gia của hãng đang làm việc trên một phiên bản mới của tiện ích KKiller (tiện ích diệt Kido) đồng thời tham gia vào việc đánh giá những chức năng đặc trưng của các phiên bản mới nhất đối với loại worm này.

Người sử dụng các sản phẩm của Kaspersky Lab không cần phải lo ngại bởi vì các phiên bản mới của Kido worm (Net-Worm.Win32.Kido.js) đã được nhận dạng khám phá từ lúc bắt đầu (như HEUR: Worm.Win32.Generic), bao gồm cả những biến thể mới của Iksmas mà nó tải về.