Kaspersky Lab ha anunciado que sus analistas han detectado una nueva versión del programa malicioso Kido (también conocido como Conficker y Downadup). Durante la noche del 8 al 9 de abril, los ordenadores infectados con el virus Trojan-Downloader.Win32.Kido se contactaron entre sí a través de P2P, induciendo a las máquinas infectadas a descargar nuevos ficheros maliciosos, activando de esta forma el botnet de Kido.
La última variante de Kido difiere significativamente de las anteriores: después de pasar de ser un gusano tratando de infectar el mayor número posible de ordenadores a convertirse en un descargador de troyanos, el malware es ahora, de nuevo, un gusano. Los análisis iniciales sugieren que tiene funcionalidad limitada por fecha, hasta el 3 de mayo de 2009.
Además de descargar actualizaciones de sí mismo, ahora Kido también descarga dos nuevos ficheros en las máquinas infectadas. Uno de ellos es una aplicación antivirus furtiva (detectada como FraudTool.Win32.SpywareProtect2009.s), también llamada scareware, que se está expandiendo desde sitios ubicados en Ucrania. Una vez que el programa está funcionando, se muestra al usuario con frecuencia una interfaz que le pregunta si quiere borrar virus detectados por un precio de 49,95 dólares. Este antivirus falso llega a ser tan molesto que muchos usuarios harán click en la oferta para pagar por la desinfección, siendo víctima de la consiguiente estafa.
El segundo fichero que descarga Kido en los sistemas infectados es el programa email-Worm.Win32.Iksmas.atz. Se trata de un gusano, también conocido como Waledac, que está capacitado para robar datos y para enviar spam (por ejemplo, ofertas para préstamos o productos farmacéuticos).
Cuando este programa malicioso fue detectado por primera vez en enero de 2009, muchos expertos apreciaron la similitud existente entre Kido y el virus Iksmas. La epidemia de Kido es prácticamente igual que la epidemia de e-mail que causó en su día Iksmas.
