Наблюдения за P2P-сетью Kido/Conficker

akok

Команда форума
Администратор
Сообщения
15,769
Симпатии
12,723
Баллы
2,203
#1
Георг

Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200'652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.

Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.

Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:

proxy.php?image=http%3A%2F%2Fpic.ipicture.ru%2Fuploads%2F090418%2F36563%2FCkSVS9R4Gl.png&hash=e4c9976d6aa625050b0911e5b2f14b0b

Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)

proxy.php?image=http%3A%2F%2Fpic.ipicture.ru%2Fuploads%2F090418%2F36563%2FVh442BV274.png&hash=e199c3e649f32cbbb0e65425da860976

Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:

proxy.php?image=http%3A%2F%2Fpic.ipicture.ru%2Fuploads%2F090418%2F36563%2FqpcJy2QBVG.png&hash=3eebd5e4fa2024b7a09534b435739e43

Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:

proxy.php?image=http%3A%2F%2Fpic.ipicture.ru%2Fuploads%2F090418%2F36563%2F5sQhyzctP5.png&hash=7000218effebac50da0e2cb5cd2dbcc6

Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.

Источник
 
Сверху Снизу