Conficker — где и сколько

Некоммерческая организация Shadowserver Foundation, один из основателей и участников Рабочей группы по борьбе с Conficker (CWG), обновила и систематизировала статистику по распространению этого сетевого червя.

Бездействие Conficker (в классификации ЛК Net-Worm.Win32.Kido) отвлекло от него внимание интернет-сообщества в пользу более актуальных проблем. Однако потенциальную угрозу рано скидывать со счетов, ибо дремлющая армия Conficker насчитывает, по данным CWG, более 6 млн. участников сетевых процессов, готовых подчиниться чужой недоброй воле. Понятно, что статистика по IP-адресам с признаками заражения, публикуемая CWG, отражает ориентировочный верхний предел и не учитывает, например, возможность повторного инфицирования. Использование NAT, DHCP и портативных устройств тоже затрудняет оценку истинных масштабов заражения.

Исследователи Shadowserver проанализировали данные CWG о распространении Conficker и с июля пристально следят за изменением ситуации. Они составили сравнительные таблицы распределения трех основных вариантов червя (А+В и С) по региональным доменным зонам и ASN-сетям. Для каждого ASN-участника был введен также показатель серьезности угрозы — процент зараженных IP от всего адресного пространства. Актуальные результаты для 183 региональных TLD и 500 наиболее неблагополучных ASN публикуются на динамически обновляемой странице. Присутствие Conficker демонстрируют более 12 тыс. ASN-сетей, но в динамической таблице учтены только те из них, в которых найдено не менее 10 IP-очагов потенциальной угрозы.

Согласно результатам анализа, число заражений вариантами А и В растет, а С — уменьшается. В настоящее время наибольшее количество инфицированных ASN-сетей обнаружено в доменной зоне .ru — более 1 тысячи. В США их около 600, на Украине — более 400, в Румынии, Бразилии и Южной Корее более 200. Лидером по числу зараженных IP является главная ASN-сеть Китая, Chinanet, но 1 миллион — лишь немногим более 1% ее адресного пространства. Высокий процент поражения — 10-20% и выше — наблюдается, как правило, в небольших сетях.

Из российских ASN в TOP 500 попали номера многих региональных провайдеров, а также питерского филиала ОАО «Северо-Западный Телеком», ВолгаТелеком, Уралсвязьинформ, ЦентрТелеком, ВымпелКом, ЮТК, НКС, Транстелеком, Ростелеком, Corbina, Синтерра, DiNet, столичного Scartel, DiNet, SkyNet, Комкор, МГТС, МСС, МТС, NetByNet, московского «Комстар-директ», Искрателеком.

В качестве дополнительной информации на динамической странице приведен перечень бесплатного инструментария для обнаружения и лечения Conficker, предоставляемого разными производителями.