Архив новостей

Conficker — где и сколько

Некоммерческая организация Shadowserver Foundation, один из основателей и участников Рабочей группы по борьбе с Conficker (CWG), обновила и систематизировала статистику по распространению этого сетевого червя.

Бездействие Conficker (в классификации ЛК Net-Worm.Win32.Kido) отвлекло от него внимание интернет-сообщества в пользу более актуальных проблем. Однако потенциальную угрозу рано скидывать со счетов, ибо дремлющая армия Conficker насчитывает, по данным CWG, более 6 млн. участников сетевых процессов, готовых подчиниться чужой недоброй воле. Понятно, что статистика по IP-адресам с признаками заражения, публикуемая CWG, отражает ориентировочный верхний предел и не учитывает, например, возможность повторного инфицирования. Использование NAT, DHCP и портативных устройств тоже затрудняет оценку истинных масштабов заражения.

Исследователи Shadowserver проанализировали данные CWG о распространении Conficker и с июля пристально следят за изменением ситуации. Они составили сравнительные таблицы распределения трех основных вариантов червя (А+В и С) по региональным доменным зонам и ASN-сетям. Для каждого ASN-участника был введен также показатель серьезности угрозы — процент зараженных IP от всего адресного пространства. Актуальные результаты для 183 региональных TLD и 500 наиболее неблагополучных ASN публикуются на динамически обновляемой странице. Присутствие Conficker демонстрируют более 12 тыс. ASN-сетей, но в динамической таблице учтены только те из них, в которых найдено не менее 10 IP-очагов потенциальной угрозы.

Согласно результатам анализа, число заражений вариантами А и В растет, а С — уменьшается. В настоящее время наибольшее количество инфицированных ASN-сетей обнаружено в доменной зоне .ru — более 1 тысячи. В США их около 600, на Украине — более 400, в Румынии, Бразилии и Южной Корее более 200. Лидером по числу зараженных IP является главная ASN-сеть Китая, Chinanet, но 1 миллион — лишь немногим более 1% ее адресного пространства. Высокий процент поражения — 10-20% и выше — наблюдается, как правило, в небольших сетях.

Из российских ASN в TOP 500 попали номера многих региональных провайдеров, а также питерского филиала ОАО «Северо-Западный Телеком», ВолгаТелеком, Уралсвязьинформ, ЦентрТелеком, ВымпелКом, ЮТК, НКС, Транстелеком, Ростелеком, Corbina, Синтерра, DiNet, столичного Scartel, DiNet, SkyNet, Комкор, МГТС, МСС, МТС, NetByNet, московского «Комстар-директ», Искрателеком.

В качестве дополнительной информации на динамической странице приведен перечень бесплатного инструментария для обнаружения и лечения Conficker, предоставляемого разными производителями.

Conficker — где и сколько

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике