Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200’652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.
Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.
Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:
Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)
Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:
Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:
Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.
Наблюдения за P2P-сетью Kido/Conficker