Исследование

Наблюдения за P2P-сетью Kido/Conficker

Анализ поведения сети Kido позволил нам создать утилиту, с помощью которой мы смогли заглянуть внутрь использовавшихся всю прошлую неделю для «обновления» зараженных машин механизмов файлообменных процессов червя. За 24 часа наблюдений мы идентифицировали 200’652 уникальных IP участников сети, что гораздо меньше предварительных оценок числа зараженных Kido компьютеров.

Во многом так получилось потому, что в файлообменном процессе участвуют лишь самые последние версии Kido, до которых «обновилась» только незначительная часть машин, зараженных более ранними версиями зловреда.

Что касается распределения зараженных компьютеров, то мы наблюдаем картину, которая была изначально прогнозируема. По количеству участников сети «отличились» Бразилия и Чили:

Но, похоже, что в мире нет ни одного региона, который не был бы затронут эпидемией Kido. (Количество точек на карте не является показателем степени зараженности той или иной страны, поскольку в используемой нами базе данных GeoLocation точность определения географического расположения IP-адреса отличается для разных стран и регионов планеты.)

Более подробный взгляд на карту США показывает, что восточные области страны имеют больше действующих файлообменных узлов, чем западные:

Интересно, что наблюдая за сетью можно быстро идентифицировать (плотно взаимосвязанное) ядро сети, благодаря присутствию в каждом узле большого кэша клиентов. За первые 20 минут мы обнаружили, что 10,4% от общего количества участников сети не демонстрируют экспоненциального роста числа подключенных клиентов, которого следовало бы ожидать от участников с небольшими кэшами:

Следовательно, можно утверждать, что, как только один узел находит другой подключенный к сети инфицированный узел, между ними создается устойчивое соединение, которое вряд ли может распасться. Однако для некоторых хостов поиск первого инфицированного узла может оказаться весьма трудной задачей: мы видели несколько узлов, которые не имели соединений ни с какими другими узлами сети.

Наблюдения за P2P-сетью Kido/Conficker

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике