Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Obserwacja sieci P2P robaka Kido/Conficker

Georg Wicherski
Kaspersky Lab Expert
Dodany 16 kwietnia 2009, 12:27 CEST

Na podstawie analizy zachowania sieciowego robaka Kido udało nam się stworzyć aplikację, która pomogła nam zbadać komunikację tego szkodnika za pośrednictwem sieci P2P, za pomocą której w zeszłym tygodniu dostarczane były uaktualnienia. W ciągu 24-godzinnej obserwacji zidentyfikowaliśmy 200 652 unikatowych numerów IP uczestniczących w sieci, o wiele mniej niż wynikało z wcześniejszych szacunków dotyczących rozmiaru epidemii Kido.

Wynika to głównie z faktu, że w sieci P2P uczestniczą tylko najnowsze warianty Kido i tylko część węzłów zainfekowanych wcześniejszymi wariantami zostało uaktualnionych nowymi modyfikacjami.

Jeżeli chodzi o globalny rozkład infekcji, sprawdziły się pierwotne szacunki dotyczące liczby zarażonych maszyn. Brazylia i Chile to regiony, które wyraźnie wyróżniają się pod względem liczby uczestników sieci P2P:

Jednak wygląda na to, że żaden region na świecie nie został oszczędzony.

Po dokładniejszym przyjrzeniu się, okazuje się, że we wschodnich częściach Stanów Zjednoczonych działa więcej węzłów peer-to-peer niż w zachodniej części:

Podczas obserwacji sieci zauważyłem interesujący fakt: ze względu na dużą pamięć podręczną uczestników sieci P2P przechowywaną na każdym węźle można szybko zidentyfikować rdzeń sieci. W ciągu pierwszych 20 minut ustaliliśmy, że 10,4% całej populacji uczestników sieci P2P nie wykazywało wzrostu wykładniczego, jakiego można by się spodziewać po mniejszych pamięciach podręcznych uczestników sieci P2P.

Można zatem przyjąć, że po tym jak węzeł znajdzie inny zainfekowany węzeł, który jest już połączony z siecią, może utrzymać stałe połączenie i podziały sieci nie są możliwe. Jednak dla niektórych hostów znalezienie takiego pierwszego węzła może być dość trudne - zauważyliśmy kilka węzłów, które nie były połączone z żadnym innym węzłem.