На текущий момент ботнет Kelihos, известный также как Hlux, содержит порядка 1 тыс. активных IP-адресов, сообщает «Лаборатория Касперского». Эксперты отмечают, что большая часть ботов работают на базе Windows XP (86,19%), а почти половина (44%) расположена в Польше. Известно также, что 1,2% машин работают под управлением Windows Server 2008, 3,59% - под Windows Server 2008 R2, а 7,08% - под Windows 7.
Антивирусной компании удалось получить такие данные в результате мониторинга подключений к sinkhole-серверу ЛК, который стал частью ботнета весной 2012 года.
«Поскольку ботнет имеет горизонтальную пиринговую архитектуру, до сих пор может существовать независимое подмножество первоначального ботнета, которое ни разу не соединялось с нашим sinkhole-сервером. Однако мы полагаем, что число ботов в таком подмножестве должно уменьшаться со временем, поскольку ботоводы, скорее всего, на них тоже махнули бы рукой и сосредоточились на построении «третьей версии» Hlux», - подчеркнул Стефан Ортлоф, эксперт «Лаборатории Касперского».
Стоит отметить, что тенденция сокращения размеров Hlux/Kelihos резко начала проявляться в июле прошлого года. Напомним, что при первоначальной попытке деактивировать ботнет, осуществляемой в сентябре 2011 года, эксперты по вопросам информационной безопасности зафиксировали свыше 49 тыс. уникальных IP-адресов. Затем, в марте 2012 года этот показатель составил порядка 110 тысяч. В последний раз ликвидация Кelihos осуществлялась специалистами из «ЛК» на конференции RSA в текущем году совместно с экспертами компании CrowdStrike.
Источник: SecurityLab
|