Vigilando la red P2P de Kido-Conficker

Mientras analizábamos el comportamiento de la red Kido, desarrollamos una aplicación que nos ayudó a comprender en detalle las comunicaciones peer-to-peer del malware, que se han utilizado para distribuir las actualizaciones en la última semana. En un periodo de observación de 24 horas hemos podido identificar 200652 IPs únicas participando en la red, mucho menos que las que estimaban los conteos iniciales de las infecciones de Kido.

Esto se debe en especial al hecho de que sólo las últimas variantes de Kido participan en la red peer-to-peer y sólo una fracción de los nodos infectados con nodos de variantes anteriores se han actualizado con nuevas variantes.

En cuestiones de distribución global, estamos viendo la figura prevista por los primeros conteos de la infección. Brasil y Chile sobresalen en el recuento de ordenadores que forman parte de la red P2P:

Sin embargo, parece que ninguna región se salva de este problema en todo el mundo. La densidad de puntos de un país particular no representa el recuento de la infección debido a que la resolución del IP a la base de datos de GeoLocation que se usa es variable:

Un vistazo más cercano a los Estados Unidos revela que las partes este de los EEU tienen más nodos peer-to-peer que la parte oeste:

Un hecho interesante al observar la red es que se puede identificar el centro de la red (que está bien conectada) en poco tiempo debido al gran caché peer que mantiene cada nodo. En los primeros 20 minutos, notamos que el 10,4% de la población total de peers no mostró el crecimiento exponencial que se habría esperado de cachés peer más pequeñas.

Por lo tanto se puede asumir que una vez que un nodo se encuentra con algún otro nodo infectado que ya está conectado a la red, puede mantener una conectividad estable y las particiones de la red son improbables. Sin embargo, encontrar este primer nodo parece ser bastante difícil para algunos hosts: hemos visto varios nodos que no estaban conectados a ningún otro nodo.