По оценке «Лаборатории Касперского», в настоящее время в состав ботнета-спамера Hlux, он же Kelihos, входят порядка 1 тыс. активных пиров (IP-адресов). Большинство зараженных машин работают под Windows XP, около половины имеют польскую прописку. Оценка произведена по результатам мониторинга подключений к sinkhole-серверу «Лаборатории», внедренному в бот-сеть в марте прошлого года.
Как показывает статистика, размеры Hlux/Kelihos резко сократились уже к июлю 2012 года. «Ботнет становится всё меньше и меньше, ― констатирует эксперт «Лаборатории Касперского» Стефан Ортлоф, ― жертвы со временем вылечили свои компьютеры или переустановили ОС. В настоящий момент мы фиксируем в среднем около 1000 уникальных ботов в месяц». Напомним: в сентябре 2011 года, при первой совместной попытке ликвидации Hlux, «лаборанты» насчитали в его составе 49 тыс. уникальных IP-адресов, в марте 2012-го, в ходе второго «штурма», ― свыше 110 тысяч, передает cybersecurity.ru.
По данным «Лаборатории», в настоящее время более 86% активных ботов Hlux работают под Windows XP, около 15% ― под Windows Server 2008. Соответствующие заражения обнаружены в 88 странах, в этом рейтинге с заметным отрывом лидирует Польша (44%).
Поток нелегитимных сообщений, генерируемых Hlux, тоже заметно сократился. Согласно статистике Trustwave, которая исправно отслеживает производительность ботнетов-спамеров, в минувшем мае на долю Hlux приходилось около 60% почтового мусора, в июле – 17%, а в начале ноября лишь 7,6%.
Как уже неоднократно отмечалось, р2р-ботнеты обладают повышенной живучестью. Hlux, обладающий развитой пиринговой инфраструктурой, уже пережил несколько попыток свержения и каждый раз восставал в новом обличье. В 2011 году такая акция с применением sinkholing была проведена силами Microsoft, «Лаборатории Касперского» и Kyrus Tech. Ботоводы сразу начали строить новую сеть, а прежняя и доныне находится под контролем «лаборантов». В следующем году «Лаборатория Касперского» объединилась с CrowdStrike, the Honeynet Project и Dell SecureWorks против Hlux-2. Через 20 минут после перехвата контроля над бот-сетью появился Hlux-3.
В 2013 году попытку нейтрализации Hlux вживую продемонстрировал на конференции RSA Тиллман Вернер (Tillmann Werner) из CrowdStrike. К этому времени одноименный зловред в дополнение к своему основному функционалу, рассылке спама, уже научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Минувшим летом некоммерческая организация Malware Must Die объявила о нейтрализации 97 доменов, задействованных в схеме распространения Hlux, точнее, его DGA-версии. Спустя месяц эксперты стали свидетелями очередного нововведения: зловред начал использовать общедоступные черные списки для проверки репутации своих IP-адресов. Очевидно, повелители Hlux стремятся всеми силами удержать его тающую армию на плаву, хотя не исключено, что у них в рукаве еще есть сюрпризы, которые со временем всплывут во вредоносном спаме.
