Joe Stewart, riaditeľ výskumu malware v spoločnosti SecureWorks, odprezentoval na tohtoročnej konferencii RSA zaujímavú štúdiu botnetov, podľa ktorej je 11 najväčších botnetov sveta, špecializujúcich sa na posielanie spamu, schopných odoslať behom jediného dňa viac ako 100 miliárd emailov. Na rozosielanie spamu je používaných minimálne 1 milión infikovaných počítačov.

Najväčším z pomedzi týchto botnetov je Srizbi.
Veľkosť botnetu Srizbi, známeho taktiež pod menom Cbeplay, alebo Exchanger, sa odhaduje na 315,000 botov, ktorý rozposielajú denne 60 miliónov emailov.

Notoricky známy botnet Storm, ktorý sa nachádzal v minulosti na miliónoch a miliónoch počítačov v tejto chvíli okupuje približne 85,000 počítačov, z ktorých je na spamovanie určených “len” asi 40% z nich. Storm je momentálne piatym najsilnejším spam-botnetom.

Druhým najväčším spam-botnetom je Bobax, ktorý momentálne “okupuje” približne 185,000 počítačov. Bobax je schopný odoslať 9 miliard emailov každý deň a je považovaný za jeden zo starších botnetov (pravdepodobne existuje už od roku 2006). Jeho sila v tejto dobe však bola oveľa nižšia a rovnako aj počet infikovaných počítačov bol ďaleko nižší, ako je tomu dnes. Bezpečnostní experti zo spoločnosti Damballa tvrdia, že botnet Kraken, je len nová podoba botnetu Bobax.

Vo všeobecnosti je identifikácia botnetov veľmi namáhavá činnosť. Pokúsiť sa však odhadnúť veľkosť, silu, či počet zombie v botnete je prakticky nemožné a to hlavne u veľmi sofistikovaných botnetov, ako Storm, či MayDay. Stewart si však myslí, že je schopný približne odhadnúť silu spam sekcie botnetu. V rámci výskumu si označkoval každý botnet a z odtlačku (fingerprint) SMTP komunikácie získal všetky potrebné dáta, ktoré mu pomohli určite jednotlivé botnety. Vďaka týmto signatúram emailov sa Stewartovi podarilo odhadnúť počet infikovaných počítačov, ktoré rozosielajú spam, za pomoci analýzy jednodňového emailového trafficu. Pri porovnávaní predpokladaných výsledkov a výsledkov z monitorovaných serverov získal Stewart dáta, ktoré sa takmer úplne zhodovali.

Po sérii mnohých článkov u nás sa ma mnoho čitateľov pýtalo, ako je to vlastne s tými štatistikami. Každá spoločnosť zaoberajúca sa problematikou malwaru a hlavne botnetov, uvádza absolútne rozdielne čísla čo do počtu infikovaných počítačov, tak aj veľkosti botnetu, rozloženia, atď. I keď môžu byť tieto rozdielne čísla veľmi mätúce, je ich treba vždy brať s rezervou. V prvom rade si je potrebné uvedomiť, že tieto spoločnosti zarábajú na týchto výskumoch, respektíve na softvéri, ktorý slúži na ochranu proti malwaru. Botnety, respektíve malware, ktorý vytvára botnety, je dnes tak sofistikovaný, že využíva napríklad úplne kryptovanie celej komunikácie, decentralizáciu siete (na spôsob p2p) a mnoho iných vymožeností, ktoré výskumníkom sťažujú, alebo úplne zabraňujú získať dostatok informácií pre likvidáciu botnetu, či dokonca priame ohrozenie autorov. Preto sú čísla väčšinou hrubé odhady často len častí botnetov, ktoré výskumníci odhalili, alebo aspoň o nich majú akú takú predstavu. Skutočné počty poznajú však len tvorcovia botnetov.

(via)