Aunque la botnet original estaba neutralizada y bajo control, investigadores de Kaspersky Lab descubrieron en enero que una segunda versión estaba operando con malware construido utilizando los mismos códigos que la botnet original y como la primera versión, la botnet utilizaba los odenadores infectados para enviar spam, robar datos personales y llevar a cabo el ataque DDoS hacia objetivos específicos.

Para desactivar esta botnet P2P, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project pusieron en marcha una operación de sinkholing creando una red global de equipos distribuidos que se instalaron en la infraestructura de la botnet. A medida que más máquinas infectadas se neutralizaban, la arquitectura P2P debilitaba su fuerza de forma exponencial perdiendo el control de los equipos.

Con la mayoría de las redes de bots conectados al sinkholing, los expertos de Kaspersky Lab pueden utilizar la minería de datos para realizar un seguimiento de las infecciones por el número y su ubicación geográfica. Hasta la fecha, Kaspersky Lab ha contado con 116.000 direcciones IP infectadas ya neutralizadas, casi el triple del Hlux/Kelihos original.

En cuanto a las versiones del sistema operativo de los equipos infectados Windows XP ocupa el 84 por ciento del total.

Por países, Polonia y Estados Unidos están a la cabeza de infecciones, con gran proporción tabién en países como India, México, Argentina y España.

Fuente: muyseguridad