Estadísticas de Srizbi

Ya hablaba en anteriores posts sobre Srizbi la botnet más grande existente y que mas spam genera.

Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:


Windows 2000 : 47.44%
Srizbi Ethernet : 15.98%
Linux 2.6.8 : 15.81%
UNKNOWN : 11.77%
Windows XP : 3.96%
Windows XP/2000 : 2.51%
Linux 2.5 : 0.93%
Linux 2.4/2.6 : 0.76%
Windows 98 : 0.34%
Srizbi ADSL? : 0.25%
Linux 2.4 : 0.07%
Windows SP3 : 0.03%
Solaris 10 : 0.03%
Solaris 8 : 0.02%
Solaris 9 : 0.02%
Linux 2.0.3x : 0.02%
Windows 95 : 0.01%
Windows 95b : 0.01%
FreeBSD 4.4 : 0.01%
Linux 2.2 : 0.01%
Windows NT : 0.01%
Novell NetWare : 0.00%
NetBSD 1.6 : 0.00%
NMAP syn : 0.00%
NetCache Data : 0.00%
Novell Netware : 0.00%
PocketPC 2002 : 0.00%
CacheFlow CacheOS : 0.00%
Linux 2.5/2.6 : 0.00%
Mysterious NAT : 0.00%
NetBSD 1.6X : 0.00%
AIX 4.3.2 : 0.00%
Tru64 v5.1a : 0.00%
NetBSD 1.3 : 0.00%
Windows 2003 : 0.00%
Tru64 4.0 : 0.00%
NetBSD 1.6Z : 0.00%
Eagle Secure : 0.00%
SymbianOS 7 : 0.00%
Solaris 7 : 0.00%
Inktomi crawler : 0.00%
OpenVMS 7.2 : 0.00%
Novell IntranetWare : 0.00%
Windows ME : 0.00%
SymbianOS 6048 : 0.00%
Windows 3.11 : 0.00%
FreeMiNT 1 : 0.00%
RISC OS : 0.00%
QNX demodisk : 0.00%
Nokia IPSO : 0.00%
Tru64 5.0 : 0.00%
Sony Playstation : 0.00%
Windows CE : 0.00%
ULTRIX 4.5 : 0.00%
NetCache 5.2 : 0.00%
Novell BorderManager: 0.00%
DOS Arachne : 0.00%

Como se ve, Srizbi (entre sus dos versiones) suma más del 16% de las conexiones que se realizan a nuestros servidores. A destacar también el primer puesto de Windows2000, entre otros SSOO de lo más extraños, ya que no es precisamente porque haya muchos servidores de correo sobre esta plataforma…ya me entendéis ;-)

A partir de las IPs de Srizbi he sacado otra estadística ordenada por países; el «honroso» top 10 es:


--,N/A : 27,22%
US,UnitedStates : 10,90%
RU,RussianFederation : 7,9%
TR,Turkey : 7,06%
TH,Thailand : 3,36%
CN,China : 3,24%
PL,Poland : 3,08%
AU,Australia : 2,98%
BR,Brazil : 2,88%
ES,Spain : 2,08%

Más o menos, los de siempre…

3 comentarios en “Estadísticas de Srizbi

  1. Hola Alvaro!

    Los post que publicas son muy interesantes no solo por la experiencia que aportas y el volumen con el que cuentas sino porque acostumbras a dar datos estadísticos que aportan una visión con gran perspectiva.

    Lo que si echo de menos y agradecería es que publicases los métodos que usas para recolectar y procesar los datos, para que principiantes en el tema podamos aprender un poco más.

    Gracias y lo dicho, muy interesante!

  2. Buenas Iker,

    pues los datos de los fingerprints de los SSOOs están sacados con p0f (
    http://lcamtuf.coredump.cx/p0f.shtml); la verdad es que no lo había usado hasta que el de IronPort me lo comentó.

    Y luego las estadísticas están sacadas con algo de scripting en Perl…nada del otro mundo :-)

    thx4comment!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *