Une fois que la majorité des clients se sont connectés aux serveurs « sinkhole », les chercheurs ont pu constater que le second botnet Kelihos était significativement plus grand que celui qui avait été mis hors d'état en septembre 2011. « Le second botnet comptait près de 110 000 hôtes infectés contre 40 000 pour le premier, » a déclaré Marco Preuss de Kaspersky Lab. 25% des clients du second botnet Kelihos était localisés en Pologne et 10% aux Etats-Unis. La forte concentration de bots en Pologne laisse penser que les cybercriminels à l'origine de Kelihos ont payé d'autres opérateurs de réseaux de zombies pour diffuser leurs malware sur les ordinateurs d'un pays proposant des tarifs plus intéressants, » a déclaré Tillmann Werner. La grande majorité des ordinateurs infectés par Kelihos - plus de 90 000 - tournent sous Windows XP. Environ 10 000 tournent sous Windows 7 et 5 000 sont équipés de Windows 7 avec le Service Pack 1.

Un travail de Sysiphe

« Microsoft n'a pas été impliquée dans cette opération, mais a suivi son déroulement de près, » a précisé le chercheur en sécurité de CrowdStrike. En ce qui concerne l'opération menée en septembre 2011, l'objectif de Microsoft était de désactiver les noms de domaine qui auraient pu être utilisés par le gang de Kelihos pour reprendre le contrôle du botnet. « Cependant, ce type d'intervention n'était plus nécessaire, car ce canal de communication de secours était utilisé par les bots de Kelihos uniquement si le canal peer-to-peer principal était interrompu, ce qui ne peut pas se produire avec la technique de sinkholing », a précisié Tillmann Werner.

Kaspersky va faire remonter aux FAI les adresses IP qui affichent une activité dans le botnet Kelihos, afin qu'ils puissent prévenir leurs abonnés que leurs machines sont infectées. « Le « sinkhole » restera opérationnel aussi longtemps que nécessaire, » a déclaré Marco Preuss. Plusieurs signes laissent penser que le gang Kelihos a abandonné le botnet peu de temps après l'opération de « sinkholing ». « Cependant, étant donné que c'est le cinquième botnet qu'ils mettent en route - dont Storm et les variantes de Waledac - il est peu probable qu'ils s'en tiennent là et ils vont très probablement en remettre d'autres en route, » a encore déclaré Tillmann Werner.