Начинается поиск для первой жертвы Conficker

Графика: Diego AguirreWhere Вызывается червь Conficker? Исследователи из Мичиганского университета пытаются выяснить, используя обширную сеть интернет-сенсоров для отслеживания так называемого «ноля пациента» вспышки, которая на сегодняшний день заразила более 10 миллионов компьютеров. (Вот как защитить себя.)

В университете используются так называемые датчики darknet, которые были созданы около шести лет назад, чтобы отслеживать злонамеренную деятельность. При финансировании Департамента внутренней безопасности США компьютерные ученые объединились для обмена данными, собранными с датчиков по всему миру, датчиков по всему миру.

«Цель состоит в том, чтобы приблизиться, чтобы вы могли фактически определить, как распространение », - сказал Джон Оберхайде, аспирант из Мичиганского университета, который работает над проектом.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Это непростая задача. Чтобы найти крошечные ключи, которые идентифицируют жертву, исследователи должны просеивать более 50 терабайт данных, надеясь найти контрольные сигнатуры сканирования Conficker.

Один из способов, которым движется Conficker, - это сканирование сети для другие уязвимые компьютеры, но это может быть очень трудно определить, наверняка, сказал Оберхайде. «Трудно найти точную активность сканирования Conficker, потому что происходит много другого сканирования», - сказал он.

Однако отслеживание нулевого пациента было выполнено. В 2005 году исследователи проследили первую жертву 2004 года остроумного червя, (pdf) военную базу США и даже определили европейский IP-адрес, используемый для запуска атаки.

Прошли годы, поскольку все, что было распространено, как Conficker, всплыло, не было много шансов воспроизвести эти усилия.

Когда Conficker впервые появился в октябре, исследователи поймали перерыв. Другие черви уклонились от такого анализа, заблокировав IP-адреса darknet, но авторы Conficker этого не сделали. «Мы были удивлены тем, что сделали это полностью случайное сканирование и не включили в черный список наши датчики», - сказал Оберхайде. «Если бы они провели немного исследований, они могли бы открыть нашу [сеть]».

Вскоре после вспышки Conficker исследователи из Мичигана увидели большой шип на своих датчиках, который они приписывали червям. Сеть собирала около 2G данных в час в ноябре, но в эти дни она приближается к 8G. «Увеличение активности, которое мы видели на этих датчиках Darknet, невероятно», - сказал Оберхайде. «Теперь эти данные действительно полезны, мы можем вернуться на полгода и посмотреть, что на самом деле делает этот червь», - добавил он.

Другая группа, называемая CAIDA (Совместная ассоциация анализа данных Интернета), опубликовала анализ Conficker в начале этого месяца, Исследователи из Мичигана надеются опубликовать аналогичный анализ своих данных в течение следующих нескольких недель, но это может быть за несколько месяцев до того, как они сужают все до нуля.

В то же время «цель - приблизиться, чтобы вы может фактически начать отображать, как начал распространение, - сказал Оберхайде.