Haut käynnistetään Confickerin ensimmäisen uhrin kohdalla

Graphic: Diego AguirreMissä Conficker-mato tulee? Michiganin yliopiston tutkijat yrittävät selvittää, käyttävätkö valtavaa Internet-anturiverkostoa etsimään niin kutsuttua "potilaan nollaa", joka on infektoinut yli 10 miljoonaa tietokonetta tähän mennessä. (Näin suojellaan itseäsi.)

Yliopisto käyttää ns. Darknet-antureita, jotka perustettiin noin kuusi vuotta sitten, jotta seurataan haitallista toimintaa. Tietokoneetutkijat ovat yhdistäneet yhdessä antureista kerättyjen tietojen jakamiseen maailmanlaajuisesti antureita eri puolilta maailmaa.

"Tavoitteena on päästä lähelle, jotta voit itse asiassa alkaa kartoittaa, miten

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Se ei ole helppoa työtä. Jotta löydettäisiin niukkoja vihjeitä, jotka tunnistavat uhrin, tutkijoiden on läpäistävä yli 50 teratavun dataa, toivoen löytävän Conficker-skannauksen ilmaisevat allekirjoitukset.

Yksi tapa, jolla Conficker liikkuu, on skannaamalla verkko muita haavoittuvaisia ​​tietokoneita, mutta se voi olla todella vaikeaa havaita se tietysti, Oberheide sanoi. "On vaikea löytää täsmällistä Conficker-skannaustoimintaa, koska siellä on paljon muuta skannausta", hän sanoi.

Potilaan nollan seuranta on kuitenkin tapahtunut. Vuonna 2005 tutkijat seurasivat 2004 Witty-matoa ensimmäistä uhria (pdf) Yhdysvaltain armeijan tukikohdasta ja jopa tunnistivat eurooppalaisen IP-osoitteen, jolla käynnistettiin hyökkäys.

On kulunut vuosikausi, koska Conficker on noussut niin laajalle kuin Conficker ei ole ollut monia mahdollisuuksia jäljitellä tätä työtä.

Kun Conficker ilmestyi ensimmäisen kerran lokakuussa, tutkijat saivat kuitenkin taukoa. Muut matoilla oli väistämätön tällainen analyysi estämällä darknet-IP-osoitteet, mutta Confickerin kirjoittajat eivät tehneet niin. "Olimme eräänlainen yllättynyt siitä, että se teki tämän täysin satunnaisen skannauksen, eikä se laittanut meidän erityisantureitamme", Oberheide sanoi. "Jos he olisivat tehneet vähän tutkimusta, he olisivat löytäneet [verkko]."

Pian Conficker-taudinpurkauksen jälkeen Michiganin tutkijat näkivät suuren piikin heidän antureistaan, joita he antoivat matoille. Verkko keräsi noin 2G dataa tunnissa marraskuussa, mutta nykyään se on lähempänä 8G. "Toiminnan lisääntyminen näillä Darknet-antureilla on … uskomatonta", Oberheide sanoi. "Nyt nämä tiedot ovat todella hyödyllisiä, voimme palata kuusi kuukautta ja katsoa, ​​mitä tämä mato todella teki", hän lisäsi.

Toinen ryhmä, jota kutsutaan CAIDA: ksi (Internet-analyysin osuuskuntayhdistys) julkaisi Conficker-analyysin aiemmin tässä kuussa. Michiganin tutkijat toivovat julkaisevan samanlaisen analyysinsä tietojaan lähivuosina, mutta se voi olla kuukausia ennen kuin ne kaventuvat asioihin potilaan nollaksi.

Tällä välin "tavoitteena on saada tarpeeksi läheltä, jotta sinä voi itse asiassa alkaa kartoittaa, miten levitys alkoi ", Oberheide sanoi.