Pretraživanje je pokrenuto za Confickerovu prvu žrtvu

Graphic: Diego AguirreGdje je Dolazi Conficker crv? Istraživači na Sveučilištu u Michiganu pokušavaju otkriti koristeći široku mrežu internetskih senzora kako bi pronašli tzv. "Pacijenticu" od epidemije koja je do danas zarazila više od 10 milijuna računala. (Evo kako ćete se zaštititi.)

Sveučilište koristi tzv. Darknet senzore koji su postavljeni prije otprilike šest godina kako bi se pratili zlonamjerni događaji. Uz financiranje američkog Ministarstva domovinske sigurnosti, računalni su znanstvenici povezali zajedničko korištenje podataka prikupljenih od senzora oko svjetskih senzora mjesta diljem svijeta.

"Cilj je da se približite dovoljno da počnete mapirati kako se širenje je započelo ", rekao je Jon Oberheide, diplomski student Michigan Sveučilišta koji radi na projektu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

To nije lak posao. Da biste pronašli sitne naznake koji će identificirati žrtvu, istraživači moraju prosijati više od 50 terabajta podataka, nadajući se da će pronaći potisnute znakove Confickerove pretrage.

Jedan od načina na koji se Conficker kreće jest skeniranje mreže za drugih ranjivih računala, ali to može biti jako teško uočiti za određeno, rekao je Oberheide. "Teško je pronaći točnu aktivnost skeniranja Conficker-a, jer se događa mnogo drugih skeniranja", rekao je.

Ipak, praćenje nulte pacijente je učinjeno. U 2005, istraživači su pratili prvu žrtvu 2004 Witty crva, (pdf) američku vojnu bazu, pa čak i identificirali europsku IP adresu koja je koristila za pokretanje napada.

Prošle su godine jer sve što je rašireno kao Conficker se pojavilo, pa nije bilo mnogo šanse da se reproduciraju ovaj napor.

Kad se Conficker prvi put pojavio u listopadu, istraživači su zaustavili stanku. Ostali crvi izbjegavali su ovu vrstu analize blokiranjem IP adresa, no Confickerovi autori to nisu učinili. "Bili smo iznenađeni što je to učinilo potpuno slučajno skeniranje, a nije na crnoj listi naših senzora", rekao je Oberheide. "Ako su napravili malo istraživanja, mogli su otkriti našu [mrežu]".

Ubrzo nakon epidemije Confickera, istraživači iz Michigana vidjeli su veliku šiljku na svojim senzorima, koje su pripisivali crvi. Mreža je prikupila oko 2G podataka po satu u studenom, ali ovih dana je bliža 8G. "Povećanje aktivnosti koje smo vidjeli na tim senzorima Darknet je … nevjerojatno", rekao je Oberheide. "Sada su ti podaci zapravo korisni, možemo se vratiti šest mjeseci i vidjeti što ovaj crv zapravo radi", dodao je.

Druga grupa, pod nazivom CAIDA (Udružena udruga za analizu internetskih podataka) objavila je Confickerovu analizu ranije ovog mjeseca, Istraživači iz Michigana nastoje objaviti sličnu analizu svojih podataka u narednih nekoliko tjedana, ali to bi moglo biti mjeseci prije nego što one uskožu na nulu.

U međuvremenu "cilj je da se približite dovoljno da biste zapravo može početi otkrivati ​​kako je širenje počelo ", rekao je Oberheide