O căutare a fost lansată pentru prima victimă a Conficker

Graphic: Diego AguirreWhere a făcut Vine viermele Conficker? Cercetătorii de la Universitatea din Michigan încearcă să afle, folosind o rețea vastă de senzori de internet, pentru a detecta așa-numitul "pacient zero" al unui focar care a infectat mai mult de 10 milioane de calculatoare până în prezent. (Iată cum să vă protejați.)

Universitatea utilizează așa-numitele senzori de tip darknet, care au fost înființate cu aproximativ șase ani în urmă, pentru a urmări activitatea răutăcioasă. Cu ajutorul finanțării de la Departamentul pentru Securitate Internă al Statelor Unite, oamenii de știință din domeniul calculatoarelor s-au alăturat împreună pentru a împărtăși datele colectate de la senzori în jurul lumii senzorilor din întreaga lume.

"Scopul este să vă apropiați destul de mult, "a spus Jon Oberheide, student la Universitatea din Michigan, care lucrează la acest proiect.

Nu este o treabă ușoară. Pentru a găsi indicii minuscule care vor identifica victima, cercetătorii trebuie să treacă peste 50 terabiți de date, sperând să găsească semnăturile spontane ale unei scanări Conficker.

Una din modalitățile prin care Conficker se deplasează este scanarea rețelei pentru alte computere vulnerabile, însă poate fi foarte greu să-l vezi cu certitudine, a spus Oberheide. "Lucrul greu constă în găsirea exactă a activității de scanare Conficker, deoarece există o mulțime de alte scanări", a spus el.

Urmărirea pacienților cu zero a fost făcută totuși. În 2005, cercetătorii au urmărit prima victimă a viermilor Witty din 2004 (pdf), o bază militară americană și chiar au identificat adresa IP europeană folosită pentru a lansa atacul.

A trecut ani de zile de când a apărut ceva la fel de răspândit ca Conficker, nu au existat multe șanse de a reproduce acest efort.

Când Conficker a apărut pentru prima dată în octombrie, cercetătorii au luat o pauză. Alți viermi au evitat această analiză prin blocarea adreselor IP darknet, dar autorii lui Conficker nu au făcut asta. "Am fost surprinși de faptul că a făcut această scanare complet aleatorie și nu ne-a enumerat lista neagră a senzorilor noștri", a spus Oberheide. "Dacă ar fi făcut un pic de cercetare, ar fi descoperit rețeaua noastră."

La scurt timp după izbucnirea Conficker, cercetătorii de la Michigan au văzut un mare vârf al senzorilor, pe care i-au atribuit viermei. Rețeaua a colectat aproximativ 2G de date pe oră în noiembrie, dar în aceste zile este mai aproape de 8G. "Creșterea activității pe care am văzut-o pe acești senzori Darknet este … incredibil", a spus Oberheide. "Acum, aceste date sunt de fapt utile, putem să ne întoarcem șase luni și să vedem ce face acest vierme", a adăugat el.

Un alt grup, denumit CAIDA (Asociația Cooperativă pentru Analiza Datelor Internet), a publicat analiza Conficker la începutul acestei luni. Cercetătorii din Michigan speră să trimită o analiză similară a datelor lor în următoarele câteva săptămâni, dar ar putea fi luni înainte ca acestea să restrângă lucrurile la pacientul zero.

Între timp, "obiectivul este de a ajunge destul de aproape, astfel încât poate incepe de fapt sa schimbe modul in care a inceput raspandirea ", a spus Oberheide