Kdo byl první obětí červa Conficker?

Lze zpětně zjistit, kdo byl první obětí červa Conficker? Výzkumníci z University of Michigan se snaží objevit PC v roli „zero patient“, aby se tak dostali do blízkosti zdroje epidemie.


Tvůrci červa Conficker (Downadup) jsou nejčastěji spojovaní s východní Asií, ovšem tato vazba je jen předpokládaná a velmi vágní – na základě toho, že v první fázi útoku bylo největší množství nakažených počítačů zřejmě v Číně, kde v důsledku podílu nelegálního softwaru nebyly instalovány opravy Microsoftu. To jsou ale všechno spíše dohady a interpretace. Výzkumníci nyní chtějí získat přesnější data s pomocí tzv. senzorů Darknet, které sbírají data v podstatě po celém světě. Projekt Darknet je sponzorován americkým ministerstvem vnitra.

V rámci sledování senzory Darknet shromáždily 50 TB dat, které nyní výzkumníci musí nějak zanalyzovat. Ale není to na druhé straně práce beznadějná: v roce 2005 se podařilo zjistit první oběť červa Witty, který se šířil o rok dříve. První obětí byla vojenská instituce v USA a k útoku byla použita IP adresa v Evropě. Conficker v jistém ohledu představuje příležitost zkusit použít stejný sledovací postup a zjistit, jak je tato metoda dnes účinná – konec konců, v posledních letech se epidemie srovnatelných rozměrů prostě nevyskytla.

Zvlášť zajímavé je, že senzory projektu Darknet mají prostě své IP adresy. Řada červů se je snaží blokovat a nezasílat na ně malware, aby jejich tvůrci nemohli být tak snadno vystopováni. Autoři červa Conficker však nic takového neprovedli – možná se jedná o opomenutí, možná o výzvu k zápolení typu „chytíš mě?“ I proto je Conficker vítanou možností zkusit, co Darknet dokáže, když má možnost shromažďovat data, protože vzhledem k mnohému jinému malwaru je síť neúčinná.

Ať tak či onak, epidemie získala takové rozměry, že senzory zaznamenaly obrovské množství dat. Analýza klidně může trvat několik měsíců a výsledek nelze dopředu odhadnout.

 

Zdroj: Computerworld.com

 

 











Komentáře