Conficker: Pátrání po první oběti má odhalit původ viru

21. 3. 2009

Sdílet

Odkud přišel červ Conficker? Badatelé z univerzity v Michiganu se to snaží zjistit pomocí rozsáhlé sítě senzorů na internetu. Jejich snahou je vystopovat první oběť viru, který dodnes napadl více než deset miliónů počítačů.

Univerzita používá takzvané "darknet" senzory, které jsou nainstalovány již asi šest let kvůli sledování škodlivé aktivity na internetu. Díky financování od U.S. Department of Homeland Security se počítačoví odborníci spojili, aby sdíleli data získaná z těchto senzorů po celém světě.

"Cílem je dostat se dostatečně blízko, abychom skutečně mohli začít mapovat, odkud se začal červ šířit," řekl Jon Oberheide, postgraduální student univerzity v Michiganu, který na projektu pracuje.

Což ale není lehký úkol. Najít miniaturní nápovědy, které by identifikovali oběť, znamená projít více než 50 terabytů dat a doufat v nějakou stopu.

Jednou z cest, jak se Conficker pohybuje je, že prochází síť a hledá zranitelné počítače, ale přesto může být jen těžce spatřen, je si vědom Oberheide. "Nejhorší je najít zrovna jeho akci, protože na internetu probíhá nespočet jiných prohledávání."

Jednou už se povedlo najít první oběť viru. V roce 2005 badatelé vystopovali první útok červa Witty a dokonce zjistili evropskou IP adresu, odkud byl tento červ vyslán.

Už je to pár let, co se vynořilo něco, co by bylo tolik rozšířeno jako Conficker, takže není známo moc postupů, jak postupovat.

Když se v září Conficker poprvé objevil, badatelé ještě nijak nereagovali. Jiní červi uhýbají analýzám tím, že blokují IP adresy darknetu, ale Conficker toto nedělá. "Byli jsme celkem překvapeni tím, že tento červ dělá zcela naprosto náhodný průzkum a nedostal se tak na černou listinu našich přesných senzorů," říká Oberheide. "Kdyby tvůrci udělali ještě trochu průzkumu, mohli by odhalit naši síť."

Brzo po rozšíření viru Conficker, badatelé z Michiganu viděli na svých senzorech velké výkyvy, které připisují pravě tomuto červu. Síť sbírala v prosinci asi 2 gigabyty dat, ale v těchto dnes se to blíží až k 8 gigabytům dat.  "Nárůst, který jsme zaznamenali na darknet senzorech, je prostě neuvěřitelný," líčí Oberheide. "Teď jsou tato data velmi užitečná, můžeme se podívat o šest měsíců zpátky a vidět, co vir prováděl," dodává.

Jiná skupina zvaná CAIDA (the Cooperative Association for Internet Data Analysis) vydala analýzu viru Conficker již dříve tento měsíc. Badatelé z Michiganu doufají, že zveřejní podobnou analýzu založenou na jejich datech v několika příštích týdnech, ale to ještě stále mohou být měsíce daleko od úspěšného nalezení původní oběti viru.

Podrobné články o viru Conficker, jeho variantách, rychlosti šíření a boji proti němu najdete na SecurityWorldu.