Vyhledávání je spuštěno pro první oběti Conficker

Grafické znázornění: Diego Aguirre Prichází konský červa? Vědci z University of Michigan se snaží pomocí rozsáhlé sítě internetových senzorů zjistit takzvanou "pacientskou nulu" ohniska, která dosud infikovala více než 10 milionů počítačů. (Zde je návod, jak se chránit.)

Univerzita používá tzv. Darknet senzory, které byly zřízeny asi před šesti lety, aby sledovaly škodlivé činnosti. S finančními prostředky od Ministerstva vnitřní bezpečnosti USA se počítačoví vědci spojili a sdíleli data shromážděná se senzory kolem světových senzorů na celém světě.

"Cílem je dostat se dost blízko, abyste skutečně mohli začít mapovat, jak začal šíření, "řekl Jon Oberheide, absolventský studijní program s Michiganskou univerzitou, který pracuje na projektu.

Toto není snadná práce. Chcete-li najít nepatrné stopy, které identifikují oběti, musí výzkumníci projít více než 50 terabajtů dat a doufat, že najdou výstražné podpisy prohledávání Conficker.

Jedním ze způsobů, jakým se Conficker pohybuje, je skenování sítě jiné zranitelné počítače, ale může být opravdu těžké to určitě určitě, řekl Oberheide. "Těžkou věcí je najít přesné skenovací aktivity Conficker, protože se děje spousta dalšího skenování," řekl.

Sledování pacientovy nuly se však stalo. V roce 2005 výzkumníci sledovali první americkou vojenskou základnu Wittyworm (pdf) a dokonce identifikovali evropskou IP adresu používanou k zahájení útoku.

Je to už několik let, neboť se objevilo něco tak rozšířeného jako Conficker, takže tam nebylo mnoho šancí na reprodukci tohoto úsilí.

Když se Conficker poprvé objevil v říjnu, vědci udělali zlom. Jiní červi se vyhnuli tomuto druhu analýzy tím, že zablokují IP adresy tmavých sítí, ale autoři Confickera to neudělali. "Byli jsme natolik překvapeni, že jsme provedli toto úplně náhodné skenování a nekontrolovali naše specifické senzory," řekl Oberheide. "Kdyby udělali trochu výzkumu, našli by naši [síť]."

Brzy po vypuknutí Conficker vědci z Michiganu viděli velký senzor svých senzorů, který jim připisovali. Síť shromažďovala kolem 2G dat za hodinu v listopadu, avšak v těchto dnech je blíž k 8G. "Zvýšení aktivity, které jsme viděli na těchto senzorech Darknet, je … neuvěřitelné," řekl Oberheide. "Nyní je tato data skutečně užitečná, můžeme se vrátit šest měsíců a uvidíme, co tento červa skutečně dělá," dodal.

Další skupina nazvaná CAIDA (Cooperative Association for Internet Data Analysis) zveřejnila Conficker analýzu za tento měsíc. Michiganští vědci doufají, že v příštích několika týdnech zveřejní podobnou analýzu svých údajů, ale může to trvat několik měsíců, než se věci zmenší na pacientovou nulu.