Android

Rozpoczęto wyszukiwanie dla pierwszej ofiary Confickera

How to Detect and Remove the Conficker worm from Windows XP

How to Detect and Remove the Conficker worm from Windows XP
Anonim

Grafika: Diego AguirreGdzieś Robak Conficker pochodzi? Naukowcy z University of Michigan próbują dowiedzieć się, korzystając z rozległej sieci czujników internetowych, aby wykryć tak zwane "zero pacjentów" epidemii, która zainfekowała ponad 10 milionów komputerów. (Oto jak się zabezpieczyć).

Uczelnia korzysta z tak zwanych czujników ciemnych, które zostały skonfigurowane około sześć lat temu, aby śledzić złośliwą aktywność. Dzięki finansowaniu ze strony amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego naukowcy komputerowi połączyli się, by dzielić się danymi zebranymi z czujników na całym świecie, umieszczając czujniki na całym świecie.

"Celem jest zbliżenie się na tyle blisko, aby można było zacząć mapować, w jaki sposób rozprzestrzenianie się zaczęło ", powiedział Jon Oberheide, student z University of Michigan, który pracuje nad projektem.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

To nie jest łatwa praca. Aby znaleźć maleńkie wskazówki, które pozwolą zidentyfikować ofiarę, naukowcy muszą przesiać ponad 50 terabajtów danych, mając nadzieję, że uda im się znaleźć charakterystyczne sygnatury skanu Confickera.

Jednym ze sposobów poruszania się Confikera jest skanowanie sieci w poszukiwaniu inne wrażliwe komputery, ale naprawdę trudno jest je dostrzec na pewno, powiedział Oberheide. "Trudno jest znaleźć dokładną czynność skanowania Confickera, ponieważ jest tam dużo innych operacji skanowania", powiedział.

Jednakże zostało wykonane śledzenie zera pacjenta. W 2005 r. Badacze wyśledzili pierwszą ofiarę robaka Witty z 2004 r. (Pdf) amerykańską bazę wojskową, a nawet zidentyfikowali europejski adres IP użyty do przeprowadzenia ataku.

Minęły lata, odkąd coś tak powszechnego jak Conficker pojawiło się jednak, więc nie było zbyt wielu szans na odtworzenie tego wysiłku.

Kiedy jednak Conficker pojawił się po raz pierwszy w październiku, naukowcy zrobili sobie przerwę. Inne robaki uniknęły tego rodzaju analizy, blokując adresy IP darknetu, ale autorzy Confickera tego nie zrobili. "Byliśmy trochę zaskoczeni, że zrobił to całkowicie losowy skan i nie zamienił naszych czujników na czarną listę" - powiedział Oberheide. "Gdyby zrobili trochę badań, mogliby odkryć naszą [sieć]."

Wkrótce po wybuchu Confickera, badacze z Michigan zauważyli duży skok czujników, które przypisali robakowi. Sieć zbierała około 2G danych na godzinę w listopadzie, ale obecnie jest bliżej 8G. "Wzrost aktywności, który zaobserwowaliśmy na tych czujnikach Darknet, jest … niewiarygodny" - powiedział Oberheide. "Teraz te dane są naprawdę użyteczne, możemy cofnąć się o sześć miesięcy i zobaczyć, co ten robak faktycznie robił" - dodał.

Inna grupa o nazwie CAIDA (Stowarzyszenie Współpracy na rzecz Analizy Danych Internetowych) opublikowała analizę Confickera na początku tego miesiąca. Naukowcy z Michigan mają nadzieję opublikować podobną analizę swoich danych w ciągu najbliższych kilku tygodni, ale może upłynąć wiele miesięcy, zanim zawęzimy wszystko do zera.

W międzyczasie "celem jest zbliżenie się wystarczająco blisko, aby może zacząć mapować sposób rozprzestrzeniania się spreadu "- powiedział Oberheide.