Eine Suche wird für das erste Opfer von Conficker gestartet

Grafik: Diego AguirreWo hat der Conficker Wurm kommt von? Forscher an der Universität von Michigan versuchen, herauszufinden, ein riesiges Netzwerk von Internet-Sensoren zu verwenden, um den sogenannten "Patienten Null" eines Ausbruchs aufzuspüren, der bis jetzt mehr als 10 Million Computer angesteckt hat. (So ​​schützen Sie sich.)

Die Universität verwendet sogenannte Darknet-Sensoren, die vor etwa sechs Jahren eingerichtet wurden, um böswillige Aktivitäten im Auge zu behalten. Mit finanzieller Unterstützung des US-Heimatschutzministeriums haben sich Computerwissenschaftler zusammengeschlossen, um Daten von Sensoren auf der ganzen Welt zu teilen.

"Das Ziel ist es, nah genug zu kommen, damit Sie wirklich anfangen können, herauszufinden, wie Verbreitung begann ", sagte Jon Oberheide, ein Student der Universität von Michigan, der an dem Projekt arbeitet.

[Weiter lesen: Wie man Malware von Ihrem Windows PC entfernt]

Das ist keine leichte Aufgabe. Um die winzigen Hinweise zu finden, die das Opfer identifizieren, müssen Forscher mehr als 50 Terabytes an Daten durchforsten, in der Hoffnung, die verräterischen Signaturen eines Conficker-Scans zu finden.

Eine der Möglichkeiten von Conficker ist das Scannen des Netzwerks nach andere verwundbare Computer, aber es kann wirklich schwierig sein, es sicher zu erkennen, sagte Oberheide. "Das Schwierige ist, die genaue Scan-Aktivität von Conficker zu finden, denn es gibt eine Menge anderer Scans", sagte er.

Das Verfolgen des Patienten-Nullpunkts wurde jedoch durchgeführt. Im Jahr 2005 verfolgten die Forscher das erste Opfer des Witty-Wurms 2004 (pdf), eine US-Militärbasis, und identifizierten sogar die europäische IP-Adresse für den Angriff.

Es ist Jahre her, dass so weit verbreitetes wie Conficker aufgetaucht ist Es gab nicht viele Möglichkeiten, diese Bemühungen zu reproduzieren.

Als Conficker zum ersten Mal im Oktober erschien, hatten die Forscher eine Pause eingelegt. Andere Würmer waren dieser Art von Analyse ausgewichen, indem sie die IP-Adressen von Darknet blockierten, aber die Autoren von Conficker taten das nicht. "Wir waren etwas überrascht, dass es diesen völlig zufälligen Scan gemacht hat, und haben unsere speziellen Sensoren nicht auf die schwarze Liste gesetzt", sagte Oberheide. "Wenn sie ein wenig Nachforschungen angestellt hätten, hätten sie unser [Netzwerk] entdecken können."

Kurz nach dem Ausbruch von Conficker sahen die Michigan-Forscher eine große Spitze auf ihren Sensoren, die sie dem Wurm zuschrieben. Das Netzwerk sammelte im November ungefähr 2G Daten pro Stunde, aber heutzutage ist es näher an 8G. "Die Zunahme der Aktivität, die wir bei diesen Darknet-Sensoren beobachten konnten, ist … unglaublich", sagte Oberheide. "Jetzt sind diese Daten tatsächlich nützlich; wir können sechs Monate zurückgehen und sehen, was dieser Wurm tatsächlich macht", fügte er hinzu.

Eine andere Gruppe, genannt CAIDA (die Genossenschaft für Internet-Datenanalyse) veröffentlichte Anfang des Monats eine Conficker-Analyse. Die Michigan-Forscher hoffen, in den nächsten Wochen eine ähnliche Analyse ihrer Daten vorlegen zu können, aber es könnte noch Monate dauern, bis sie sich auf den Patienten Null beschränken.

In der Zwischenzeit ist es das Ziel, Ihnen nahe zu kommen kann tatsächlich anfangen, zu planen, wie die Verbreitung begann ", sagte Oberheide.