Ang Paghahanap ay Inilunsad para sa Unang Biktima ng Conficker

Graphic: Diego AguirreWhere did the Mula sa wikang Conficker? Sinusubukan ng mga mananaliksik sa University of Michigan na malaman ang paggamit ng malawak na network ng mga sensors sa Internet upang subaybayan ang tinatawag na "pasyente zero" ng isang pag-aalsa na nahawaan ng higit sa 10 milyong mga computer sa petsa. (Narito kung paano protektahan ang iyong sarili.)

Ang unibersidad ay gumagamit ng tinatawag na darknet sensors na itinatag mga anim na taon na ang nakakaraan upang masubaybayan ang nakahahamak na aktibidad. Sa pamamagitan ng pagpopondo mula sa Kagawaran ng Homeland Security ng Estados Unidos, ang mga siyentipiko ng computer ay magkasama upang magbahagi ng data na nakolekta mula sa mga sensor sa paligid ng mga sensor sa mundo na lugar sa buong mundo.

"Ang layunin ay upang makakuha ng malapit na sapat upang maaari mong aktwal na simulan ang pagmamapa kung paano "Sinabi ni Jon Oberheide, isang mag-aaral na nagtapos sa University of Michigan na nagtatrabaho sa proyekto.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Iyan ay hindi isang madaling trabaho. Upang mahanap ang mga minuskule na pahiwatig na makilala ang biktima, ang mga mananaliksik ay dapat na mag-ayos sa higit sa 50 terabytes ng data, umaasa na makita ang mga lagitik na lagayan ng isang Conficker scan.

Ang isa sa mga paraan na ang Conficker ay gumagalaw ay sa pag-scan sa network para sa iba pang mga mahihinang computer, ngunit maaari itong talagang mahirap upang makita ito para sa ilang, sinabi Oberheide. "Ang mahirap na bagay ay upang mahanap ang eksaktong Conficker pag-scan ng aktibidad, dahil mayroong maraming iba pang mga pag-scan ng pagpunta sa," sinabi niya.

Gayunpaman, ang pagsubaybay sa pasyente zero ay tapos na. Noong 2005, sinusubaybayan ng mga mananaliksik ang unang biktima ng 2004 Witty worm, (pdf) isang base militar ng US, at kahit na kinilala ang European IP address na ginagamit upang ilunsad ang pag-atake.

Matagal nang taon dahil ang anumang bagay na laganap sa Conficker hindi nagkaroon ng maraming mga pagkakataon upang muling kopyahin ang pagsisikap na ito.

Pero nang lumitaw ang Conficker noong Oktubre, ang mga mananaliksik ay nahuli. Ang iba pang mga worm ay dodged ito uri ng pagtatasa sa pamamagitan ng pagharang ng darknet IP address, ngunit ang mga may-akda ng Conficker ay hindi nagawa iyon. "Kami ay uri ng ulat na ito ay ganap na random na i-scan, at hindi itim na itim sa aming mga partikular na sensors," sabi ni Oberheide. "Kung nais nilang gumawa ng isang maliit na pananaliksik, maaari nilang natuklasan ang aming [network]."

Sa lalong madaling panahon matapos ang Conficker pagsiklab ang mga mananaliksik Michigan nakakita ng isang malaking spike sa kanilang mga sensors, na kung saan sila maiugnay sa worm. Kinokolekta ng network ang tungkol sa 2G ng data bawat oras sa Nobyembre, ngunit ang mga araw na ito ay mas malapit sa 8G. "Ang pagtaas sa aktibidad na aming nakita sa mga Darknet sensors ay … hindi kapani-paniwala," sabi ni Oberheide. "Ngayon ang data na ito ay talagang kapaki-pakinabang, maaari naming bumalik anim na buwan at makita kung ano ang worm na ito ay talagang ginagawa," idinagdag niya.

Ang isa pang grupo, na tinatawag CAIDA (ang Cooperative Association para sa Internet Data Analysis) publisha Conficker analysis mas maaga sa buwan na ito. Ang mga mananaliksik ng Michigan ay umaasa na mag-post ng isang katulad na pagtatasa ng kanilang data sa susunod na ilang linggo, ngunit maaari itong maging mga buwan bago sila makitid ang mga bagay hanggang sa pasyente na zero.

Samantala, "ang layunin ay upang makakuha ng sapat na malapit para sa iyo maaaring aktwal na simulan ang pagmamapa kung paano nagsimula ang pagkalat, "sabi ni Oberheide.