Найдено "нулевое звено" компьютерного червя // 12 Ноября 2012

В результате сложного анализа интернет-трафика был найден компьютер, послуживший исходной точкой для сетевого червя "Witty worm".

Сетевой червь "Witty worm", использующий баг в одном из известных файерволов, начал свое распространение 20 марта 2004 года в 4 часа 45 минут по Гринвичу. В течение последующих 75 минут он заразил 12 тысяч компьютеров по всему миру. На каждом шаге распространения вирус генерировал случайные IP-адреса для последующей атаки.

Поскольку код "Witty worm" не содержал никаких атрибутов, которые могли бы указать на автора вируса, казалось, что его происхождение так никогда и не будет установлено. Как ни парадоксально, но это удалось сделать американским ученым из университетов Berkeley и GaTech. Для анализа путей распространения вируса ученые использовали метод, известный под именем "telescope analysis". Данный метод основывается на сборе данных от небольших участков сети, имеющих в отсутствие вирусной активности незначительный трафик.

Как красочно описывают свое изобретение авторы разработки, "Начало сетевой атаки подобно взрыву сверхновой - в течение нескольких секунд вирус "освещает" все ранее темные уголки сети, и его распространение представляет собой абсолютно детерминированный и поддающийся простому анализу процесс. При использовании корректной модели этот процесс может быть полностью расшифрован". Поскольку последовательность "случайных" чисел, генерируемая большинством компьютерных алгоритмов, на самом деле полностью детерминирована, данные о сетевом трафике в первые секунды жизни червя дают полную информацию о его источнике.

Именно таким образом ученым удалось найти машину, с диска которой был запущен червь. Им оказался компьютер, зарегистрированный в сети неназванного европейского провайдера интернет-услуг. Помимо этого были "раскрыты" ранее не отмеченные в отчетах инфицированные хосты - 110 IP-адресов, принадлежащих одному из американских военных ведомств.

По оценке специалистов из Symantec, разработанный учеными метод, имеет большое значение для борьбы с сетевыми вирусами.