Viene avviata una ricerca per la prima vittima di Conficker

Grafica: Diego AguirreWhere ha fatto il Il worm Conficker viene? Ricercatori dell'Università del Michigan stanno cercando di scoprire, utilizzando una vasta rete di sensori di Internet per rintracciare il cosiddetto "zero paziente" di un'epidemia che ha infettato più di 10 milioni di computer fino ad oggi. (Ecco come proteggersi.)

L'università utilizza i cosiddetti sensori darknet che sono stati istituiti circa sei anni fa al fine di tenere traccia delle attività dannose. Con il finanziamento del Dipartimento della Sicurezza Nazionale degli Stati Uniti, gli scienziati informatici si sono riuniti per condividere i dati raccolti dai sensori di tutto il mondo intorno ai sensori.

"L'obiettivo è avvicinarsi abbastanza da poter effettivamente iniziare a mappare come La diffusione è iniziata ", ha dichiarato Jon Oberheide, uno studente laureato dell'Università del Michigan che sta lavorando al progetto.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Non è un lavoro facile. Per trovare gli indizi minuscoli che identificheranno la vittima, i ricercatori dovranno setacciare più di 50 terabyte di dati, sperando di trovare le firme rivelatrici di una scansione di Conficker.

Uno dei modi in cui Conficker si muove è la scansione della rete altri computer vulnerabili, ma può essere davvero difficile individuarlo con certezza, ha detto Oberheide. "La cosa difficile è trovare l'esatta attività di scansione di Conficker, perché c'è molta altra scansione in corso", ha detto.

Tuttavia, è stato effettuato il rintracciamento del paziente zero. Nel 2005, i ricercatori hanno rintracciato la prima vittima del worm Witty del 2004, (pdf) una base militare statunitense e persino identificato l'indirizzo IP europeo utilizzato per lanciare l'attacco.

Sono passati anni da quando è diffuso qualcosa come il Conficker, quindi non ci sono state molte possibilità di riprodurre questo sforzo.

Quando Conficker è apparso per la prima volta ad ottobre, i ricercatori hanno avuto una pausa. Altri worm hanno evitato questo tipo di analisi bloccando gli indirizzi IP darknet, ma gli autori di Conficker non lo hanno fatto. "Siamo stati un po 'sorpresi dal fatto che abbia fatto questa scansione completamente casuale e non abbia inserito nella lista nera i nostri sensori particolari", ha detto Oberheide. "Se avessero fatto un po 'di ricerca, avrebbero potuto scoprire la nostra [rete]".

Poco dopo l'epidemia di Conficker, i ricercatori del Michigan hanno visto un grande picco sui loro sensori, che hanno attribuito al worm. La rete raccoglieva circa 2G di dati all'ora a novembre, ma in questi giorni è più vicina a 8G. "L'aumento delle attività che abbiamo visto su questi sensori Darknet è … incredibile", ha detto Oberheide. "Ora questi dati sono effettivamente utili, possiamo tornare indietro di sei mesi e vedere cosa stava effettivamente facendo questo worm", ha aggiunto.

Un altro gruppo, chiamato CAIDA (l'Associazione cooperativa per l'analisi dei dati Internet) ha pubblicato un'analisi di Conficker all'inizio di questo mese. I ricercatori del Michigan sperano di pubblicare un'analoga analisi dei loro dati nelle prossime settimane, ma potrebbero passare mesi prima che restringano le cose al paziente zero.

Nel frattempo "l'obiettivo è avvicinarsi abbastanza da può effettivamente iniziare a mappare come è iniziata la diffusione ", ha detto Oberheide.