Er wordt een zoekopdracht gestart voor Conficker's eerste slachtoffer

Afbeelding: Diego AguirreWaar heeft de Conficker worm vandaan? Onderzoekers van de Universiteit van Michigan proberen dit te achterhalen met behulp van een uitgebreid netwerk van internetsensoren om de zogenaamde 'geduldige nul' op te sporen van een uitbraak die tot nu toe meer dan 10 miljoen computers heeft geïnfecteerd. (Hier leest u hoe u uzelf kunt beschermen.)

De universiteit maakt gebruik van zogenaamde darknet-sensoren die ongeveer zes jaar geleden zijn opgezet om kwaadwillende activiteiten bij te houden. Met financiering van het Amerikaanse ministerie van Binnenlandse Veiligheid hebben computerwetenschappers zich verenigd om gegevens te delen die zijn verzameld met sensoren overal ter wereld. Plaatsvervangers over de hele wereld. Het doel is om dichtbij genoeg te komen, zodat u daadwerkelijk kunt beginnen met het in kaart brengen van hoe de verspreiding begon, "zei Jon Oberheide, een afgestudeerde student aan de universiteit van Michigan die aan het project werkt.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Dat is geen gemakkelijke taak. Om de minuscule aanwijzingen te vinden die het slachtoffer identificeren, moeten onderzoekers meer dan 50 terabytes aan gegevens doorzoeken in de hoop de veelbetekende handtekeningen van een Conficker-scan te vinden. Een van de manieren waarop Conficker zich beweegt, is door het netwerk te scannen op andere kwetsbare computers, maar het kan heel moeilijk zijn om het zeker te vinden, zei Oberheide. "Het moeilijkste is om de exacte Conficker-scanactiviteit te vinden, omdat er nog veel meer wordt gescand," zei hij.

Het opsporen van patiënt-nul is echter wel gelukt. In 2005 volgden onderzoekers het eerste slachtoffer van de Witty-worm van 2004, (pdf) een Amerikaanse militaire basis, en identificeerden ze zelfs het Europese IP-adres dat werd gebruikt om de aanval uit te voeren.

Het is jaren geleden dat alles zo wijdverspreid was als Conficker is opgedoken. er zijn niet veel kansen om deze inspanning te reproduceren. Toen Conficker echter voor het eerst verscheen in oktober, vielen de onderzoekers even stil. Andere wormen hadden dit soort analyse ontweken door de darknet IP-adressen te blokkeren, maar de auteurs van Conficker hebben dat niet gedaan. "We waren nogal verbaasd dat het deze volledig willekeurige scan deed en onze specifieke sensoren niet op een zwarte lijst zetten," zei Oberheide. "Als ze een beetje onderzoek hadden gedaan, hadden ze ons [netwerk] kunnen ontdekken."

Kort na de Conficker-uitbraak zagen de Michigan-onderzoekers een grote piek in hun sensoren, die ze aan de worm toeschreven. Het netwerk verzamelde in november ongeveer 2 G aan gegevens per uur, maar tegenwoordig ligt het dichter bij 8G. "De toename in activiteit die we hebben gezien op deze Darknet-sensoren is … ongelooflijk," zei Oberheide. "Nu zijn deze gegevens nuttig: we kunnen zes maanden teruggaan en kijken wat deze worm eigenlijk aan het doen was", voegde hij eraan toe.

Een andere groep, CAIDA (de coöperatieve vereniging voor internetgegevensanalyse), publiceerde eerder deze maand een Conficker-analyse.. De Michigan-onderzoekers hopen in de komende paar weken een vergelijkbare analyse van hun gegevens te plaatsen, maar het kan maanden duren voordat ze de zaak beperken tot patiënt-nul. In de tussentijd is het doel om dichtbij genoeg te komen zodat je kan eigenlijk beginnen met in kaart brengen hoe de verspreiding begon, "zei Oberheide.