Сотрудники Калифорнийского университета
в Беркли и Политехнического института
Джорджии выявили механизм распространения
червя Witty, поразившего в марте 2004 года 12000
компьютерных систем менее чем за 75 минут, и
сумели установить "нулевого пациента"
— компьютер, с которого началось
распространение червя по миру. С 20 марта 2004
года, в 4:45 по Гринвичу этот червь, используя
дыру в коммерческих брандмауэрах
производства компании ISS, сумел поразить 12
тысяч компьютерных систем по всему миру.
Предполагалось, что червь случайным
образом генерит сетевые адреса, по которым
отсылает свою копию. Однако в ходе анализа
кода червя, выяснилось, что он использует
генератор псевдослучайных чисел, а
следовательно, пути его распространения, а
точнее, наиболее вероятный адрес следующей
жертвы, можно вычислить. Кроме того,
исследователи собрали данные по всплескам
активности трафика в тех сетях, где, как
правило, данных передаётся очень мало или
не передаётся вообще. При эпидемических
вспышках, однако, "вирусный" трафик
появляется и там. "Во всей этой
захлёстывающей массе данных
просматривается чётко структурированный
процесс, который можно расшифровать и
прояснить, если использовать правильную
математическую модель", — утверждают
исследователи, подкрепляя свои слова
практическими достижениями: с помощью
собранных данных и благодаря анализу кода
червя им удалось отследить "нулевого
пациента" — компьютер в сети одного
европейского провайдера. Более того, стало
ясно, что в первые десять секунд червь
целился по 110 компьютерным системам, все из
которых располагались в сетях одной-единственной
американской военной базы. Результаты
данного исследования могут пригодиться
антивирусным специалистам и
правоохранительным органам при
расследованиях компьютерных преступлений.



Оставить мнение