Новый метод отслеживания сетевых червей позволяет выявить источник заразыСотрудники Калифорнийского университета в Беркли и Политехнического института Джорджии выявили механизм распространения червя Witty, поразившего в марте 2004 года 12000 компьютерных систем менее чем за 75 минут, и сумели установить "нулевого пациента" - компьютер, с которого началось распространение червя по миру. {nl}{nl}С 20 марта 2004 года, в 4:45 по Гринвичу этот червь, используя дыру в коммерческих брандмауэрах производства компании ISS, сумел поразить 12 тысяч компьютерных систем по всему миру. {nl}{nl}Предполагалось, что червь случайным образом генерит сетевые адреса, по которым отсылает свою копию. Однако в ходе анализа кода червя, выяснилось, что он использует генератор псевдослучайных чисел, а следовательно, пути его распространения, а точнее, наиболее вероятный адрес следующей жертвы, можно вычислить. {nl}{nl}Кроме того, исследователи собрали данные по всплескам активности трафика в тех сетях, где, как правило, данных передаётся очень мало или не передаётся вообще. При эпидемических вспышках, однако, "вирусный" трафик появляется и там. {nl}{nl}"Во всей этой захлёстывающей массе данных просматривается чётко структурированный процесс, который можно расшифровать и прояснить, если использовать правильную математическую модель", - утверждают исследователи, подкрепляя свои слова практическими достижениями: с помощью собранных данных и благодаря анализу кода червя им удалось отследить "нулевого пациента" - компьютер в сети одного европейского провайдера. {nl}{nl}Более того, стало ясно, что в первые десять секунд червь целился по 110 компьютерным системам, все из которых располагались в сетях одной-единственной американской военной базы. {nl}{nl}Результаты данного исследования могут пригодиться антивирусным специалистам и правоохранительным органам при расследованиях компьютерных преступлений.
|