01.06.2005г.
Новый метод отслеживания сетевых червей позволяет выявить источник заразы
Сотрудники Калифорнийского университета в Беркли и Политехнического института Джорджии выявили механизм распространения червя Witty, поразившего в марте 2004 года 12000 компьютерных систем менее чем за 75 минут, и сумели установить "нулевого пациента" - компьютер, с которого началось распространение червя по миру.
С 20 марта 2004 года, в 4:45 по Гринвичу этот червь, используя дыру в коммерческих брандмауэрах производства компании ISS, сумел поразить 12 тысяч компьютерных систем по всему миру.
Предполагалось, что червь случайным образом генерит сетевые адреса, по которым отсылает свою копию. Однако в ходе анализа кода червя, выяснилось, что он использует генератор псевдослучайных чисел, а следовательно, пути его распространения, а точнее, наиболее вероятный адрес следующей жертвы, можно вычислить.
Кроме того, исследователи собрали данные по всплескам активности трафика в тех сетях, где, как правило, данных передаётся очень мало или не передаётся вообще. При эпидемических вспышках, однако, "вирусный" трафик появляется и там.
"Во всей этой захлёстывающей массе данных просматривается чётко структурированный процесс, который можно расшифровать и прояснить, если использовать правильную математическую модель", - утверждают исследователи, подкрепляя свои слова практическими достижениями: с помощью собранных данных и благодаря анализу кода червя им удалось отследить "нулевого пациента" - компьютер в сети одного европейского провайдера.
Более того, стало ясно, что в первые десять секунд червь целился по 110 компьютерным системам, все из которых располагались в сетях одной-единственной американской военной базы.
Результаты данного исследования могут пригодиться антивирусным специалистам и правоохранительным органам при расследованиях компьютерных преступлений.
Источник: Компьюлента
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
