Сотрудники Калифорнийского университета в Беркли и Политехнического института Джорджии выявили механизм распространения червя Witty, поразившего в марте 2004 года 12000 компьютерных систем менее чем за 75 минут, и сумели установить "нулевого пациента" - компьютер, с которого началось распространен е червя по миру. С 20 марта 2004 года, в 4:45 по Гринвичу этот червь, используя дыру в коммерческих брандмауэрах производства компании ISS, сумел поразить 12 тысяч компьютерных систем по всему миру. Предполагалось, пишет Compulenta.ru, что червь случайным образом генерит сетевые адреса, по которым отсылает свою копию. Однако в ходе анализа кода червя, выяснилось, что он использует генератор псевдослучайных чисел, а следовательно, пути его распространения, а точнее, наиболее вероятный адрес следующей жертвы, можно вычислить. Кроме того, исследователи собрали данные по всплескам активности трафика в тех сетях, где, как правило, данных передаЈтся очень мало или не передаЈтся вообще. При эпидемических вспышках, однако, "вирусный" трафик появляется и там. "Во всей этой захлЈстывающей массе данных просматривается чЈтко структурированный процесс, который можно расшифровать и прояснить, если использовать правильную математическую модель", - утверждают исследователи, подкрепляя свои слова практическими достижениями: с помощью собранных данных и благодаря анализу кода червя им удалось отследить "нулевого пациента" - компьютер в сети одного европейского провайдера. Более того, стало ясно, что в первые десять секунд червь целился по 110 компьютерным системам, все из которых располагались в сетях одной-единственной американской военной базы. Результаты данного исследования могут пригодиться антивирусным специалистам и правоохранительным органам при расследованиях компьютерных преступлений.