Сотрудники Калифорнийского университета в Беркли и Политехнического института Джорджии выявили механизм распространения червя Witty, поразившего в марте 2004 года 12000 компьютерных систем менее чем за 75 минут, и сумели установить “нулевого пациента” – компьютер, с которого началось распространен
е червя по миру.
С 20 марта 2004 года, в 4:45 по Гринвичу этот червь, используя дыру в коммерческих брандмауэрах производства компании ISS, сумел поразить 12 тысяч компьютерных систем по всему миру.
Предполагалось, пишет Compulenta.ru, что червь случайным образом генерит сетевые адреса, по которым отсылает свою копию. Однако в ходе анализа кода червя, выяснилось, что он использует генератор псевдослучайных чисел, а следовательно, пути его распространения, а точнее, наиболее вероятный адрес следующей жертвы, можно вычислить.
Кроме того, исследователи собрали данные по всплескам активности трафика в тех сетях, где, как правило, данных передаЈтся очень мало или не передаЈтся вообще. При эпидемических вспышках, однако, “вирусный” трафик появляется и там.
“Во всей этой захлЈстывающей массе данных просматривается чЈтко структурированный процесс, который можно расшифровать и прояснить, если использовать правильную математическую модель”, – утверждают исследователи, подкрепляя свои слова практическими достижениями: с помощью собранных данных и благодаря анализу кода червя им удалось отследить “нулевого пациента” – компьютер в сети одного европейского провайдера.
Более того, стало ясно, что в первые десять секунд червь целился по 110 компьютерным системам, все из которых располагались в сетях одной-единственной американской военной базы.
Результаты данного исследования могут пригодиться антивирусным специалистам и правоохранительным органам при расследованиях компьютерных преступлений.