セキュリティ

Confickerの最初の犠牲者

大学では、悪意のある活動を追跡するために約6年前に設置された、いわゆるダークネットセンサーを使用しています。米国国土安全保障省からの資金提供を受けて、コンピュータ科学者たちは、世界中のセンサのセンサから収集したデータを共有するために一緒に結束しています。

"目標は、普及が始まりました」と、プロジェクトに取り組んでいるミシガン大学の大学院生であるJon Oberheideは語っています。

[詳しい情報:Windows PCからマルウェアを削除する方法]

これは簡単な仕事ではありません。被害者を特定する手がかりを見つけるには、Confickerスキャンの兆候を見いだすために、50テラバイト以上のデータをスキャンする必要があります。

Confickerの動きの1つは、 Oberheide氏によると、他の脆弱なコンピュータもあるが、それを特定するのは本当に難しいだろう。 「困難なことは、他の多くのスキャンが行われているため、正確なConfickerスキャン活動を見つけることです」と彼は言いました。しかし、患者のゼロ追跡は完了しています。 2005年には、2004年Wittyワームの最初の被害者(pdf)の米軍基地を追跡し、攻撃を開始するために使用されたヨーロッパのIPアドレスを特定しました。

Confickerが登場してから何年も経ちました。この努力を再現する機会はあまりありませんでした。しかし、Confickerが10月にはじめて登場したとき、研究者は休憩を取った。他のワームは、ダークネットのIPアドレスをブロックすることでこの種の分析をやめてしまったが、Confickerの作者はそれをしなかった。 Oberheide氏は、「これは完全にランダムなスキャンを行い、我々の特定のセンサーをブラックリストに載せなかったことは驚きでした。 「彼らがちょっとした研究をしたら、彼らはネットワークを発見できただろう」と話している。

Confickerの発生後すぐに、ミシガンの研究者は彼らのセンサーに大きなスパイクを見た。ネットワークは11月に1時間あたり約2Gのデータを収集していましたが、最近では8Gに近づいています。 「これらのDarknetセンサーで見られた活動の増加は信じられないほどです」とOberheide氏は述べています。 「このデータは実際に役立つので、6ヶ月前に戻って、このワームが実際に何をしていたかを見ることができる」とCAIDA(Internet Data Analysis Cooperation Association)と呼ばれる別のグループがConfickerの分析を今月開始した。ミシガン州立大学の研究者は、数週間後にも同様のデータ分析を行うことを望んでいますが、患者ゼロになるまで数ヶ月かかる可能性があります。

その間、「目標は十分です広がりがどのように始まったかを実際にマッピングし始めることができます」と、Oberheideは述べています。