การค้นพบนี้เริ่มต้นขึ้นสำหรับเหยื่อรายแรกของ Conficker's

กราฟิก: Diego Aguirre หนอน Conficker มาจากไหน? นักวิจัยจากมหาวิทยาลัยมิชิแกนกำลังพยายามหาข้อมูลโดยใช้เครือข่ายเซ็นเซอร์อินเทอร์เน็ตเพื่อติดตามเหตุการณ์ที่เรียกว่า "ศูนย์ผู้ป่วย" ที่มีการติดเชื้อมากกว่า 10 ล้านเครื่องจนถึงปัจจุบัน (นี่เป็นวิธีการป้องกันตัวเอง)

มหาวิทยาลัยใช้เซ็นเซอร์ที่เรียกว่า Darknet Sensors ซึ่งก่อตั้งเมื่อประมาณหกปีก่อนเพื่อติดตามกิจกรรมที่เป็นอันตราย นักวิทยาศาสตร์คอมพิวเตอร์ได้รวมตัวกันเพื่อแลกเปลี่ยนข้อมูลที่เก็บรวบรวมจากเซ็นเซอร์ทั่วโลกที่เซ็นเซอร์สถานที่ต่างๆทั่วโลก

"เป้าหมายคือการเข้าใกล้พอสมควรเพื่อให้คุณสามารถเริ่มต้นการทำแผนที่ว่า Jon Oberheide, นักศึกษาระดับบัณฑิตศึกษาจาก University of Michigan กล่าวว่าโครงการนี้กำลังเริ่มต้นขึ้น "

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

ไม่ใช่งานง่าย หากต้องการหาหลักฐานที่บ่งบอกถึงเหยื่อผู้เคราะห์ร้ายนักวิจัยต้องกรองข้อมูลมากกว่า 50 เทราไบต์โดยหวังว่าจะได้รับลายเซ็นของ Conficker scan

หนึ่งในวิธีที่ Conficker ดำเนินการคือสแกนเครือข่าย คอมพิวเตอร์ที่มีช่องโหว่อื่น ๆ แต่จริงๆแล้วมันยากที่จะตรวจสอบได้แน่นอน Oberheide กล่าว "สิ่งที่ยากคือการหากิจกรรมการสแกน Conficker ที่ถูกต้องเนื่องจากมีการสแกนอื่น ๆ อีกมากมาย" เขากล่าว "

การติดตามผู้ป่วยได้เสร็จสิ้นลง ในปีพ. ศ. 2548 นักวิจัยได้ติดตามเหยื่อรายแรกของไส้เดือนอัจฉริยะ 2004 (pdf) ฐานทัพสหรัฐฯและระบุที่อยู่ IP ของยุโรปที่ใช้เรียกการโจมตีด้วย

เป็นเวลาหลายปีนับตั้งแต่ที่มีการแพร่ระบาดอย่างรวดเร็วอย่างที่ Conficker ได้ลุกขึ้นมา มีโอกาสไม่มากนักในการทำซ้ำความพยายามนี้

เมื่อ Conficker ปรากฏตัวครั้งแรกในเดือนตุลาคมแม้ว่านักวิจัยได้หยุดพัก เวิร์มอื่น ๆ ได้หลีกเลี่ยงการวิเคราะห์แบบนี้โดยการปิดกั้นที่อยู่ IP ของ darknet แต่ผู้เขียนของ Conficker ไม่ได้ทำเช่นนั้น "เรารู้สึกประหลาดใจมากที่ได้ทำการสุ่มตัวอย่างแบบสุ่มและไม่ได้ทำเครื่องหมายแบล็กลิสต์เฉพาะเซนเซอร์ของเรา" Oberheide กล่าว "ถ้าพวกเขาทำวิจัยนิดหน่อยพวกเขาก็สามารถค้นพบ [เครือข่ายของเรา] ได้"

ไม่นานหลังจากการระบาดของ Conficker นักวิจัยของมิชิแกนได้เห็นเซ็นเซอร์ของพวกเขาซึ่งเป็นที่มาของหนอนไวรัส เครือข่ายกำลังรวบรวมข้อมูลประมาณ 2G ต่อชั่วโมงในเดือนพฤศจิกายน แต่วันนี้ใกล้กับ 8G "การเพิ่มขึ้นของกิจกรรมที่เราได้เห็นในเซ็นเซอร์ Darknet เหล่านี้คือ … น่าเหลือเชื่อ" Oberheide กล่าว "ข้อมูลนี้เป็นประโยชน์มากแล้วเราสามารถย้อนกลับไปได้หกเดือนแล้วดูว่าหนอนตัวนี้กำลังทำอะไรอยู่บ้าง" เขาเสริมอีกว่า

กลุ่มอื่นที่เรียกว่า CAIDA (สมาคมสหกรณ์เพื่อการวิเคราะห์ข้อมูลทางอินเทอร์เน็ต) ได้เผยแพร่รายงานการวิเคราะห์ Conficker เดือนก่อนหน้านี้. นักวิจัยในมิชิแกนหวังว่าจะโพสต์การวิเคราะห์ข้อมูลที่คล้ายคลึงกันในช่วงสองสามสัปดาห์ข้างหน้า แต่อาจเป็นเวลาหลายเดือนก่อนที่ข้อมูลจะแคบลงไปถึงศูนย์ผู้ป่วย

ในระหว่างนี้ "เป้าหมายคือการเข้าใกล้คุณมากพอ จริงสามารถเริ่มต้นการทำแผนที่ออกว่าการแพร่กระจายเริ่มต้น "Oberheide กล่าวว่า