Internetormen Witty, som i marts 2004 inficerede tusindvis af computere over hele verden, blev plantet på en pc koblet op hos en europæisk internetudbyder.
Tre amerikanske forskere har fundet frem til Witty-ormens oprindelse ved at studere den måde, ormen spredte sig på. Det skriver magasinet New Scientist.
Når en dødbringende virus bryder ud, kan det være afgørende at finde den originale smittekilde, det første offer.
Kan lede til bagmanden
Det samme gælder for epidemier af computervirus, hvor det første inficerede system kan lede efterforskerne til bagmanden.
Sådan en jagt satte tre forskere fra University of California og Georgia Institute of Technology i gang for at finde frem til den første computer, som Witty-ormen inficerede.
Witty-ormen udnyttede en sårbarhed i sikkerhedssoftware fra firmaet Internet Security Systems til at sprede sig automatisk. Ormen genererede tilfældige internetadresser, som den derefter forsøgte at inficere.
Imidlertid var ormens tilfældighedsgenerator ikke tilfældig og sprang et adresseområde over, og det var den ene ledetråd, forskerne behøvede.
Udnyttede nettets struktur
Som deres anden ledetråd udnyttede forskerne selve internettets struktur. Internettet har mange afkroge, hvor der stort set ikke finder nogen netværkstrafik sted. Derfor vil trafikken fra en orm være ekstra tydelig, hvis den kommer fra sådan en del af internettet.
Overvågning af disse tavse områder bruges netop i såkaldte netværksteleskoper til at overvåge aktivitet fra ondsindede programmer.
Forskerne fandt derfor frem til, at Witty-ormen først blev plantet på en pc koblet op hos en europæisk internetudbyder og derfra i de første ti sekunder af sin levetid angreb 110 systemer på en amerikansk militærbase.
I de færreste tilfælde vil det første offer være bagmandens egen pc. Derfor vil en efterforskning sjældent være overstået, når det første inficerede system er fundet.
Relevant link
