En søgning er lanceret til Conficker's første offer

Grafisk: Diego Aguirre Hvor har den Conficker orm kommer fra? Forskere ved University of Michigan forsøger at finde ud af at bruge et stort netværk af internet sensorer til at spore den såkaldte "patient zero" af et udbrud, der har inficeret mere end 10 millioner computere til dato. (Sådan beskytter du dig selv.)

Universitetet bruger såkaldte darknet-sensorer, der blev oprettet for omkring seks år siden for at holde styr på ondsindet aktivitet. Med finansiering fra US Department of Homeland Security har computerforskere bundet sammen for at dele data indsamlet fra sensorer rundt om i verdenens stedfølere over hele verden.

"Målet er at komme tæt nok, så du faktisk kan begynde at kortlægge, hvordan spredt startede ", siger Jon Oberheide, en kandidatstuderende med University of Michigan, der arbejder på projektet.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det er ikke et nemt job. For at finde de ringe spor, der identificerer ofret, skal forskere sejle gennem mere end 50 terabyte data, i håb om at finde signaturerne for en Conficker-scanning.

En af de måder, Conficker bevæger sig på, er at scanne netværket til andre sårbare computere, men det kan være meget svært at se det sikkert, sagde Oberheide. "Det svære er at finde den nøjagtige Conficker-scanningsaktivitet, fordi der stadig er mange andre scanninger," sagde han.

Sporing af patient nul er imidlertid blevet gjort. I 2005 fulgte forskerne 2004 Witty Worms første offer, (pdf) en amerikansk militærbase og identificerede endog den europæiske IP-adresse, der blev brugt til at starte angrebet.

Det har været år siden noget så udbredt, som Conficker har overvejet der har ikke været mange chancer for at reproducere denne indsats.

Da Conficker først blev optaget i oktober, tog forskerne en pause. Andre orme havde dodged denne form for analyse ved at blokere de darknet IP-adresser, men Conficker forfattere gjorde det ikke. "Vi var meget overraskede over, at det gjorde denne helt tilfældige scanning og ikke blacklist vores specifikke sensorer," sagde Oberheide. "Hvis de havde gjort lidt forskning, kunne de have opdaget vores [netværk]."

Snart efter Conficker-udbruddet så Michiganforskerne en stor stigning på deres sensorer, som de tilskrives ormen. Netværket samlede omkring 2G data pr. Time i november, men i disse dage er det tættere på 8G. "Den stigning i aktivitet, vi har set på disse Darknet-sensorer, er … utroligt," sagde Oberheide. "Nu er disse data rent faktisk nyttige, vi kan gå tilbage seks måneder og se, hvad denne orm faktisk gjorde," tilføjede han.

En anden gruppe, kaldet CAIDA (Cooperative Association for Internet Data Analysis), offentliggjorde Conficker analyse tidligere i måneden. Michigan forskerne håber at sende en lignende analyse af deres data i de næste par uger, men det kan vare måneder før de indsnævrer tingene ned til patientens nul.

I mellemtiden er målet at komme tæt nok, så du kan faktisk begynde at kortlægge, hvordan spredningen startede, "sagde Oberheide.