Se lanza una búsqueda para la primera víctima de Conficker

Gráfico: Diego Aguirre ¿Dónde hizo la Conficker gusano viene? Investigadores de la Universidad de Michigan están tratando de descubrir, utilizando una amplia red de sensores de Internet para rastrear el llamado "cero paciente" de un brote que ha infectado a más de 10 millones de computadoras hasta la fecha. (Aquí te explicamos cómo protegerte).

La universidad usa los llamados sensores de red oscura que se instalaron hace unos seis años para realizar un seguimiento de la actividad maliciosa. Con fondos del Departamento de Seguridad Nacional de los EE. UU., Los científicos informáticos se han unido para compartir datos recopilados de sensores de sensores de todo el mundo.

"El objetivo es acercarse lo suficiente para poder comenzar a diseñar cómo comenzó la propagación ", dijo Jon Oberheide, un estudiante graduado de la Universidad de Michigan que está trabajando en el proyecto.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

No es un trabajo fácil. Para encontrar las minúsculas pistas que identificarán a la víctima, los investigadores deben examinar más de 50 terabytes de datos, con la esperanza de encontrar las firmas reveladoras de un escáner Conficker.

Una de las formas en que Conficker se mueve es escaneando la red en busca de otras computadoras vulnerables, pero puede ser realmente difícil detectarlo con certeza, dijo Oberheide. "Lo difícil es encontrar la actividad de escaneo de Conficker exacta, porque hay muchos otros escaneos en curso", dijo.

Sin embargo, se ha realizado un seguimiento del cero del paciente. En 2005, los investigadores rastrearon a la primera víctima del gusano Witty 2004 (pdf) una base militar de EE. UU. E incluso identificaron la dirección IP europea utilizada para lanzar el ataque.

Han pasado años desde que surgió algo tan generalizado como Conficker, por lo que no ha habido muchas posibilidades de reproducir este esfuerzo.

Cuando Conficker apareció por primera vez en octubre, sin embargo, los investigadores tomaron un descanso. Otros gusanos habían eludido este tipo de análisis bloqueando las direcciones IP de darknet, pero los autores de Conficker no lo hicieron. "Nos sorprendió un poco que hiciera este escaneo completamente aleatorio, y no pusimos en la lista negra nuestros sensores particulares", dijo Oberheide. "Si hubieran hecho un poco de investigación, podrían haber descubierto nuestra [red]".

Poco después del brote de Conficker, los investigadores de Michigan vieron un gran pico en sus sensores, que atribuyeron al gusano. La red recolectaba aproximadamente 2G de datos por hora en noviembre, pero en estos días está más cerca de 8G. "El aumento en la actividad que hemos visto en estos sensores Darknet es … increíble", dijo Oberheide. "Ahora estos datos son realmente útiles: podemos retroceder seis meses y ver qué estaba haciendo realmente este gusano", agregó.

Otro grupo, llamado CAIDA (la Asociación Cooperativa para el Análisis de Datos de Internet) publicó el análisis Conficker a principios de este mes. Los investigadores de Michigan esperan publicar un análisis similar de sus datos en las próximas semanas, pero podrían pasar meses antes de que reduzcan el número de pacientes al cero. Mientras tanto, "el objetivo es acercarse lo suficiente para que en realidad puede comenzar a trazar cómo comenzó la propagación ", dijo Oberheide.