Wurm-Analyse führt zum Erstversender
Die Analyse der Pakete des Internet-Wurms Witty liefert nicht nur Daten über die infizierten Systeme, sondern führt auch zum urspünglichen Infektionsherd.
Der Internet-Wurm Witty infizierte vor einem Jahr über 10.000 Intrusion-Prevention- und Detection-Systeme des Herstellers Internet Security Systems in nur 75 Minuten. Abhishek Kumar, Vern Paxson und Nicholas Weaver untersuchten aufgefangene Pakete des Wurms und kamen dabei zu überraschend weitreichenden Erkenntnissen. Indem sie unter anderem den verwendeten Pseudozufallszahlengenerator des Wurms analysierten, konnten sie nicht nur Informationen über den Systemzustand der infizierten Systeme wie deren Uptime ermitteln. Sie stellten auch fest, dass der Wurm-Autor sein Machwerk über eine vorab erstellte Hitliste von verwundbaren Systemen in Umlauf brachte, bevor sich Witty dann zufällig neue Opfer suchte. Die 110 ersten Opfer auf der Hitliste wurden alle von einem System aus infiziert, das eine spezielle Version des Wurm-Codes ausführte. Die Forscher konnten sogar dessen IP-Adresse ermitteln, die zu einem europäischen Provider gehört.
Outwitting the Witty Worm von Abhishek Kumar, Vern Paxson und Nicholas Weaver (ju)
