Slammer-ormens opphav lar seg ikke spore

Det er lite trolig at FBI og andre etterforskere vil kunne spore seg tilbake til opphavet til Slammer-ormen.

Problemet med å spore opphavet til Slammer-ormen, som i helga åt båndbredde i både det offentlige Internettet og i mange interne nett, er at den har egenskaper som på mange måter er helt utypiske for ondsinnet kode med stor spredning. Det innebærer at metoder som har ført fram i tidligere tilfeller, ikke gir resultater med Slammer.

Les også:

Virusmakere legger gjerne igjen klare spor i koden. Det var tilfellet med "I Love You" ormen, der det i løpet av få timer ble avdekket referanser til dataskolen der opphavet hadde vært elev. Ingen slike spor er funnet i Slammer.


En annen mulighet er å avdekke spesielle programmeringsteknikker. Analysen av den svært kompakte koden til Slammer - 367 tegn eller bytes - viser bare en likhet med modellkode offentliggjort for flere måneder siden av sikkerhetsekspert David Litchfield i NGSSoftware, mannen som oppdaget det aktuelle sikkerhetshullet i Microsoft SQL Server. Litchfields modell dannet grunnlaget for en annen modell offentliggjort for noen uker siden av den kinesiske hackergruppen Honkers Union of Chine, en forening kjent for sine dataangrep mot mål i USA i 2001. Men Honker har ikke tatt på seg noe ansvar, og ekspertene mener det foreløpig ikke er noe grunnlag for å påstå at Honker har noe med Slammer-angrepet å gjøre.

En tredje mulighet er å nøste seg bakover i trafikkjeden, fra de første maskinene som ble smittet, og forsøke å finne den maskinen som sendte det første eksemplaret av Slammer. Dette er praktisk talt umulig, fordi ormen bruker en spesiell teknikk som effektivt dekker over dette sporet. Etterforskning i USA har avdekket de første ofrene i det landet, mens internasjonal etterforskning har funnet fram til tidlige ofre i Hongkong og Sør Korea.

Ifølge Cnet har Bruce Schneier i sikkerhetsselskapet Counterpane avslørt at en sørkoreansk server sonderte en SQL Server-installasjon i Australia rundt klokka 20:00 GMT på fredag, altså ni og en halv time før angrepet startet for alvor. Men ingen annen mistenkelige sonderinger er avslørt, og Schneier sier det han har funnet ikke behøver å bety noe som helst.

Den fjerde muligheten er nå å overvåke diskusjonsfora på nettet. Flere virusmakere er blitt avslørt av sin uimotståelige trang til å skryte av sine bedrifter, blant dem waliseren Simon Vallor som fikk to års ubetinget for sine usmakelige forsøk på å utnytte terrorfrykten etter 11. september 2001.

Les også

Til toppen