[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: CodeRed - Medienecho?
- To: Gert Doering <gert@greenie.muc.de>
- Subject: Re: CodeRed - Medienecho?
- From: Thomas Roessler <roessler@does-not-exist.org>
- Date: Thu, 2 Aug 2001 11:00:03 +0200
- Cc: Florian Laws <flaws@bawue.de>, "debate@lists.fitug.de" <debate@lists.fitug.de>
On 2001-08-02 10:03:33 +0200, Gert Doering wrote:
>Erstere Zahl waere plausibel: wir haben insgesamt bisher nur ca.
>20-30 "Hits" pro Server-Log gehabt, und in unseren Kundennetzen
>nur ca. 5-6 infizierte Server.
In jedem Fall folgt aus der Ausbreitungsrate des Wurms, daß beim
Juli-Ausbruch ca. 2.3 mal so viele Computer angreifbar waren wie
dieses Jahr. Man kann also durchaus annehmen, daß auch dieses Mal
mehr als 100.000 Computer betroffen waren - immerhin gibt es für
Juli untere(!) Schranken im Bereich von 300.000-500.000 infizierten
Maschinen.
Nehmen wir an, daß die dieses Mal nicht mehr angreifbaren Computer
zu der angeblichen Million (fragt mich nicht, wo ich das
aufgeschnappt habe) Downloads des Patches bei Microsoft gehören, die
seit letzter Woche stattfanden. Das würde dann auf ca. 800.000
infizierbare Computer führen (K(Jul) = 1.7, K(Aug) = 0.75; K meint
dabei die Anzahl infizierbarer Computer, die ein infizierter
Computer pro Stunde beim Scannen auffindet und infizieren kann;
auch: "Ausbreitungsrate").
Da die (aus der logistischen Differentialgleichung kommende)
Wachstumskurve der Infektionen mittlerweile klar im
Sättigungsbereich angekomme ist (siehe www.incidents.org), sind
diese Computer mittlerweile praktisch sämtlich infiziert.
Die Reuters-Zahl von 800.000 infizierten Rechnern wäre damit nicht
vollkommen ungerechtfertigt; sie würde 1.8 Mio tatsächlich
infizierte Rechner im ersten "Durchlauf" liefern.
Gegenprobe: In der ersten vollen Analyse des Wurms (damals noch
CRv1) auf bugtraq spricht Marc Maiffret davon, daß ein Exemplar des
Wurms pro Tag "roughly half a million IP addresses" (21.000 pro
Stunde) angreifen könne. Das wären 5.8 IP-Adressen pro Sekunde.
Man erhält aus diesen Zahlen ca. 150.000 infizierte Systeme für den
August-Ausbruch oder 350.000 infizierte Systeme für den
Juli-Ausbruch (das ist vermutlich eine zu niedrige Abschätzung,
i.e., die Scanrate ist zu hoch angesetzt).
Eine Ausbreitungsrate von 0.75 und eine Gesamtpopulation von 800.000
infizierbaren Rechnern würde andererseits - wenn ich mich nicht
verrechne - zu einer Scanrate von nur ca. 4000 IP-Adressen pro
Stunde (ca. 1 IP-Adresse pro Sekunde) führen. Dieser Wert erscheint
doch eher niedrig.
Fazit: Die Zahl der in diesem Durchlauf infizierten Systeme liegt
irgendwo im Bereich zwischen 150.000 und 800.000; für Juli sind es
zwischen 350.000 und 1.8 Mio Hosts.
--
Thomas Roessler http://log.does-not-exist.org/