[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: CodeRed - Medienecho?

To: Gert Doering <gert@greenie.muc.de>
Subject: Re: CodeRed - Medienecho?
From: Thomas Roessler <roessler@does-not-exist.org>
Date: Thu, 2 Aug 2001 11:00:03 +0200
Cc: Florian Laws <flaws@bawue.de>, "debate@lists.fitug.de" <debate@lists.fitug.de>

On 2001-08-02 10:03:33 +0200, Gert Doering wrote:

>Erstere Zahl waere plausibel: wir haben insgesamt bisher nur ca. 
>20-30 "Hits" pro Server-Log gehabt, und in unseren Kundennetzen 
>nur ca. 5-6 infizierte Server.

In jedem Fall folgt aus der Ausbreitungsrate des Wurms, daß beim 
Juli-Ausbruch ca. 2.3 mal so viele Computer angreifbar waren wie 
dieses Jahr.  Man kann also durchaus annehmen, daß auch dieses Mal 
mehr als 100.000 Computer betroffen waren - immerhin gibt es für 
Juli untere(!) Schranken im Bereich von 300.000-500.000 infizierten 
Maschinen.

Nehmen wir an, daß die dieses Mal nicht mehr angreifbaren Computer 
zu der angeblichen Million (fragt mich nicht, wo ich das 
aufgeschnappt habe) Downloads des Patches bei Microsoft gehören, die 
seit letzter Woche stattfanden.  Das würde dann auf ca. 800.000 
infizierbare Computer führen (K(Jul) = 1.7, K(Aug) = 0.75; K meint 
dabei die Anzahl infizierbarer Computer, die ein infizierter 
Computer pro Stunde beim Scannen auffindet und infizieren kann; 
auch: "Ausbreitungsrate").

Da die (aus der logistischen Differentialgleichung kommende) 
Wachstumskurve der Infektionen mittlerweile klar im 
Sättigungsbereich angekomme ist (siehe www.incidents.org), sind 
diese Computer mittlerweile praktisch sämtlich infiziert.

Die Reuters-Zahl von 800.000 infizierten Rechnern wäre damit nicht 
vollkommen ungerechtfertigt; sie würde 1.8 Mio tatsächlich 
infizierte Rechner im ersten "Durchlauf" liefern.

Gegenprobe: In der ersten vollen Analyse des Wurms (damals noch
CRv1) auf bugtraq spricht Marc Maiffret davon, daß ein Exemplar des 
Wurms pro Tag "roughly half a million IP addresses" (21.000 pro 
Stunde) angreifen könne.  Das wären 5.8 IP-Adressen pro Sekunde.

Man erhält aus diesen Zahlen ca. 150.000 infizierte Systeme für den 
August-Ausbruch oder 350.000 infizierte Systeme für den 
Juli-Ausbruch (das ist vermutlich eine zu niedrige Abschätzung, 
i.e., die Scanrate ist zu hoch angesetzt).

Eine Ausbreitungsrate von 0.75 und eine Gesamtpopulation von 800.000 
infizierbaren Rechnern würde andererseits - wenn ich mich nicht 
verrechne - zu einer Scanrate von nur ca. 4000 IP-Adressen pro 
Stunde (ca. 1 IP-Adresse pro Sekunde) führen.  Dieser Wert erscheint 
doch eher niedrig.

Fazit: Die Zahl der in diesem Durchlauf infizierten Systeme liegt 
irgendwo im Bereich zwischen 150.000 und 800.000; für Juli sind es 
zwischen 350.000 und 1.8 Mio Hosts.

-- 
Thomas Roessler                        http://log.does-not-exist.org/

Prev by Date: Re: CodeRed - Medienecho?
Next by Date: Re: SirCam
Prev by thread: Re: CodeRed - Medienecho?
Next by thread: Re: CodeRed - Medienecho?
Index(es):
- Date
- Thread