Internet Storm Center overvåker mistenkelig trafikk på det globale nettet, og publiserer hvert døgn en oversikt som viser tall på kilder til mistenkelig trafikk, og tall på mottak av mistenkelig trafikk. Tallet på kilder viser hvor mange forskjellige IP-adresser det er som sender ut mistenkelig trafikk til en bestemt port, mens tallet på mottak viser hvor mange ganger overvåkningsnodene har mottatt mistenkelig trafikk til en bestemt port.
Grafene nedenfor viser kilder og mottak av mistenkelig trafikk til port 135 de siste fire døgnene. Port 135 er den porten MSBlaster-ormen (også kjent som Blaster eller LoveSan) bruker i den innledende fasen av sine smitteforsøk.
MSBlaster ble først registrert mandag. Siden ormen ikke er alene om å sende mistenkelig trafikk til port 135, og tallet på registrerte mottak onsdag er lavere enn på søndag, tyder dette på at ormen har vært særdeles kortlivet, selv om tallet på registrerte kilder er betydelig høyere på onsdag enn på søndag, nærmere bestemt 17.000 mot 6.500.
Les også:
- [11.09.2003] Kritisk sårbarhet åpner for ny "MSBlaster-orm"
- [04.09.2003] Enda en MSBlaster-kopist arrestert
- [01.09.2003] Arrestert tenåring var ikke hjernen bak MSBlaster-ormen
- [29.08.2003] Tenåring angivelig bak MSBlaster-ormen
- [26.08.2003] Tidoblet trafikk til Microsoft TechNet
- [21.08.2003] Hjelpeormen verre enn skadeormen
- [19.08.2003] Norge oversvømt av datavirus og ormer
- [19.08.2003] Godartet orm jakter på MSBlaster
- [18.08.2003] Feilslått ormangrep mot Microsoft
- [15.08.2003] Strømbruddet overbelastet mobilnettet
- [14.08.2003] Annenhver Windows-krasj skyldes andre enn Microsoft
- [13.08.2003] MSBlaster blåste Telia Sonera av nettet
- [12.08.2003] Mange trolig smittet uten å vite det
- [12.08.2003] Blitskrig fra en varslet orm
I går, da de første tegnene på avtakende spredning ble registrert, fryktet ekspertene at MSBlaster likevel ville greie å smitte opptil en million kilder de kommende par ukene. De endelige tallene for onsdag, som viser at tallet på registrerte kilder er redusert fra 166.000 til 17.000, tyder snarer på at MSBlaster aldri vil komme i nærheten av denne mengden smittende avsendere.
Dette innebærer at Microsoft kan puste lettet ut. MSBlaster var programmert til å ramme oppdateringstjenesten for Windows med et tjenestenektangrep fra lørdag 16. august. Med den kraftige reduksjonen i tallet på kilder, vil dette angrepet antakelig ikke være særlig kraftig.
Selv da det ble antatt at tjenestenektangrepet kunne samle ressursene til rundt et par hundre tusen maskiner, antok ekspertene at Microsoft ville kunne holde stand, dels på grunn av kompetente mottiltak og en hensiktsmessig distribuert struktur på Windows Update, dels fordi angrepet fra MSBlaster ikke var programmert til særlig kraft. Ifølge eEye Digital Security vil det dreie seg om 50 datapakker per sekund fra hver angriper, det vil si rundt 16 kb/s som betraktes som forholdsvis lite for et tjenestenektangrep.