WormRadar, développé par Roger Thompson, est un projet qui a pour but d'écouter le trafic passant par une machine et de faire des statistiques sur les connexions entrantes en fonction des ports ciblés. Le résultat final est un graphique disponible sur le site du projet mis à jour toutes les trente minutes.

L'objectif principal est de détecter les nouveaux Worms, bots, ou tentative de piratage. WormRadar est un outil "distribué" dans le sens où tous les clients participant au projet envoient leurs résultat à un serveur principal qui traitera les données.

En effet, les paquets reçus par le client sont analysés pour détecter les patterns déjà connus. On peut alors distinguer deux catégories de "connexion" :

• Les données non reconnus par le moteur, représentée par l'item rouge dans le graphique. Les noms sur le graphique sont déterminés à partir du protocole (TCP ou UDP principalement), du numéro de port et de la chaîne "unk".
  Exemple : t1433unk pour le port 1433 en TCP
• Les paquets reconnus par l'analyseur, en vert. Cette catégorie comptablilise également les paquets vides.

Ce qui nous intéresse le plus sont les données inconnues car si on reçoit sur un même port un nombre important de connexions, on peut découvrir un nouveau Worm ou une nouvelle faille.

A l'heure actuelle, un peu plus de 1500 nodes participent au projet. Les données sont uploadées au serveur par mail et par UDP (avec exactement le même contenu que le mail sans l'enveloppe).

Les projets similaires ne manquent pas (Dshield, ISC) et semblent beaucoup plus ouvert que WormRadar qui n'est disponible que sous forme binaire pour les systèmes Microsoft Windows (mais son auteur compterait porter l'application sous GNU/Linux).