Prosjektet har fått navnet Strider HoneyMonkey og har vært i gang en god stund. Men det er først nå Microsoft vil avsløre detaljene.
Omvendt «honeypot»
Microsofts system bygger på det såkalte «honeypot» (honningkrukke)-prinsippet der man setter opp usikrede (og noen sikrede) maskiner for å tiltrekke seg hackere og virusmakere. Ved å få dem i fella kan man studere metodene deres nøyere.
Det er likevel en viktig forskjell. Mens tradisjonelle «honeypots» lar vertsmaskiner trekke til seg klientmaskiner med uhumskheter, gjør «honeymonkey» det motsatte. Fellene er med andre ord usikrede klienter.
Kode på nettsider
For Microsoft er det viktigst å avdekke hvilke nettsider som inneholder skummel kode, for å bygge en database med opplysninger om disse sidene og avdekke hvem som står bak.
Annonse
Etterhvert som de fleste har skjønt at det ikke er så smart å åpne vedlegg i e-post med ukjent avsender, har det blitt mer og mer vanlig at virus, ormer og spionvare ligger på nettsider, eller bygges inn i e-postmeldinger som vises som nettsider (html). Slike virus kan infisere maskinen uten at brukeren har gjort noe annet enn å kikke på innholdet.
287 funnet hittil
I løpet av en måned har HoneyMonkey funnet 752 nettadresser med til sammen 287 nettsteder som leverer kode til usikrede PC-er.
For å få et overblikk over hvor smart koden er, tester Microsoft med varierende grad av sikring. Først blir koden kjørt på et upatchet system, deretter mot en maskin med SP1, så mot en SP2-maskin uten de siste oppdateringene og til slutt mot en maskin som er oppdatert med alle de siste sikkerhetspakkene.
Microsoft håper å skaffe seg et bevisgrunnlag som gjør at de stiller sterkere når de går til politiet med opplysningene. For Microsofts advokatkontor levner liten tvil om at de ønsker å fjerne viruskringkasterne fra nettet for godt.
Kilder:
Systemsmanagementpipeline.com
Research.microsoft.com (pdf).
.
Annonse
