Den mest effektive kur mod en orm, som spreder sig via beskedtjenester eller chatprogrammer, er at koble de brugere fra, som har flest venner.
Brugere med mange kontakter sætter simpelthen ormene i stand til at sprede sig så hurtigt, at det er umuligt at dæmme op for truslen på konventionel vis.
Det er konklusionen på en undersøgelse foretaget af Hewlett-Packard af ormes opførsel, når de spredes gennem beskedtjenester som MSN Messenger, ICQ, AOL Instant Messenger og Yahoo Messenger.
Popularitet smitter
Når en orm inficerer en pc, som tilhører en bruger af disse tjenester, vil den blive spredt til de kontaktpersoner, brugeren har.
De fleste brugere har kun få personer på deres kontaktliste, men en lille gruppe fungerer som knudepunkter, fordi de har mange kontakter.
Det afgørende for, hvor meget en orm spredes, er derfor disse knudepunkter. Når ormen først når til et knudepunkt bliver der for alvor sat fart på spredningen.
Derfor er den bedste strategi at sikre netop disse knudepunkter først. Men det skal gå hurtigt.
Forsøgene, som blev gennemført med HP's egen interne beskedtjeneste, viste nemlig, at det ikke tager mere end 10 til 20 sekunder for en orm at indtage et komplet netværk med 700 brugere.
Derfor vil traditionel antivirusstrategi ikke kunne nå at slå til mod en ny orm, fordi ormen næsten øjeblikkeligt vil sprede sig til samtlige brugere, der er online på beskedtjenesten.
Unaturlig adfærd advarer
I stedet mener Matthew Williamson, som udførte forsøgene for HP, at man bør udnytte den måde beskedtjenesterne bruges på.
Selv de personer, som har mange kontakter sender kun daglige beskeder til en lille gruppe.
Derfor kan beskeder, som sendes til personer uden for den daglige kontaktgruppe, sættes i en kø med en lille forsinkelse. Hvis denne kø vokser over en vis størrelse, før den bliver afviklet, er det tegn på, at det ikke er brugeren selv, der står bag beskederne.
Sådan en unaturlig adfærd kan bruges til at isolere brugeren, så han ikke længere fungerer som knudepunkt for ormen.
Ved blot at fjerne de brugere, som har 100 kontakter eller mere, kan udbruddet i stedet begrænses til mindre dele af netværket.
Andre vaner hos teenagere
Matthew Williams understreger dog, at forsøget hos HP blev udført blandt de ansatte, og der derfor kan være anderledes adfærdsmønstre hos andre brugergrupper.
- Det kan være, at teenagere har andre vaner og måske er i stand til at holde flere samtidige samtaler i gang, siger han.
Alligevel mener han, at strategien også vil kunne bruges til at stoppe orm, der spredes på de kommercielle beskedtjenester, da ormens adfærd vil være den samme uanset brugergruppen.
