Állítsd be, hogy az Economx az elsők között legyen a Google-találatokban!
Tíz évvel ezelőtt egy tipikusnak számító vírusnak (mint amilyen például a Form vagy a Cascade volt akkoriban) nagyjából három évre volt szüksége ahhoz, hogy első felbukkanásától kezdve világméretű elterjedtségre tegyen szert. Az e-mail-vírusok és az interneten keresztül terjedő féregprogramok megjelenésével ez az idő hihetetlen módon lerövidült. A közelmúlt kártevői közül a Loveletternek vagy a Gonernek 3-4 óra már elegendő volt a szétterjedéshez, sőt, ez az idő az SQLSlammer esetében a becslések szerint alig fél óra lehetett. Ahhoz, hogy a védelmi rendszerek képesek legyenek ezeket az elképesztően gyorsan terjedő kártevőket megállítani, felfogásbeli változásnak kellett bekövetkeznie a víruskeresők fejlesztőinél, de ez még nem elég: a rendszergazdáknak és a felhasználóknak is igazodniuk kell ehhez a tempóhoz. Az ugyanis nem elfogadható, hogy a vírusvédelem félnapos késéssel reagáljon egy-egy terjedésnek indult új kártevőre, ennyi idő alatt ugyanis egy tipikus e-mail-vírus már mindenhova eljutott, több százezer gépet megfertőzve.
A rendszergazdáknak is készen kell állniuk arra, hogy veszély esetén késedelem nélkül letöltsék és terítsék a frissítéseket. A vírusvédelmi rendszerek gyártóinak nagy felelősségük, hogy akkor, és csak akkor adjanak ki vírusriasztásokat, ha komoly a fenyegetés, hiszen a gyakori, de kevésbé veszélyes riasztások elaltathatják a rendszergazdák éberségét.
És ez még mindig nem feltétlenül elég. Az évek során bevált reaktív modell szerint ugyanis az új vírusok feldolgozása a következő formában történik. Valahol a nagyvilágban egy felhasználó gyanús jeleket vesz észre a számítógépén. Úgy gondolja, hogy ezeket egy adott program okozza, ezért azt elküldi az általa használt víruskereső fejlesztőcsapatának. A laborban elemzik a beküldött példányt, elkészítik és tesztelik a vírusadatbázis-frissítést, amely felismerni és irtani tudja a vírust. Amennyiben sürgősnek tűnik az eset, postafordultával küldik a felhasználónak a frissítést. Az eljárás átfutási ideje legjobb esetben is két-három óra.
Fel kell adni azt a kényelmes elvet, hogy csak az ismert vírusokkal kell foglalkozni, az új vírusokkal majd csak a felbukkanásuk után, az első befogott példány ismeretében. Sokkal nagyobb hangsúlyt kell adni a heurisztikus víruskeresésnek, amely módszer nem arra keresi a választ, hogy az átvizsgált program azonos-e egy már ismert vírussal, hanem azt elemzi, csinál-e a program olyasmit, ami a vírusok tevékenységére jellemző - figyelmeztet Szappanos. Véleménye szerint az a program, amely úgy viselkedik, úgy tevékenykedik, mint egy vírus, az nagy valószínűséggel az is.
