Investigadores da universidade Penn State, nos Estados Unidos, desenvolveram uma tecnologia anti-worm que detecta e intercepta estes programas malignos de maneira mais rápida que os sistemas convencionais e é também capaz de fornecer informações sobre a garantia dos ficheiros dispostos em quarentena pelo utilizador.
O PWC (Proactive Worm Containment) trabalha directamente a verificar a rede, o que reduz o tempo para bloquear ataques.
Segundo o centro de pesquisas que desenvolveu o projecto, muitas tecnologias utilizadas para o bloqueio de worms não respondem tão rapidamente aos ataques, criando aberturas e vulnerabilidades na rede. Como resultado, tais programas levam muito tempo entre reconhecer o ficheiro infectado e criar a assinatura para bloquear a propagação.

Por não depender de assinaturas, o PWC é diferente destes tipos de bloqueio de worms por trabalhar com a taxa ou frequência de conexões de um dado pacote e analisando a diversidade de conexões a outras redes, o que o torna mais ágil do que os que lançam mão de outras tecnologias: "Ele procura anomalias nos padrões de rede, impedindo que worms propaguem-se", diz o chefe das pesquisas PWC, Peng Liu.

De acordo com o site do Colégio de Ciências e Tecnologia da Penn State University, sistemas baseados em assinaturas podem em poucos minutos reconhecer um worm e interromper a proliferação. Porém, o tempo que estes sistemas levam para criar a assinatura é também o tempo suficiente para um worm recriar-se e propagar pela rede.

Liu estima que poderiam ser enviadas algumas dúzias de ficheiros infectados antes do worm ser colocado em quarentena pelo PWC. "Comparativamente, o worm Slammer, que atacava o Microsoft SQL Server, enviava em média 4.000 pacotes infectados a cada segundo", disse Liu.

Para verificar se um host suspeito está infectado ou não, o PWC utiliza duas técnicas novas que reduzem o efeito que poderia ser causado pelos ficheiros infectados: análise da janela de vulnerabilidade e análise de relaxamento.

A primeira é uma forma de verificar a vulnerabilidade de um software, definindo o intervalo de tempo em que medidas defensivas estão reduzidas, comprometidas ou ausentes. Quanto à segunda, trata-se de um artifício matemático de optimização visando a relaxar um dado requisito formal, ou seja substituindo-o por outro, descartando-o por completo.

O PWC pode ser agregado a filtros baseados em assinaturas. Liu admite que o sistema não poderia ser capaz de marcar worms com propagação mais lenta, por estar focado nas conexões, entretanto afirma que isto já pode ser resolvido pelas tecnologias actualmente em uso. Pode-se conhecer mais sobre a tecnologia no website do Colégio de Ciências e Tecnologia de Penn State através do atalho tinyurl.com/ypo6b5.