24 giờ đầu tiên khi một virus hoặc worm bắt đầu xuất hiện thì nó sẽ lây lan nhanh nhất và gây thiệt hại nhiều nhất. Virus và worm lan truyền bằng nhiều kỹ thuật khác nhau, mỗi kỹ thuật có điểm mạnh và giới hạn của nó. CERT (Computer Emegency Response Term – Đội cấp cứu máy tính) được giao nhiệm vụ khi xác định “ổ dịch” mới thì phải cô lập nguyên nhân, loại bỏ các phần mềm độc hại, xác định phương thức lây nhiễm và sau đó phát triển các biện pháp phòng chống. Chúng ta hãy xem xét một vài trong số các “ổ dịch” lớn nhất trong những năm gần đây.
- Code Red I và Code Red II
Ngày 12 tháng 7 năm 2001, Code Red đã lợi dụng một lỗi tràn bộ đệm trong máy chủ web Microsoft IIS. Code Red đã lây nhiễm hơn 359000 máy tính trong hơn 24 giờ bằng cách quét ngẫu nhiên để thêm nạn nhân. Một vài tuần sau đó (ngày 04 tháng 8 năm 2001) Code Red II, một worm khác, nhưng nâng cao hơn, khai thác lỗ hổng tương tự để lây nhiễm 275000 máy tính. Payload được phân tích từ các phiên bản của Code Red có thể phá hoại trang web, tạo backdoors, từ chối dịch vụ và nhắm mục tiêu tấn công vào website của Nhà Trắng. Chi phí ước tính phục hồi liên kết với các worm trên là gần 2,6 tỉ đô la.
- Slammer
Ngày 25 tháng 1năm 2003, Slammer với kích thước chỉ có 376 byte, lan truyền chính nó qua cổng UDP 1434 bằng cách khai thác một lỗ hổng tràn bộ đệm trong phiên bản chưa được vá của Microsoft SQL Server. Các host bị nhiễm sẽ quét ngẫu nhiên các địa chỉ IP khác và nhanh chóng lan tới các host bị lỗ hổng khác. Thật ấn tượng, hầu hết nạn nhân của Slammer (55.000 đến 75.000 nạn nhân) đã bị nhiễm trong 10 phút đầu tiên. Tốc độ lây lan cực kỳ nhanh đã gây ra ngẽn mạng toàn cầu, ảnh hưởng tới hàng triệu máy, và thiệt hại ước tính hàng tỷ đô la.
- Blaster
Ngày 11 tháng 8 năm 2003, Blaster worm bằng cách tạo ra các Remote Procedure Call (RPC) tấn công vào các phiên bản chưa được vá của máy tính Microsoft Windows. Khi máy tính bị nhiễm, con worm này sẽ mở một TFTP (Trivial File Transfer Protocol) command shell đến các máy khác bị nhiễm bệnh và tải payload đó. Trong vòng 24 giờ, Blaster đã nhiễm 336000 máy tính trên khắp toàn cầu. Ở máy tính bị nhiễm, Blaster thay đổi hệ thống để khởi động chính nó ở thời gian khởi động và bắt đầu quét Internet để lây nhiễm sang các máy dễ bị tổn thương khác.