Mekanisme Penyebaran

Worm menginfeksi host korban dan memasukkan kode program—
sebagai bagian dari program worm—ke dalamnya.
Kode program
tersebut dapat berupa machine code, atau routine untuk menjalankan
program lain yang sudah ada pada host korban.
Dalam proses
penyebarannya, worm harus mencari korban baru dan menginfeksi
korban dengan salinan dirinya. Proses pendistribusian tersebut dapat
berlangsung sebagai proses distribusi satuan (dari satu host ke host yang
lain) atau sebagai proses distribusi masal (dari satu host ke banyak host).
Proses distribusi masal dipertimbangkan sebagai metode penyebaran
tercepat dengan asumsi batasan yang digunakan adalah satuan waktu.
Terdapat beberapa mekanisme penyebaran yang digunakan worm
untuk menemukan calon korban yaitu dengan melakukan scanning,
mencari korban berdasarkan target list yang sudah dipersiapkan terlebih
dahulu oleh penulis worm atau berdasarkan list yang ditemukan pada
sistim korban maupun di metaserver, serta melakukan monitoring secara
pasif.
Scanning—Metode scanning melibatkan proses probing terhadap
sejumlah alamat di Internet dan kemudian mengidentifikasi host yang
vulnerable.
Dua format sederhana dari metode scanning adalah
sequential (mencoba mengidentifikasi sebuah blok alamat dari awal
sampai akhir) dan random (secara acak).
Penyebaran worm dengan metode scanning baik sequential mau-
pun random, secara komparatif dapat dikatakan lambat, namun jika
dikombinasikan dengan aktivasi secara otomatis, worm dapat menyebar
lebih cepat lagi. Worm yang menggunakan metode scanning biasanya
mengeksploitasi security holes yang sudah teridentifikasi sebelumnya
sehingga secara relatif hanya akan menginfeksi sejumlah host saja.
Metode scanning lainnya yang dinilai cukup efektif adalah dengan
menggunakan bandwidth-limited routine (seperti yang digunakan oleh Co-
deRed, yaitu dengan membatasi target dengan latensi koneksi dari sistim
yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan
target yang hanya terdapat pada local address (seperti dalam sebuah LAN
maupun WAN), dan permutasi pada proses pencarian.
Scanning yang dilakukan worm tidaklah spesifik terhadap aplikasi
sehingga attacker dapat menambahkan sebuah exploit baru pada sebuah
worm yang sudah dikenal. Sebagai contoh, worm Slapper mendapatkan
muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.
Secara umum, kecepatan scanning yang dilakukan adalah terbatas
pada kombinasi faktor seperti; jumlah mesin-mesin yang vulnerable,
desain dari scanner, dan kemampuan network monitoring system yang
mampu mengidentifikasikan keberadaan worm dengan meningkatnya
trafik yang cukup signifikan.
Target Lists—Sebuah worm dapat memiliki target list yang sudah
ditentukan sebelumnya oleh penulis worm tersebut. Dengan target list
yang sudah ditentukan terlebih dahulu membuat sebuah worm lebih
cepat dalam menyebar, namun tentu saja penyebaran tersebut akan sangat
terbatas karena target berdasarkan sejumlah alamat di Internet yang
sudah ditentukan.
Selain itu, worm dapat menemukan list yang dibutuhkan pada host
korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm
yang metode penyebarannya berdasarkan topologi network. Informasi
yang didapat contohnya adalah IP address sistim tersebut dan worm
mengembangkannya menjadi sebuah subnet pada LAN atau WAN.
Target list juga dapat diperoleh pada metaserver (server yang
memberikan informasi sejumlah server yang memiliki service yang
sama). Sebagai contoh, metaserver Gamespy memiliki daftar server yang
menyediakan service game online. Sebuah worm yang memanfaatkan
metaserver akan melakukan query terlebih dahulu untuk mengetahui
keberadaan target yang baru. Metode ini juga dapat mempercepat proses
penyebaran sebuah worm yang menyerang webserver, worm dapat
menggunakan Google atau mesin pencari lainnya sebagai metaserver
untuk menemukan target.
Monitoring secara Pasif—Worm pasif tidak mencari korbannya,
namun worm tersebut akan menunggu calon korban potensial dan
kemudian menginfeksinya. Walaupun metode ini lebih lambat namun
worm pasif tidak menghasilkan anomalous traffic patterns sehingga
keberadaan mereka akan sulit diketahui.
Sebagai contoh, "anti-
worm" CRClean tidak membutuhkan aktivasi user, worm ini menunggu
serangan worm CodeRed dan turunannya, kemudian melakukan respon
dengan melakukan counter-attack. Jika proses counter-attack berhasil,
CRClean akan menghapus CodeRed dan menginfeksi korban dengan
menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar tanpa
melakukan proses scanning.