Skip to main content
SpringerLink
Log in

Suppressing the Spread of Email Malcode using Short-term Message Recall

Empêcher la propagation de codes malicieux de courriers électroniques par l’utilisation du rappel de message à court-terme

Suppressing the Spread of Email Malcode Using Short-Term Recall Omezení šíření škodlivého kódu v emailech pomocí krátkodobého zpětného volání

Sähköpostitse leviävien haitallisten ohjelmien rajoittaminen toteuttamalla sähköpostin lähetyksen peruminen

Sopprimere la diffusione di codice virale via email utilizzando meccanismi di richiamo a breve termine

Unterdrückung von der Verteilung maliziösem Codes durch kurzfristige Zurückholung von EMails

  • Original Paper
  • Published:
Journal in Computer Virology Aims and scope Submit manuscript

Abstract

Outbreaks of computer viruses and worms have established a pressing need for developing proactive antivirus solutions. A proactive antivirus solution is one that reliably and accurately detects novel malicious mobile code and one that either prevents damage or recovers systems from the damage that such code inflicts. Research has indicated that behavioral analysis, though provably imprecise, can feasibly predict whether novel behavior poses a threat. Nevertheless, even the most reliable detection methods can conceivably misclassify malicious code or deem it harmful only after substantial damage has taken place. The study of damage control and recovery mechanisms is, therefore, clearly essential to the development of better proactive systems. Earlier work has demonstrated that undoing the damage of malicious code is possible with an appropriate behavior monitoring and recording mechanism. However, it remains that even if a system is recovered, the virulent code may have already propagated to other systems, some of which may not be well-equipped in terms of proactive defenses. Curbing the propagation of undesired code once it has left the boundaries of a system is a hard problem and one that has not received much attention. This work focuses on a specific instance of this difficult problem: viruses and worms that spread by email. In this paper, we explore how advantageous it would be to have a short-term email undo mechanism whose purpose is to recall infected messages. Simulation results demonstrate that such ability can substantially curb the damage of email viruses on a global scale. The results are encouraging because they only assume technology that is either readily available or that is otherwise clearly practical today

Résumé

Les épidémies de virus et vers informatiques ont rendu nécessaire, de manière urgent, le développement de solutions antivirales proactives. Une solution antivirale proactive consiste à détecter de manière précise et fiable des codes malicieux nouveaux mais elle doit également permettre de prévenir et de réparer les dommages que de tels codes occasionnent. Les recherches ont montré que l’analyse antivirale comportementale, bien qu’il ait été prouvé qu’elle était imprécise, pouvait quelquefois déterminer si un nouveau comportement, pour un code, constitue une menace ou non. Néanmoins, même la plus fiable des méthodes de détection peut échouer ou bien décider de son caractère malveillant seulement après que des dommages aient été constatés. L’étude du contrôle des dommages au système et/ou aux données, ainsi que des mécanismes de restauration, est, par conséquent, essentielle pour le développement de meilleurs systèmes proactifs.

Des travaux antérieurs ont prouvé que la réparation des dommages provoqués par des codes mailcieux est possible à l’aide d’une surveillance comportementale appropriée et des mécanismes de sauvegarde adéquats. Toutefois, certains problèmes subsistent. Si un système est réparé, le code virulent peut s’être déjà propagé vers d’autres systèmes, certains d’entre eux pouvant ne pas être convenablement équipés en terme de défense proactive. Juguler la propagation de codes non désirés une fois qu’il s’est propagé au-delà des limites d’un système, est un problème difficile, qui n’a, à ce jour, pas fait l’objet de beaucoup d’études.

Cet article considère une instance particulière de ce problème difficile : les virus et les vers se propageant par l’intermèdiaire du courrier électronique. Nous étudions ici les avantages de disposer de mécanismes de réparation à court terme des messages éléctroniques, dont le but est de rappeler les-dits messages lorsqu’ils ont été déclarés infectés. Les simulations ont démontré qu’une telle capacité peut substantiellement limiter les dommages des virus et vers de courrier électronique, sur une large échelle. Ces résultats sont encourageants car ils reposent seulement sur des technologies qui sont disponibles très rapidement de nos jours ou faciles à mettre en pratique.

Abstract

Kalamita počítačových virů a červů vyvolala naléhavou potřebu vývoje proaktivních antivirových řešení. Proaktivní antivirové řešení je takové, které spolehlivě a přesně detekuje nový škodlivý mobilní kód a také předchází škodám, nebo obnovuje poškozené systémy, jež takový kód způsobil. Výzkum dal najevo, že analýza chování, byt’ pravděpodobně nepřesná, může vhodně předvídat nová chování předložených hrozeb. Nicméně pokud nejspolehlivější detekční metody mohou myslitelně špatně klasifikovat škodlivý kód, nebo pokládat ho za škodlivý jen po podstatném poškození, má svůj význam. Studium řízení poškození a mechanismu obnovy je proto zřejmě podstatné pro vývoj lepších proaktivních systémů.

Předchozí práce ukázala, že zkáza poškození škodlivého kódu je možná pomocí vhodného chování monitorovacího a záznamového mechanismu. Nicméně zbývá to, že i když je systém obnoven, může být virulentní kód již rozšířen do dalších systémů, z nichž některé nemusejí být dobře vybaveny ve výrazech proaktivní obrany. Omezování šíření nežádoucího kódu jednou ponechaného v hranicích systému je těžký problém a často mu není věnováno dost pozornosti.

Tato práce se zaměřuje na specifickou situaci tohoto obtížného problému: viry a červi šířené emailem. V tomto článku zjištujeme, jaké výhody by mohl mít krátkodobý zpětný mechanismus jehož účelem je zpětné volání infikovaných zpráv. Výsledky simulace ukázaly že taková schopnost může podstatně omezit škody emailových virů v globálním měřítku. Výsledky jsou povzbudivé, protože předpokládají pouze technologie bud’ snadno dostupné, nebo takové, které jsou jinak zřetelně účinné dnes.

Abstrakti

Tietokonevirusten ja -matojen nopea leviäminen on saanut aikaan tarpeen kehittää proaktiivisia virustentorjuntamenetelmiä. Proaktiivinen torjuntamenetelmä on sellainen, joka luotettavasti ja tarkasti tunnistaa uusia haitallisia koodeja ja joko estää vahinkoa tai palauttaa järjestelmiä haitallisen koodin aiheuttamalta tuholta. Tutkimukset ovat osoittaneet, että ohjelman käyttäytymisen tarkkaileminen, joskin todistettavasti epätarkkaa, pystyy ennustamaan, aiheuttaako uudenlainen käyttäytyminen vahinkoa. Kaikesta huolimatta jopa kaikkein luotettavimmat tunnistamismenetelmät voivat luokitella väärin haitallista koodia tai pystyvät todentamaan koodin haitallisuuden vasta merkittävän tuhon jälkeen. Tutkimusta vahingon säätelystä ja palautusmekanismeista siis tarvitaan, jotta parempia proaktiivisia järjestelmiä voidaan kehittää.

Aikaisempi tutkimusalueen työ on osoittanut, että palautuminen haitallisen koodin aiheuttamista vahingoista on mahdollista sopivien käyttäytymisen tarkkailun sekä tallennusmenetelmien avulla. Vaikka järjestelmä pystyttäisiin palauttamaan, haitallinen koodi on saattanut levitä muihin järjestelmiin. Osa näistä muista järjestelmistä ei ehkä sisällä proaktiivista suojausta. Järjestelmän rajojen ulkopuolelle levinneen haitallisen koodin leviämisen rajoittaminen on vaikea ongelma, joka ei ole saanut paljon huomiota.

Tämä tutkimus keskittyy kuvatun ongelman erityisalueeseen: viruksiin ja matoihin, jotka leviävät sähköpostin avulla. Tutkimme, miten hyödyllinen olisi sellainen lyhytaikainen sähköpostin lähetyksen peruminen, jonka tarkoituksena on vetää pois saastuneet viestit. Simulaatiolla saadut tulokset osoittavat, että menetelmä voi merkittävästi rajoittaa sähköpostivirusten aiheuttamaa maailmanlaajuista ongelmaa. Tulokset ovat rohkaisevia, koska teknologia on jo joko saatavilla tai muuten käytännöllistä.

Astratto

Le epidemie di virus e worm richiedono urgentemente lo sviluppo di soluzioni antivirus proattive. Una soluzione proattiva e’ una soluzione che puo’ individuare accuratamente e affidabilmente nuovi tipi di codice maligno, e che puo’ prevenire o curare i danni che simili codici infliggono. La ricerca ha indicato che l’analisi comportamentale, anche se dimostratamente imprecisa, puo’ predire se dei nuovi tipi di comportamento sono una minaccia. Cionondimeno, anche i piu’ affidabili metodi di individuazione possono misclassificare il codice, o individuarlo come maligno solo dopo che ha compiuto dei danni. Lo studio di meccanismi di controllo dei danni e di ricupero è quindi chiaramente essenziale per lo sviluppo di sistemi proattivi migliori.

Precedenti lavori hanno dimostrato che riparare i danni del codice maligno è possibile con un appropriato controllo e registrazione dei loro comportamtni. Tuttavia, anche se un sistema viene recuperato, il codice virale potrebbe essersi gia’ propagato ad altri sistemi, che potrebbero essere meno protetti da difese proattive. Rallentare la propagazione di codice virale che ha gia’ lasciato un sistema e’ un problema difficile e poco studiato.

Questo lavoro si concentra su una specifica istanza del problema: virus e worm che si diffondono via e-mail. In questo articolo esploriamo i vantaggi che si otterrebbero creando un meccanismo di richiamo, a breve termine, per le email, al solo scopo di richiamare eventuali messaggi infetti. Risultati di simulazione dimostrano che questa tecnologia puo’ diminuire fortemente il danno dei virus via posta elettronica su scala globale. I risultati sono particolarmente incoraggianti perche’ utilizzano solo tecnologie che sono gia’ disponibili o realizzabili con facilita’ al giorno d’oggi.

Zusammenfassung

Ausbrüche von Computerviren und Würmern haben den Bedarf an proaktiven Antivirus Lösungen signifikant gesteigert. Im Sinne dieses Papiers wird eine proaktive Antivirus Lösung als System verstanden, welches zuverlässig und akkurat neuen mobilen maliziösen Code erkennt und entweder Schaden verhindert oder Systeme, die durch den entsprechenden Schadcode angegriffen worden sind, wieder herstellt.

Untersuchungen haben ergeben, daß Verhaltensanalyse, losgelöst von dem Vorwurf ungenau zu sein, brauchbare Ergebnisse liefert, wenn es gilt, ein neuartiges Verhalten hinsichtlich seiner (potentiellen) Gefährlichkeit einzustu-fen.

Nichtsdestotrotz können selbst die zuverlässigsten Erkennungsmethoden maliziösen Code beizeiten falsch klassifizieren oder erst nach der Beschädigung des Systems den entsprechenden Code korrekt einstufen. Das Studium von Schadenskontroll- und Wiederherstellungsmechanismen ist daher von essentieller Wichtigkeit für die Entwicklung von besseren proaktiven Systemen/Schutzmechanismen.

Vergangene Arbeiten haben gezeigt, daß Schäden, hervorgerufen durch maliziösen Code, durch angemessene Überwachung des Verhaltens und Aufzeichnungsmechanismen wieder repariert werden können. Trotzdem besteht die Möglichkeit, daß der virale Code schon zu anderen Systemen übertragen worden ist, welche potentiell nicht über proaktive Abwehrmechanismen verfügen.

Die Verbreitung von ungewünschtem Code zu drosseln ist ein nicht triviales Problem, welchem bisher nicht sehr viel Aufmerksamkeit gewidmet worden ist.

Dieses Papier fokussiert sich auf die Betrachtung der Problematik bzgl. der Verbreitung von Viren und Würmern über das Medium EMail. In diesem Papier wird erforscht, wie vorteilhaft ein Mechanismus zur kurzfristigen “Zurückholung” von infizierten EMails wäre.

Die Ergebnisse von Simulationen zeigen, daß eine entsprechende Funktionalität substantiell den Schaden von EMail- Würmern, weltweit betrachtet, verringern kann.

Die Ergebnisse sind insofern ermutigend, daß sie nur Technologien voraussetzen, die entweder schon heute verfügbar sind oder als praktikabel angesehen werden.

This is a preview of subscription content, log in via an institution to check access.

Access this article

Log in via an institution

Price excludes VAT (USA)
Tax calculation will be finalised during checkout.

Instant access to the full article PDF.

Institutional subscriptions

Similar content being viewed by others

References

  1. Adleman LM (1990) An abstract theory of computer viruses. In: CRYPTO ’88: Proceedings of the 8th Annual International Conference on Advances in Cryptology (Lecture Notes in Computer Science; Vol. 403), Springer-Verlag, pp 354–374

  2. 2. Berghel H. (2001). The code red worm. Communications of the ACM 44(12):15–19

    Article  Google Scholar 

  3. Cohen F. (1986). Computer Viruses. Ph.d. thesis, University of Southern California

  4. 4. Cohen F. (1987). Computer viruses: Theory and experiments. Computers and Security 6:22–35

    Article  Google Scholar 

  5. Microsoft Corporation. Messaging application programming interface (mapi), 2004. http://msdn.microsoft.com/library/default. asp?url=/library/en- us/e2k3/e2k3/ _techsel_tech_13.asp

  6. De Vivanco A (2002) Comprehensive Non-Intrusive Protection with Data-Restoration: A Proactive Approach against Malicious Mobile Code. Master’s thesis, Florida Institute of Technology

  7. Ediger B. (2005) Simulating network worms. http://www.users. qwest.net/eballen1/nws/

  8. Ford R. (2003). Microsoft, monopolies and migraines: the role of monoculture. Virus Bulletin Magazine

  9. Ford R., Thompson HH. (2004). Future of proactive virus detection. In: Proceedings of the EICAR Conference, Luxembourg

  10. Ford R., Wagner ME., Michalske J. (2004). Gatekeeper ii: New approaches to generic virus prevention. In:Proceedings of the International Virus Bulletin Conference Chicago, IL, USA

  11. Kephart JO., White SR. (1991). Directed-graph epidemiological models of computer viruses. In: Proceedings of the 1991 IEEE Computer Society Symposium on Research in Security and Privacy Oakland, California, USA IEEE pp 343–359

  12. Kolter JZ., Maloof MA. (2004). Learning to detect malicious executables in the wild. In: Proceedings of the 2004 ACM SIGKDD international conference on Knowledge discovery and data mining. USA, ACM Press pp 470–478

  13. Legon J. Tricky ‘mydoom’ e-mail worm spreading quickly, 27 January 2004. http://www.cnn.com/2004/TECH/internet/01/26/mydoom.worm/index.html

  14. Liljenstam M. (2003). Ssf.app.worm: A network worm modeling package for ssfnet, http://www.crhc.uiuc.edu/mili/research/ ssf/worm/

  15. 15. Liu P., Ammann P., Jajodia S. (2000). Rewriting histories: Recovering from malicious transactions. Distributed and Parallel databases 8(1):7–40

    Article  MATH  Google Scholar 

  16. 16. Moore D. Paxson V., Savage S., Shannon C., Staniford S., Weaver N. (2003). Inside the slammer worm. IEEE Security and Privacy 1(4):33–39

    Article  Google Scholar 

  17. Moore D, Shannon C, Claffy K (2002) Code-red: a case study on the spread and victims of an internet worm. In: IMW ’02: Proceedings of the 2nd ACM SIGCOMM Workshop on Internet measurment Marseille, France pp 273–284

  18. 18. Morrison J. (2004). Blaster revisited. Queue 2(4):34–43

    Article  Google Scholar 

  19. Cable News Network. Code red computer worms targets white house, 2001. http://archives.cnn.com/2001/TECH/internet/07/20/code.red.worm/index. html

  20. Cable News Network Microsoft offers virus bounty, 5 November 2003 2003. http://www.cnn.com/2003/TECH/biztech/11/05/microsoft.bounty/index.html

  21. Cable News Network. Slammer wormcould pick up steam monday: New vulnerabilities might arise as businesses boot up, 27 January 2005 2003.http://www.cnn.com/2003/TECH/internet/01/26/internet.attack/index.html.

  22. Newman MEJ., Forrest S., Balthrop J. (2002). Email networks and the spread of computer viruses. Physics Review E (Statistical, Nonlinear, and Soft Matter Physics) 66(035101)

  23. Wild List Organization. The wild list, 2005. http://www.wildlist.org/WildList.

  24. Postel JB. (1982). Simple mail transfer protocol (rfc821), http://www.ietf.org/rfc/rfc0821.txt.

  25. Povey D. (2000). Optimistic security: a new access control paradigm. In: NSPW ’99: Proceedings of the 1999 workshop on New security paradigms Caledon Hills, Ontario, Canada, 2000. ACM Press pp 40–45

  26. DDoSVax Project, 2004. http://www.tik.ee.ethz.ch/~ddosvax/

  27. Shirey CB (2004) Modeling the Spread and Prevention of Malicious Mobile Code Via Simulation. Master’s thesis, Florida Institute of Technology

  28. Solomon A (1990) Epidemiology and computerviruses.http://ftp.cerias.purdue.edu/pub/doc/viruses/epidemiology_and_viruses.txt

  29. Tallis M, Balzer R (2001) Document integrity through mediated interfaces. In: Proceedings of the second DARPA Information Survivability Conference and Exposition, Anaheim, CA, USA, 2001. IEEE pp 263–270

  30. Wagner ME (2004) Behavior Oriented Detection of Malicious Code at Run-Time. Master’s thesis, Florida Institute of Technology

  31. Wang Y, Wang C (2003) Modeling the effects of timing parameters on virus propagation. In: WORM’03: Proceedings of the 2003 ACM workshop on Rapid Malcode, Washigton, DC, USA. ACM Press pp 61–66

  32. Weaver N, Warhol worms: The potential for very fast internet plagues, 2001. http://www.cs.berkeley.edu/~nweaver/warhol.html

  33. White SR (1998) Open problems in computer virus research. In: International Virus Bulletin Conference, Munich, Germany

  34. Whittaker JA De Vivanco A (2002) Neutralizing windows-based malicious mobile code. In: SAC ’02: Proceedings of the 2002 ACM symposium on Applied computing, Madrid, Spain. ACM Press pp 242–246

  35. Wong C., Bielski S., McCune JM., Wang C. (2004). A study of mass-mailing worms. In: WORM ’04: Proceedings of the 2004 ACM workshop on Rapid malcode, Washington DC, USA, ACM Press pp 1–10

  36. Zou CC, Gong W, Towsley D (2002) Code red worm propagation modeling and analysis. In: CCS ’02: Proceedings of the 9th ACM conference on Computer and communications security, Washington, DC, USA, ACM Press pp 138–147

  37. Zou CC, Towsley D, Gong W (2003) Email virus propagation modeling and analysis. Technical Report TR-CSE-03-04, University of Massachusetts

Download references

Author information

Authors and Affiliations

  1. Microsoft Corporation, 35/3307 Building 35, Redmond, Washington, United States

    Ibrahim K. El-Far

  2. Florida Institute of Technology, 150 W. University Blvd, Melbourne, Florida, 32901-6975, United States

    Richard Ford, Attila Ondi & Manan Pancholi

Authors
  1. Ibrahim K. El-Far
    View author publications

    You can also search for this author in PubMed Google Scholar

  2. Richard Ford
    View author publications

    You can also search for this author in PubMed Google Scholar

  3. Attila Ondi
    View author publications

    You can also search for this author in PubMed Google Scholar

  4. Manan Pancholi
    View author publications

    You can also search for this author in PubMed Google Scholar

Corresponding author

Correspondence to Ibrahim K. El-Far.

Additional information

The authors would like to thank the Cisco Critical Infrastructure Assurance Group for their support in developing Hephaestus, and the Office of Naval Research (Award Number N00014-01-1-0862) for support in the ongoing development of Gatekeeper

Rights and permissions

Reprints and permissions

About this article

Cite this article

El-Far, I.K., Ford, R., Ondi, A. et al. Suppressing the Spread of Email Malcode using Short-term Message Recall. J Comput Virol 1, 4–12 (2005). https://doi.org/10.1007/s11416-005-0003-8

Download citation

  • Received:

  • Accepted:

  • Published:

  • Issue Date:

  • DOI: https://doi.org/10.1007/s11416-005-0003-8

Keywords

Search

Navigation