Woensdag kwam virusonderzoeker David Sancho met zijn whitepaper "The Future of Bot Worms", waarin hij de dreiging van een RSS worm beschrijft. Malware die zich via RSS weet te verspreiden is nu nog geen gevaar, maar dat zou met de komst van Internet Explorer 7 veranderen.

Volgens Sancho kunnen wormen straks de feed voor de RSS lezer kapen en wijzigen, zodat er updates en andere malware gedownload wordt. Aangezien er nu nog geen standaard en dominante lezer is, is het voor virusschrijvers nog niet interessant genoeg. Met IE7 zou dit echter veranderen. Larry Seltzer is het niet met Sancho eens. Zo is het niet zeker dat de RSS ondersteuning in de nieuwe Internet Explorer zo'n succes zal worden. De kanalen in IE4 waren ook een flop. Verder beschrijft Sancho in zijn onderzoek dat alleen machines die al gecompromitteerd zijn voor dit soort aanvallen misbruikt kunnen worden.

In dit geval zou de aanvaller al extra code kunnen downloaden en uitvoeren, en heeft daarvoor geen RSS lezer nodig. Als oplossing raadt de onderzoeker aan om HTTP verkeer te scannen, maar dat heeft weinig zin, aldus Selzer. Ouderwetse virusscanner vinden de malware namelijk zodra die het bestandssysteem benadert.

Daar komt bij dat RSS is ontworpen om veel van de problemen die e-mail plagen te voorkomen. Je kunt niet voorkomen dat mensen je spam of e-mail wormen sturen, maar je kunt je wel van een RSS feed uitschrijven, waaronder gekaapte feeds laat Seltzer weten.