Bijna de helft van alle malware belt binnen 60 seconden na het infecteren van de computer naar huis, wat volgens onderzoekers aantoont dat bedrijven beter hun netwerken moeten monitoren. De communicatie van besmette systemen verschilt dusdanig van legitiem verkeer, dat bedrijven aan de hand hiervan nauwkeurige geïnfecteerde computers in het netwerk kunnen vinden. Dat lieten Websense onderzoekers Stephan Chenette en Armin Buescher tijdens de SOURCE Boston beveiligingsconferentie weten.

Ze namen een willekeurige verzameling van 200.000 malware-exemplaren en brachten vervolgens het gedrag in kaart, waaronder de manier waarop de malware over het netwerk communiceert. De meeste malware maakt verbinding met een Command & Control-server met het verzoek om opdrachten, of er worden vertrouwelijke gegevens, zoals intellectueel eigendom, naar buiten gestuurd.

Virusscanner
Uit de analyse bleek dat 46% van de malware binnen een minuut na de infectie contact met de aanvallers opneemt. Een ander voordeel om het netwerkverkeer te monitoren is dat malwaremakers vaker de malware aanpassen, dan de manier waarop de malware naar buiten communiceert.

Verder ontdekten de onderzoekers dat een kwart van de malware die wel aan de hand van het netwerkgedrag werd ontdekt, door geen enkele virusscanner werd gedetecteerd.