Secondo questo articolo di Wikipedia sul Verme di Sobig, il verme
deactivated itself on September 10, 2003
Perché un worm (o qualsiasi malware per quella materia) si disattiva da solo? Perché non stare su un computer host per cercare di continuare a fare più danni?
Stiamo sviluppando malware personalizzati per i nostri clienti per simulare l'APT (minacce persistenti avanzate) all'interno di test di penetrazione professionale. La disattivazione del malware nel nostro caso ha uno scopo importante: impedire attività (ad esempio infezioni) dopo la fine di un progetto.
In caso di malware in-the-wild l'obiettivo potrebbe essere quello di impedire un ulteriore accesso ad altre risorse come il web server. Ad esempio, se lo sviluppatore sa che i server C & C non saranno in giro comunque in quel momento futuro.
Un malware altamente professionale con funzionalità stealth potrebbe disattivare se stesso per impedire il rilevamento o rendere più difficile la retroingegnerizzazione. Gli aggressori potrebbero voler accedere e quindi rubare un set specifico di dati o passare a un'altra capacità di comunicazione. Il malware per l'irruzione iniziale deve rimanere sconosciuto perché la tecnica potrebbe essere molto preziosa o l'approccio potrebbe rivelare qualcosa sull'origine o sui target.
Leggi altre domande sui tag malware