علي‌رغم پيشرفت روزافزون امنيت رايانه‌ها، همچنان بدافزارها آزادانه جولان مي‌دهند و روزبه‌روز بر تعداد آن‌ها افزوده مي‌شود. سيستم‌عامل ويندوز اصلي‌ترين هدف بدافزارهاست چرا که همچنان اين سيستم‌عامل بيشترين کاربر را در جهان دارد.

در طي سه سال گذشته، شکل حملاتي که به اين سيستم‌عامل صورت مي‌گيرد، تغيير کرده است. پيش‌فرض بدافزارنويسان اين است که بايد تمامي راه‌هاي ممکن براي حمله به سيستم‌عامل ويندوز آزموده شود بلکه سرانجام بدافزار به هدف خود برسد.

وقتي يک بدافزار شناسايي مي‌شود، حذف مي‌شود. هر اقدامي که منتهي به نفوذ و تخريب نشود، منتهي به شناسايي شدن بدافزار خواهد شد. بنابراين يک بدافزار نمي‌تواند به تنهايي تمام راه‌ها را امتحان کند. بنابراين بدافزارنويسان، به ساخت خانواده‌اي از بدافزارها دست مي‌زنند. اين کار براي بدافزارنويسان چند مزيت دارد. در اولين قدم، خانواده بدافزار مي‌تواند روش‌هاي مختلفي را براي حمله به سيستم‌عامل امتحان کند و در صورتي که آنتي‌ويروس حمله را شناسايي کند، تمام اعضا شانس خود را از دست نداده‌اند. دومين نکته، کوچک شدن ابعاد بدافزارهاست. يک بدافزار بزرگ در انتشار با مشکلات زيادي رو‌به‌روست در حالي که يک خانواده بدافزار که از فايل‌هاي کوچک تشکيل شده است، مي‌تواند ساده‌تر تکثير شود، در حالي که همه اعضا اين قابليت را دارند که پس از نفوذ به هر رايانه‌اي، ديگر اعضاي غايب را نيز فراخواني و آن‌ها را بارگذاري کنند.

بسط و توسعه بدافزارهاي چند جزئي آسان‌تر است. زماني که ضعف يکي از اعضاي خانواده بدافزار شناسايي شود، مي‌توان همان عضو را به‌روزرساني کرد، بي آن که نيازي به هر نوع تغييري در ديگر اعضاي خانواده وجود داشته باشد. اين جاست که بايد مانند يک بدافزارنويس فکر کرد تا با خطرهاي جدي يک خانواده از بدافزارها بيشتر آشنا شد.

Sirefef نام يکي از خانواده بدافزارهايي است که نزديک به سه ماه پيش پا به جهان رايانه‌ها گذاشت. در روزهاي اول، تنها يک عضو از اين خانواده منتشر شد و خيلي زود شناسايي شد اما معدود رايانه‌هايي به اين بدافزار آلوده شدند. همين عضو، خيلي زود ديگر اعضاي اين خانواده را فراخواني و دانلود کرد و از رايانه‌هاي آلوده براي انتشار هر چه بيشتر رايانه‌هاي ديگر بهره‌برداري کرد.

تا به امروز نزديک به 50 عضو از اعضاي خانواده Sirefef شناسايي شده‌اند و پيش‌بيني مي‌شود که اين تعداد دائما افزايش يابد.

اين خانواده بزرگ از بدافزار همه انواع بدافزار را در خود دارد. ويروس، تروجان، کرم، روتکيت، کي‌لاگر، تروجان دانلودر، تروجان دراپر و در پشتي از انواع گوناگوني هستند که در اين خانواده وجود دارند. تمام اعضاي اين خانواده مي‌توانند اعضاي ديگر را فراخواني کرده و يا راه را براي عمليات نفوذ سخت، باز کنند.

البته معمولا هر رايانه آلوده به اين بدافزار تنها به چند نوع خاص از اين مجموعه بزرگ آلوده مي‌شود، چرا که اهداف کلي اين بدافزارها يکسان است و اگر يکي از آن‌ها به هدف نهايي خود دست يابد پس از آن به ديگر اعضا نياز نخواهد داشت.

همه اعضاي خانواده Sirefef براي تغيير مسير جست‌وجو‌ها طراحي شده‌اند. هر عضوي که بتواند به يکي از آسيب‌پذيري‌هاي سيستم‌عامل ويندوز دست پيدا کند، يک Rootkit در رايانه نصب مي‌کند. Rootkitها در سطح بسيار پاييني از سيستم‌عامل کار مي‌کنند و گاهي حتي هسته اصلي سيستم‌عامل را نيز تحت کنترل مي‌گيرند. اين بدافزارها دسترسي اندکي به منابع نرم‌افزاري رايانه دارند در حالي که احاطه کاملي روي منابع سخت‌افزاري از جمله پورت‌ها دارند.

اين نوع بدافزارها به سادگي مي‌توانند مسير ارسال و دريافت اطلاعات را تغيير دهند. وقتي بسته‌اي از اطلاعات، تحت شبکه اينترنت ارسال مي‌شود، مشخصات گيرنده را نيز در بر خواهد داشت. هر کليک در يک سايت، يک بسته اطلاعاتي است که ارسال مي‌شود.

بدافزارهاي خانواده Sirefef بسته‌هاي اطلاعاتي ارسالي به موتورهاي جست‌وجو را تعقيب مي‌کنند. به محض اين که کاربر رايانه عبارتي را جست‌وجو کند، مسير ارسال اطلاعات در سطح سخت‌افزاري تغيير مي‌کند و نتايج متفاوتي را براي کاربر نمايش مي‌دهد.

البته اين کار با ظرافت خاصي انجام مي‌شود، به گونه‌اي که کاربران معمولي به هيچ وجه از تغيير نتايج جست‌وجو با خبر نمي‌شوند. کليک روي سايت‌هاي يافته شده، همان سودي است که به جيب سازندگان اين بدافزار مي‌رود. اين سايت‌ها، سايت‌هاي تبليغاتي هستند که به ازاي تعداد کاربراني که وارد آن‌ها مي‌شوند، از کار فرماي خود پول دريافت مي‌کنند. هر بار که کاربري به اين بدافزار آلوده مي‌شود در ميان جست‌و‌جو‌هاي متعدد خود چندين بار به اين سايت‌هاي تبليغات هدايت شده و براي بدافزارنويس درآمدزايي مي‌کند.