Sembrava dovesse rovinare agli americani il lutto per l'11 settembre, sferrando un attacco informatico in grande stile, ma sinora le 5 nuove versioni di MyDoom hanno solamente messo in fibrillazione gli esperti di sicurezza senza danni per la comunità dei navigatori. Con una curiosità: una insolita richiesta all'interno del codice del Virus.
Tutto ha inizio lo scorso 9 settembre, quando i principali produttori di Antivirus scoprono la diffusione, avvenuta a pochissimo tempo di distanza, di 3 diverse varianti di MyDoom, il worm scoperto per la prima volta ad inizio 2003 e che continua tuttora a proliferare in varianti e versioni differenti.
Le versioni, che Symantec cataloga con le lettere S, T e U, sono sembrate subito poco pericolose: nessun Denial Of Service, messaggi molto scontati e una ridotta capacità di azione. Tuttavia era il coordinamento dell'azione che lasciava qualche sospetto: si stava forse preparando il terreno per un nuovo attacco coordinato?
Così pensava anche Sam Curry, un manager della Computer Associates: «Abbiamo visto un medesimo comportamento con Beagle – ha dichiarato a CNet –. Tre o più versoni versioni si mostrano di basso livello, ma sono seguite da una altamente pericolosa».
L'obiettivo, sin troppo semplice da additare, era l'11 settembre 2004, il terzo anniversario dell'attacco alle due torri. Ed è lo stesso Curry a far emergere la possibile coincidenza: «Noi non avremmo richiamtao l'attenzione su questi virus se non fosse per la rapida epidemia appena prima dell'11 settembre».
In verità la stessa "personalità" di MyDoom doveva lasciare qualche dubbio in più agli esperti di sicurezza. MyDoom si è imposto all'attenzione del pubblico con un worm "ideologico". Sin dalla sua prima comparsa il worm era stato programmato per rendere inutilizzabili, con un attacco di Denial of Service, siti web ben definiti: a gennaio era stato messo fuori uso il sito di SCO, a febbraio l'attacco veniva diretto verso Microsoft, a marzo verso la RIAA, di nuovo quest'estate contro Microsoft e a luglio contro Google, Yahoo!, Altavista e Lycos.
Insomma, non un virus "canaglia" ma un virus d'attacco, che conteneva addirittura una richiesta di lavoro. Nel codice di alcune delle ultime varianti è stato infatti trovato un messaggio curioso: «We searching 4 work in AV industry», "stiamo cercando 4 posti di lavoro nel settore degli antivirus".
Probabilmente il messaggio non è stato recepito e la quinta versione di MyDoom in meno di una settimana, classificata da Symantec come versione W e apparsa online ieri 14 settembre, contiene le solite istruzioni da attacco informatico: tra il primo settembre e il primo ottobre il worm è programmato per inondare di dati il sito di Symantec, cercando di metterlo fuori uso.
