Mydoom, il worm diffusosi in rete da mercoledì, non smette di far parlare di sé. Secondo quanto riportato da Symantec, la backdoor aperta dal virus viene utilizzata in queste ore per sferrare un attacco di tipo Attacchi DoS verso il dominio microsoft.com. È il secondo tempo dell'attacco, il primo si era limitato a far diffondere l'infezione verso il maggior numero possibile di computer.
Mydoom.M (o Mydoom.O o Mydoom.N secondo le varie denominazioni delle case antivirus) a partire da lunedì è riuscito ad infettare un gran numero di computer connessi ad Internet. Secondo MessageLabs, sono più di 20 mila gli host compromessi nelle prime cinque ore di infezione del virus.
Il virus è programmato per aprire un canale di comunicazione sulla porta 1034 su ogni computer infettato, un canale sfruttabile solamente dai creatori del virus, gli unici a conoscenza dei codici in grado di attivare ulteriori azioni. Sin dalle prime ore di propagazione dell'infezione, gli esperti di sicurezza avevano avvertito della pericolosità della backdoor, che subito ha mostrato la sua vera natura.
Sin dalle prime ore di martedì un nuovo worm, denominato da Symantec Zindos.A, ha cominciato a interrogare casualmente le porte 1034 dei computer connessi ad Internet, alla ricerca di computer già infettati da Mydoom. Il worm, dopo aver trovato un computer vulnerabile e dopo averne preso il controllo, comincia ad intasare di tentativi di comunicazione il dominio microsoft.com, cercando si interromperne il funzionamento. Sino alla serata di ieri non si sono registrati malfunzionamenti del sito, già colpito, assieme al dominio sco.com, dagli attacchi di Denial Of Service sferrati dalle prime versioni del virus Mydoom. La stessa Microsoft in un comunicato ha chiarito che «la rete di Microsoft è stabile ed è rimasta accessibile agli utenti».
Come per le precedenti versioni, anche i danni di Mydoom sono stati più profondi nelle prime ore di infezione che nelle successive. Non appena diffusosi, Mydoom ha infatti creato problemi di collegamento verso siti di alcuni motori di ricerca, tra i quali Google, che per diverse ore è rimasto irraggiungibile, anche in Italia.
Il worm infatti cercava di reperire attraverso interrogazioni verso i più diffusi motori di ricerca di Internet altri indirizzi e-mail cui inviarsi per diffondere la propria infezione. I motori sono stati sovvraccaricati dalle richieste e hanno preventivamente bloccato le richieste provenienti dal worm.
Tutto ciò non ha impedito al worm di far scattare la seconda fase, cui Symantec ha dedicato anche un livello 2 di pericolosità su una scala di 5. Sebbene ora le infezioni siano in diminuzione, non è scongiurato che tutte le backdoor installate sui computer sinora infettati rimangano "silenti" per molto. Altri attacchi sono previsti, soprattutto da chi conosce il codice di Mydoom.O e ne ha progettato l'espansione.
All'epoca dell'infezione del primo Mydoom, Gennaio 2004, in molti avevano guardato alla comunità open source come una probabile propugnatrice del virus che attaccava due dei principali suoi nemici: Sco e Microsoft. Sin da allora Bruce Perens, uno dei principali divulgatori della "filosofia" open source, aveva diffuso una lettera in cui chiedeva alla comunità Linux di non «applaudire l'attacco contro SCO» perché bisogna credere «nella libertà di espressione e non azzittire i nostri avversari attraverso attacchi informatici».
Una sfilza di attacchi. Mydoom non sembra un virus creato per essere utilizzato come canale di spam, come Netsky, o come canale di ricettazione di numeri di carta di credito o di password di login, come il trojan Scob (chiamato da Microsoft Download.Ject), ma un virus da utilizzare per colpire certi siti, tutti ben identificati ideologicamente. Dopo sco.com, microsoft.com, Mydoom.F a febbraio e marzo colpì per due volte il sito della RIAA, l'associazione delle major musicali da tempo in lotta con i software peer to peer.
