QR code per la pagina originale

MyDoom, sulle tracce di “Andy”

Andy, il creatore di MyDoom, continua a rimanere una figura ignota. Le tracce lasciate dal worm dividono gli analisti e intanto la taglia da 500.000$ offerta da Microsoft e SCO rimane a disposizione.

,

Sull’autore/untore del virus MyDoom pende una taglia di 500.000$ offerti da SCO e Microsoft a chiunque consegni informazioni utili a rintracciare il focolaio originario del worm. Il creatore (persona o gruppo), però, rimane tuttora ignoto.

La proliferazione delle varianti del worm estendono ora il braccio di ferro psicologico tra le parti, con i responsabili delle indagini impegnati a carpire le tracce lasciate dall’autore al fine di cercare una chiave di volta nella vicenda. Le prime due versioni del virus sarebbero firmate da “Andy”: rimane ora da capire se sia una sfida o un’abile operazione di depistaggio.

Un indizio lascia soprattutto nel dubbio chi sta tentando di districare la matassa: per quale motivo l’autore ha fatto in modo che il virus copiasse se stesso in più file .zip nelle macchine infette? L’ipotesi più accreditata va nel senso di un diretto invito a replicare il worm in nuove versioni, in modo che la potenziale riproduzione differenziata possa protrarre gli effetti di MyDoom nel tempo. Lasciando copia del codice sul pc qualcuno potrebbe cogliere l’invito e contribuire alla crociata.

Secondo Ken Dunham, ricercatore iDefense, tale strategia potrebbe anche essere un espediente per tentare semplicemente di coprire le proprie tracce. «Ha un solo obiettivo: la distruzione di massa […] con SCO ha vinto, con Microsoft ha perso»: il profilo criminale del creatore potrebbe essere utile, se non a risolvere i danni già verificati, almeno a prevedere futuri sviluppi della situazione.

Al momento l’albero genealogico di MyDoom registra MyDoom.A, la sua replica MyDoom.B e due derivati quali DoomJuice e Deadhat (entrambi worm parassiti sfruttanti le porte aperte dalle due infezioni originarie).