Doomjuice, l'alba del worm mangiaworm

Roma – La più grande epidemia informatica della storia di internet, quella causata dalle due versioni di MyDoom, a pochi giorni dal suo climax ha lasciato infetti decine di migliaia di personal computer. Macchine che ora sono l’obiettivo preferenziale di due worm auto-replicanti che sfruttano proprio le debolezze di quei PC per diffondersi.

Il più virulento è Doomjuice , worm che qualcuno ora definisce MyDoom.C perché sfrutta i percorsi di infezione causati da MyDoom.A e MyDoom.B ma che, in realtà, rappresenta il capostipite di una nuova forma virale. Si tratta infatti del primo worm che scansiona la rete a caccia di PC già infettati da un worm precedente per replicarsi su di essi senza bisogno, evidentemente, di autospedirsi via email o convincere gli utenti a cliccare su un qualche file allegato.

Una volta installatosi sulla macchina infettata dal precedente MyDoom, Doomjuice interviene sul registro di Windows per garantirsi di essere riattivato ad ogni riavvio del computer e si copia nel file intrenat.exe nella cartellina di Sistema di Windows. A quel punto copia in diverse posizioni un file compresso che contiene il codice di MyDoom.A, dopodiché genera un alto numero di indirizzi IP a cui tenta di connettersi sulla porta TCP 3127, cioè la backdoor aperta dalle precedenti versioni di MyDoom. Se dagli IP contattati ottiene una risposta, Doomjuice si replica su quei computer.

Doomjuice ha come obiettivo il sito di Microsoft : la sua infezione, infatti, ancora una volta punta a coinvolgere il PC che infetta, in un attacco di massa (distributed denial-of-service) contro microsoft.com . Le incertezze del sito nel corso del week-end, quando non è sempre stato disponibile, hanno allarmato alcuni esperti sebbene ora il big di Redmond abbia rassicurato tutti affermando che la situazione è del tutto sotto controllo.

D’altra parte il numero di PC infettati da MyDoom che operatori del settore come Network Associates stimano siano ancora infetti, non dovrebbero essere più di 50-75mila mila in tutto il mondo. Il numero, sebbene elevato, è probabilmente di molte volte inferiore a quello dei PC infettati dalla prima ondata di MyDoom e sarebbe dunque destinato ad impedire a Doomjuice di provocare danni particolarmente gravi.

L’idea che si sono fatti gli esperti è che dietro Doomjuice ci sia la stessa mano che ha forgiato gli altri due codicilli rendendoli capaci di una riproduzione su vastissima scala , in grado di mettere in difficoltà il sito web preso di mira da MyDoom.A, quello della società americana SCO Group . Insensibile al fatto che sulla sua identità siano state poste taglie da 250mila dollari da parte della stessa SCO e di Microsoft, l’autore di questi worm con Doomjuice sta di fatto tentando, senza molto successo, di “aggiustare” il tiro corto di MyDoom.B che, come si ricorderà, soffriva di alcuni bug nella programmazione che hanno reso gran parte dei computer infetti incapaci di sferrare attacchi via internet.

Un aspetto che ha attirato l’attenzione degli esperti è il fatto che Doomjuice copia sui computer infetti anche il codice sorgente di MyDoom , una operazione del tutto inedita che, secondo alcune speculazioni, potrebbe essere dovuta al tentativo dell’autore del malware di non risultare in nessun caso l’unico possessore di quel codice sorgente. Mescolarsi alla folla degli infetti, dunque, potrebbe rappresentare una strategia per difendersi dall’eventuale accusa di aver creato e distribuito il worm. Una tesi tutta da comprovare, vista anche la sostanziale difficoltà che i centri antivirus e le forze dell’ordine stanno incontrando nel tentare di dare un volto, o almeno un nome, al virus writer.

A mimare le capacità di Doomjuice è anche un altro worm, Deadhat , che si sta diffondendo con meno virulenza del primo. Anche Deadhat sfrutta l’infezione dei worm precedenti e cerca di riprodursi, in generale, su tutti i computer connessi in rete al PC infetto. Sfrutta anche il client di SoulSeek , una piattaforma di condivisione file. Il suo scopo principale è quello di sostituirsi a MyDoom e, connettendosi ad un server Internet Relay Chat, attendere istruzioni che possono essere trasmesse dall’esterno, per esempio per istruire il computer colpito a partecipare ad un attacco denial-of-service…

Va detto che non è la prima volta in assoluto che un worm viene “rilasciato” per “agire” su un altro worm, si pensi al caso del worm per Linux noto come Cheese , ma è la prima volta che ciò avviene attraverso le backdoor sparse per tutta la rete da un worm precedente.