MyDoom, sulle tracce dell'untore

Roma – Alcune tracce che potrebbero aiutare gli investigatori ad individuare l’autore dei worm che più hanno fatto danni nella storia, MyDoom e Mydoom.B, sarebbero contenute nei codici dei worm stessi. Ad affermarlo sono gli esperti di Network Associates che, come molti altri colleghi, stanno collaborando con FBI e Interpol per tentare di dare un volto all’untore informatico.

Stando agli analisti, nella variante B del worm si trova inserito un nome, “andy”, che è lo stesso riscontrato nel codice del primo MyDoom, e ciò induce a ritenere che la mano dietro entrambe le versioni del worm sia la stessa. “Sembrerebbe – ha spiegato uno degli esperti al lavoro sul codice dei worm – che qualcuno abbia scritto e poi controllato il codice sorgente. L’idea è che questo andy sia la persona che abbia eseguito questo controllo”.

I ricercatori hanno sottolineato che, nonostante qualche progresso, rimane altamente improbabile rintracciare l’untore anche perché è ancora estremamente difficile stabilire il luogo dove inizialmente si è manifestato il worm. Senza riuscire a determinare un’area circoscritta, o una specifica rete, è pressoché impossibile individuare il computer numero uno, quello da cui tutto è iniziato. Le speculazioni sulla possibile origine russa del worm non sarebbero peraltro confermate dalle indagini di queste ore.

A indicare che l’untore sia un programmatore professionista, invece, sarebbe un debole indizio, cioè il testo di quanto appare nel messaggio email che viene riprodotto da MyDoom.B, una frase che dice, in inglese, “Sto solo facendo il mio lavoro, niente di personale, scusatemi” .

La caccia all’untore procede in mezzo mondo anche grazie ai sostanziosi premi promessi da SCO e Microsoft per chi offrirà informazioni utili all’individuazione dell’autore dei worm: ciascuna delle due aziende ha messo sul piatto 250mila dollari.

Entrambe le softwarehouse, come noto, sono obiettivo degli attacchi distributed denial-of-service (dDoS) delle due versioni del worm, una infezione che anche in Italia si è diffusa tantissimo (tanto che proprio ieri il Comune di Torino ha reso noto che negli ultimi giorni ha dovuto far fronte a oltre mezzo milione di messaggi infettati). Bombardate dalle richieste ai propri server web sparate dai computer infetti, entrambe le aziende hanno attivato procedure di contrasto all’attacco che, al momento, consentono all’una e all’altra di mantenere attivi i propri siti.

Infine proprio da Network Associates è arrivata ieri una notizia rasserenante, almeno per Microsoft, in quanto la versione B di MyDoom, quella studiata per scatenare un assalto ai server del big di Redmond, conterrebbe un errore di programmazione tale da impedire al 93 per cento dei computer infettati da MyDoom.B di scatenare effettivamente quell’attacco.