e-Gov

MyDoom.C, worm mangia worm

La più grande epidemia informatica della storia di internet, quella
causata dalle due versioni di MyDoom, a pochi giorni dal suo climax ha lasciato
infetti decine di migliaia di personal computer. Macchine che ora sono l’obiettivo
preferenziale di due worm auto-replicanti che sfruttano proprio le debolezze
di quei PC per diffondersi.

Il più virulento è Doomjuice, worm che qualcuno ora definisce
MyDoom.C perché sfrutta i percorsi di infezione causati da MyDoom.A e
MyDoom.B ma che, in realtà, rappresenta il capostipite di una nuova forma
virale. Si tratta infatti del primo worm che scansiona la rete a caccia di PC
già infettati da un worm precedente per replicarsi su di essi senza bisogno,
evidentemente, di autospedirsi via email o convincere gli utenti a cliccare
su un qualche file allegato.

Una volta installatosi sulla macchina infettata dal precedente MyDoom, Doomjuice
interviene sul registro di Windows per garantirsi di essere riattivato ad ogni
riavvio del computer e si copia nel file intrenat.exe nella cartellina di Sistema
di Windows. A quel punto copia in diverse posizioni un file compresso che contiene
il codice di MyDoom.A, dopodiché genera un alto numero di indirizzi IP
a cui tenta di connettersi sulla porta TCP 3127, cioè la backdoor aperta
dalle precedenti versioni di MyDoom. Se dagli IP contattati ottiene una risposta,
Doomjuice si replica su quei computer.

Doomjuice ha come obiettivo il sito di Microsoft: la sua infezione, infatti,
ancora una volta punta a coinvolgere il PC che infetta, in un attacco di massa
(distributed denial-of-service) contro microsoft.com. Le incertezze del sito
nel corso del week-end, quando non è sempre stato disponibile, hanno
allarmato alcuni esperti sebbene ora il big di Redmond abbia rassicurato tutti
affermando che la situazione è del tutto sotto controllo.

D’altra parte il numero di PC infettati da MyDoom che operatori del settore
come Network Associates stimano siano ancora infetti, non dovrebbero essere
più di 50-75mila mila in tutto il mondo. Il numero, sebbene elevato,
è probabilmente di molte volte inferiore a quello dei PC infettati dalla
prima ondata di MyDoom e sarebbe dunque destinato ad impedire a Doomjuice di
provocare danni particolarmente gravi.

L’idea che si sono fatti gli esperti è che dietro Doomjuice ci sia la
stessa mano che ha forgiato gli altri due codicilli rendendoli capaci di una
riproduzione su vastissima scala, in grado di mettere in difficoltà il
sito web preso di mira da MyDoom.A, quello della società americana SCO
Group. Insensibile al fatto che sulla sua identità siano state poste
taglie da 250mila dollari da parte della stessa SCO e di Microsoft, l’autore
di questi worm con Doomjuice sta di fatto tentando, senza molto successo, di
"aggiustare" il tiro corto di MyDoom.B che, come si ricorderà,
soffriva di alcuni bug nella programmazione che hanno reso gran parte dei computer
infetti incapaci di sferrare attacchi via internet.

Un aspetto che ha attirato l’attenzione degli esperti è il fatto che
Doomjuice copia sui computer infetti anche il codice sorgente di MyDoom, una
operazione del tutto inedita che, secondo alcune speculazioni, potrebbe essere
dovuta al tentativo dell’autore del malware di non risultare in nessun caso
l’unico possessore di quel codice sorgente. Mescolarsi alla folla degli infetti,
dunque, potrebbe rappresentare una strategia per difendersi dall’eventuale accusa
di aver creato e distribuito il worm. Una tesi tutta da comprovare, vista anche
la sostanziale difficoltà che i centri antivirus e le forze dell’ordine
stanno incontrando nel tentare di dare un volto, o almeno un nome, al virus
writer.

Va detto che non è la prima volta in assoluto che un worm viene "rilasciato"
per "agire" su un altro worm, si pensi al caso del worm per Linux
noto come Cheese, ma è la prima volta che ciò avviene attraverso
le backdoor sparse per tutta la rete da un worm precedente.