Il virus "abbatti-Google" è tornato...

Nel mese di Agosto 2004, una variante del worm MyDoom – diffusosi enormemente in tutto il mondo – operò così tante interrogazioni sul motore di ricerca Google, tanto da rendere il “gioellino” del colosso di Mountain View molto lento od irraggiungibile per ampi periodi di tempo. Le query su Google erano effettuate dalle macchine infette con lo scopo di reperire indirizzi e-mail ai quali il virus potesse essere rispedito.
Oggi MyDoom torna a far parlare di sé. Una nuova versione di “MyDoom-O” si sta rapidamente diffondendo a partire dalla notte scorsa. Proprio il primo MyDoom-O causò problemi di raggiungibilità a Google tra fine Luglio e gli inizi di Agosto dello scorso anno.
Il novello MyDoom-O è stato rivisto (probabilmente non da parte dello stesso autore) nel tentativo di farlo passare inosservato ai vari software antivirus. Il worm utilizza un proprio motore SMTP per “autoinviarsi” ad altri indirizzi e-mail, reperiti sul personal computer infettato. Gli indirizzi di posta elettronica vengono ricercati nella Rubrica (file WAB), nei file presenti nella cache del browser ed in quelli con estensione hlp, tx*, asp, ht*, sht*, adb e dbx, memorizzati sul sistema. Ogni volta che il virus trova un indirizzo e-mail, effettua una query su Google, Yahoo!, Altavista e Lycos per reperire ancora nuovi indirizzi ai quali spedirsi. Per esempio, se sul computer infetto, MyDoom trova l’indirizzo e-mail mario@nomedominio.it, vengono effettuate interrogazioni sui vari motori di ricerca per scoprire altri indirizzi di posta elettronica appartenenti al dominio nomedominio.it.
Tutti i produttori antivirus stanno aggiornando i propri software per garantire il riconoscimento del nuovo virus.