Lo strano caso del worm Mydoom

Quando giorni fa è stato isolato un worm che utilizzava Yahoo per cercare gli indirizzi e-mail per scovare le proprie vittime, subito è stato identificato come una variante del worm Mydoom che settimane fa aveva creato disagi al gigante Google.

I più informati che hanno navigato tra le pagine dei produttori di antivirus alla ricerca di informazioni dettagliate si sono trovati spaesati dal fatto che non tutti chiamavano il worm Mydoom, ma alcuni lo avevano denominato Evaman.C.

Dopo un'approfondita analisi del codice del worm tutti i ricercatori sono giunti alla conclusione che non si trattava di una variante del Mydoom, bensì in effetti una variante del worm Evaman.

Mikko Hyppönen, direttore dei laboratori di ricerca della F-Secure Corporation, ha affermato che una società lo ha denominato Mydoom e le altre società hanno seguito a catena la scelta. Dopo un'ulteriore analisi però tutti i ricercatori si sono accorti che non era un esemplare della famiglia del worm Mydoom.

"Si è venuta a creare una situazione imbarazzante," ha dichiarato Hyppönen, "poiché ci sono molte somiglianze nel codice e nel comportamento dei due worm, tanto che pensiamo che provengano dalla stessa mano o comunque da autori vicini."

David Emm, consulente tecnico per Kaspersky Labs, ha spiegato che i ricercatori seguono delle linee guida quando denominano un malware. La loro priorità, tuttavia, è quella di produrre e mettere a disposizione una signature per gli antivirus, non condurre un'analisi dettagliata. Poi, una volta che è gli è stato assegnato un nome, è difficile rinominarlo perché creerebbe problemi agli utenti che cercano di difendersi.
Hyppönen ha confermato che cambiare il nome non è una buona idea e non sa se F-Secure lo farà.
La forte somiglianza tra i due worm ha rafforzato comunque la convinzione nei ricercatori che entrambe le famiglie sono state sviluppate dallo stesso autore o gruppo di autori.

Fonte: ZDnet.com