A 24 ore di distanza dall’annuncio della nuova pericolosa versione del virus MyDoom, si inizia a districare la matassa delle indagini circa l’eventuale utilità del worm per scopi di offesa. Nel mirino sembra esserci Microsoft, ma non è detto che l’azienda di Redmond sia l’obiettivo reale effettivo del primo attacco.
MyDoom, che si conferma un virus ideologico, colpisce le macchine infettate (tramite l’apertura dell’apposito allegato maligno) aprendo una backdoor sulla porta 1034. Questa porta diventa accessibile grazie al Zincite.A, un programma che apre agli accessi non autorizzati il pc vittima. È in questo contesto che si inserisce W32/Zindos.A: il nuovo worm opera tramite una scansione casuale di numeri IP alla ricerca di una porta 1034 aperta. Una volta trovata una vittima potenziale, il worm agisce tentando un’operazione massiva di Distributed Denial-of-Service al sito Microsoft.com.
La prima versione del worm MyDoom attaccò con un certo conseguente clamore il sito SCO.com, mentre già la seconda ebbe Microsoft come obiettivo principale: per questo motivo è plausibile ora uno spostamento di orizzonte, ma secondo gli esperti del gruppo Symantec il nuovo Zindos.A potrebbe essere semplicemente un worm parassita, uscito ad hoc per mandare a segno il proprio attacco approfittando della porta aperta da MyDoom. L’autore, insomma, potrebbe non essere lo stesso.
L’immediata alta diffusione del worm sembra essere dovuta al fatto che l’untore avrebbe utilizzato un canale peer-to-peer per lanciare l’attacco originario. L’offensiva contro Microsoft tramite Zindos, invece, sarebbe costituito da vari collegamenti distanziati di pochi centesimi di secondo: quest’ultimo worm non preoccupa però gli analisti, e nel contempo Microsoft conferma le impressioni iniziali segnalando di non registrare al momento alcun sovraccarico ai server.