Worm W32/MyDoom-A

La rete Internet, a partire da mercoledì 28/01/2004, ha subito un massiccio attacco di un virus denominato W32/MyDoom o W32.Novarg.

Gli interventi messi in atto da CSITA hanno impedito che le caselle di posta degli utenti venissero ingolfate da centinaia di messaggi generati dal virus, ma i server hanno comunque risentito dell'enorme quantità di traffico anomalo generato, ritardando notevolmente la consegna dei messaggi.

Come si può vedere dai due grafici estratti dalle statistiche, in solo tre giorni sono state intercettate dal server principale più di 40.000 copie di messaggi infetti da MyDoom-A, su un totale di circa 200.000 virus rilevati da Agosto 2001.
Le statistiche non tengono conto dei virus intercettati dai server di frontiera e di circa 20.000 copie di MyDoom cancellate a mano direttamente dalle code del server.

Analoghi eventi, causati dal virus BugBear-B a Giugno 2003, da Sobig-F a Agosto 2003 e da Gibe-F a Settembre 2003, pur causando notevoli disagi, hanno prodotto un traffico complessivo inferiore (un caso a parte risulta essere il virus Klez-H, che non ha presentato picchi significativi, ma sembra di difficile eradicazione).


Nota: il grafico aggiornato è in scala logaritmica

Dato che questi episodi risultano ripresentarsi periodicamente e, nel caso di MyDoom, la maggior parte dei messaggi risultava inviata da poche decine di macchine compromesse interne alla rete di Ateneo, CSITA ha deciso, come misura preventiva, di attivare le seguenti contromisure:

Ulteriori informazioni sul virus MyDoom: