L’anno inizia in maniera davvero inaspettata per gli utenti di Windows 2000 e Visio, un popolare software utilizzato per la creazione di grafici e diagrammi di flusso. Microsoft non ha ancora terminato di annunciare la release di una versione commerciale del proprio sistema operativo, provvista di tutte le funzionalità, quando i membri del gruppo underground denominato 29A lanciano il virus Inta sulla sempre più popolata scena del malware globale. Inta era, di fatto, il primo virus in grado di infettare i file dell’OS Windows 2000. Poco dopo, fanno la loro comparsa – quasi simultaneamente – altri due virus, ovvero Unstable e Radiant, i quali segnano, in pratica, una decisiva battuta d’arresto per Visio. Questo secondo incidente genera, tra l’altro, la diffusione di una battuta di pessimo gusto: i virus erano stati messi in circolazione dalla stessa Microsoft, la quale, poco tempo dopo l’apparizione di Unstable e Radiant, aveva acquistato Visio Corporation.
Nel mese di aprile, poi, viene registrata la presenza del primo virus macro di origine russa per MS Word. Proverb fu individuato al numero 10 di Downing Street, la residenza ufficiale del Primo Ministro britannico. Si può solo sperare che, nella circostanza, le autorità inglesi abbiano tenuto conto di ciò che recita un noto proverbio russo: “Non rimandare a domani quello che puoi bere oggi”.
La data del 5 maggio entra di diritto a far parte del Guiness Book of Records, visto che in questo giorno si manifesta, per la prima volta, il famigerato script virus LoveLetter. In sostanza si verifica, per filo e per segno, tutto ciò che Eugene Kaspersky aveva già previsto nel corso del mese di novembre del 1998. Gli utenti meno accorti e preparati non potevano nemmeno immaginarsi che degli innocui file VBS e TXT potessero contenere un virus informatico altamente dannoso. Una volta caricato nel sistema, tale virus andava a distruggere tutta una serie di file, per poi inviare copie di se stesso a tutti gli indirizzi di posta elettronica presenti nella rubrica di MS Outlook. La trasparenza del codice sorgente garantiva, più o meno, che, lungo tutto l’arco dell’anno, sarebbero comparse nuove varianti del virus; al momento attuale, in effetti, ve ne sono oltre 90 in circolazione.
Il 6 giugno viene poi rilevato il virus Timofonica; si trattava, nella circostanza, del primo virus informatico che, seppur in maniera limitata, andava ad interessare la sfera della telefonia mobile. Oltre a diffondersi tramite e-mail, il virus in questione inviava messaggi a numeri casuali di telefoni cellulari facenti parte della rete mobile MoviStar, la quale apparteneva a Telefonica, vero e proprio gigante nel settore delle telecomunicazioni globali. Il virus, di per se stesso, non produceva altri effetti sui telefoni mobili, anche se vari mass media, nel frattempo, avevano velocemente catalogato Timofonica come il primo “virus per cellulari”.
L’estate del 2000 fu decisamente “calda” nell’ambito della virologia informatica, indubbiamente anche in ragione della repentina comparsa dei primi virus destinati ai telefoni mobili. Abitualmente, questa stagione dell’anno è quasi un periodo di “vacanza” per virus writer ed esperti antivirus; nell’occasione, però, i primi decisero di sorprendere questi ultimi. In luglio, un gruppo conosciuto come “The Cult of Death Cow” realizzò una nuova versione del virus Back Orifice (BO2K). Questo avvenne in occasione della conferenza annuale DefCon (così denominata quasi in segno di sfida all’utility DevCon di Microsoft), e provocò una vera e propria ondata di messaggi inviati ai vendor antivirus da parte di un considerevole numero di utenti, letteralmente spaventati. In realtà, la nuova versione del virus rappresentava una minaccia di poco superiore a quella posta dal suo “illustre” predecessore e, peraltro, fu prontamente aggiunta ai database rilasciati dalle società leader nella produzione di software antivirus. Il tratto distintivo di BO2K era di sicuro costituito dal tendere, di fatto, verso certe caratteristiche proprie di utility commerciali del tutto legittime, impiegate per operazioni di amministrazione remota; il programma, in effetti, risultava ben visibile al momento dell’installazione. Nonostante questo, il software in questione poteva comunque essere utilizzato per scopi illeciti e venne pertanto classificato dalle società antivirus come BackdoorTrojan.
Nel mese di luglio si assiste ugualmente alla comparsa, sulla scena del malware, di tre virus eccezionalmente interessanti. Innanzitutto Star, il primo virus appositamente progettato per i pacchetti AutoCAD. Dilber, invece, si distingueva per il fatto di contenere codice nocivo proveniente da cinque altri virus, tra cui CIH, SK e Bolzano. A seconda della data, Dilber attivava gli specifici processi di uno dei suoi componenti, guadagnandosi in tal modo il nomignolo di Shuttle Virus. Il terzo malware di particolare interesse fu un Internet worm denominato Jer, il quale si avvaleva di un metodo piuttosto goffo e laborioso per riuscire ad insinuarsi all’interno dei computer-vittima. Nella circostanza, i programmi script (il corpo stesso del worm) venivano caricati su un determinato sito web, per poi essere automaticamente attivati al momento dell’apertura della corrispondente pagina HTML. In seguito, gli utenti ricevevano una notifica di allerta, riguardo al fatto che sul loro disco era stato trovato un file non identificato. Si trattava, comunque, di un rischio ben calcolato; i malintenzionati, in effetti, confidavano nel possibile errore umano, sperando che gli utenti rispondessero inavvertitamente “sì”, per liberarsi del programma script. La comparsa di questo worm confermò la nascita di una nuova “moda”, riguardante la diffusione dei virus proprio attraverso Internet. In primo luogo, il worm veniva quindi collocato all’interno di un sito web; successivamente, sarebbe stata condotta una “campagna di marketing” di massa, per fare in modo di attirare il maggior numero possibile di utenti. Per ciò che riguarda il worm Jer, il rischio calcolato fu davvero ben ripagato: ogni mille utenti si ottenevano, in media, alcune decine di “vittime”, le quali consentivano poi, al worm in questione, di introdursi furtivamente nei loro computer.
Nel mese di agosto viene scoperto il virus Liberty, il primo programma Trojan dannoso destinato ai sistemi operativi PalmOS, utilizzati per i dispositivi Palm Pilot. Una volta installato, il virus provvedeva ad eliminare i file, ma non era in grado di auto-replicarsi. In settembre, questa nuova classe di programmi nocivi si estende al primo vero virus per PalmOS, denominato Phage. Esso si presentava nelle vesti del classico virus parassita, il quale, una volta compiuto il processo di installazione, andava ad infettare i file, per poi eliminare gli stessi, registrando al contempo il proprio codice malevolo.
All’inizio del mese di settembre viene inoltre scoperto un nuovo virus informatico, denominato Stream; esso era in grado di manipolare i flussi ADS del file system NTFS. Di per se stesso, il virus non poneva particolari minacce. Ben più pericolosa, invece, era la tecnica utilizzata per ottenere l’accesso ai flussi ADS, visto che nessun programma antivirus era in grado di poter effettuare la scansione di tale location. Purtroppo, il virus Stream suscitò una reazione insufficiente da parte di alcune delle più importanti società antivirus, le quali, per contro, accusarono Kaspersky Lab di eccessivo allarmismo. Nonostante le accuse, nessuno dei concorrenti fu effettivamente in grado di proporre argomenti concreti, per confermare la posizione assunta riguardo alla sicurezza del canale ADS nell’ambito del file system NTFS. Il problema della protezione antivirus dell’NTFS rimane tuttora una questione di vitale importanza, in quanto solo pochi scanner antivirus hanno di fatto “imparato” a ricercare il malware in seno ai flussi ADS.
Ottobre vede poi la comparsa del primo virus destinato ai file PIF (Fable), così come del primo virus elaborato nel linguaggio di script PHP (Pirus). Entrambi i virus, ad oggi, non sono stati ancora scoperti “in the wild”. Nel frattempo, nel panorama IT, sorge una sorta di scandalo, quando i sistemi interni di Microsoft vengono hackerati (e lasciati in pratica aperti per vari mesi) da parte di un gruppo di hacker sconosciuti, di San Pietroburgo. Nella circostanza, l’accesso era stato ottenuto attraverso una semplice falla, mediante l’utilizzo di un worm di rete, chiamato QAZ. L’aspetto curioso di tale incidente fu il fatto che, nel momento stesso in cui veniva scoperta l’operazione di hacking a danno del sistema, il worm in causa risultava già incluso, in pratica, in tutti i database antivirus. Questo generò dubbi e sospetti di vario genere riguardo all’effettiva competenza del personale Microsoft, o, forse, riguardo all’intento doloso di qualcuno di essi. Ad ogni caso, i colpevoli di quanto accaduto non sono stati tuttora individuati.
Il mese di novembre dell’anno 2000 vede il prodursi di un importante evento. La società Kaspersky Lab, divenuta nell’arco di soli tre anni uno degli attori principali nel settore dell’industria antivirus, cambia il nome del suo prodotto di punta. AntiViral Toolkit Pro (AVP) diviene, in effetti, Kaspersky Anti-Virus ed acquisisce un nuovo logo.
In questo stesso mese viene effettuato il rilevamento di un pericoloso virus, particolarmente complesso dal punto di vista tecnologico, denominato Hybris. Il virus era stato scritto dal noto virus writer brasiliano Vecna. In pratica, quest’ultimo aveva ulteriormente sviluppato Babylonia, il suo primo virus dotato di funzionalità di “auto-ringiovanimento”, tenendo conto degli errori commessi in precedenza. La principale innovazione era rappresentata dall’utilizzo dei siti web e dei list server (in particolar modo alt.comp.virus) allo scopo di generare l’upload di nuovi moduli del virus sui computer infetti. Visto che poteva risultare relativamente facile smantellare un sito web, i list server rappresentavano quindi un’alternativa ideale per realizzare la diffusione del virus, in quanto una loro eventuale chiusura si sarebbe potuta rivelare un’operazione non troppo agevole. Hybris utilizzava, inoltre, una chiave RSA a 128 bit, per identificare i moduli effettivamente scritti dall’autore.
Nel complesso, il 2000 è stato l’anno in cui la posta elettronica ha di nuovo dimostrato di essere il veicolo migliore per realizzare la trasmissione dei virus. Secondo i dati statistici raccolti da Kaspersky Lab, circa l’85% del volume complessivo di infezioni informatiche individuate nel corso di tale anno si è prodotto attraverso le e-mail. Il 2000 si è rivelato di particolare importanza anche per l’inusuale ondata di attività, tra gli autori di virus, nei confronti dell’OS Linux. In effetti, complessivamente, fu registrata la comparsa di ben 37 nuovi virus e programmi Trojan appositamente creati per colpire il sistema operativo Linux. Di conseguenza, la quantità totale di virus per Linux raggiunse quota 43, risultando aumentata di ben sette volte nell’arco di un solo anno. Occorre infine sottolineare l’importante cambio di tendenza manifestatosi nel corso di questo anno a livello di tipologia di virus maggiormente diffusa. Sino ad allora, i virus macro avevano rappresentato il genere di virus di più larga diffusione; per la fine del 2000, tuttavia, la loro posizione di leadership era stata già ampiamente rilevata dagli script virus.