Durante la serata di mercoledì 2 novembre 1988 [See89] Internet venne
attaccata dal suo interno. Intorno alle 18:00 EST un programma veniva
eseguito su più host connessi alla rete Internet [HiHaSh83]
. Questo programma raccoglieva
informazioni su l'host, la rete e gli utenti, e poi irrompeva su altre
macchine usando alcuni bug presenti sul software di rete di quelle macchine. Dopo
essere penetrato, il programma tentava di replicare se stesso e la replica a
sua volta tentava di infettare altri sistemi.
Sebbene il programma infettasse solo sistemi SUN 3 e
computer VAX con varianti del sistema operativo BSD UNIX [BSD88], il programma si
diffuse con la stessa velocità con cui si diffuse la confusione e la costernazione
dei system administrator e degli utenti che scoprirono che il loro sistema
era stato invaso. Nonostante la debolezza della sicurezza di UNIX fosse
nota da tempo, (cf. [Rit79] [MorTho78]) la portata dell'intrusione
portò una grande sorpresa alla comunità scientifica.
Il programma era misterioso per gli utenti dei siti sui quali compariva. Alcuni file non usuali venivano trovati nella directory /usr/tmp di alcune macchine, ed alcuni strani messaggi comparivano nei file di LOG di alcune utility come per esempio il programma per smistare la mail, sendmail [All83]. L'effetto più evidente, era che i sistemi diventavano sempre più carichi quando si lanciavano processi e l'infezione si replicava sempre più. Più passava il tempo e più queste macchine diventavano così cariche che non erano in grado di continuare nessun processo: alcune macchine si bloccavano completamente quando il loro swap space o le process tables erano esauste.
Nella tarda notte dello stesso mercoledì, il personale della University of California at Berkeley e del Massachusetts Institute of Technology [EicRoc88] avevano catturato copie del programma ed iniziarono ad analizzarlo. Anche in altre Università cominciarono a studiare il programma e iniziarono a sviluppare metodi per sradicarlo. Una paura comune era quella che, il programma, per esempio, tentasse di corrompere le risorse del sistema in modo che non fosse facilmente notabile, per esempio mentre veniva intrapresa una cura, i file di sistema venivano alterati o distrutti.
Alle ore 05:00 EST di giovedì mattina, a meno di 12 ore dalla prima scoperta sulla rete, il Computer Systems Research Group at Berkeley aveva messo a punto un insieme temporaneo di passi per bloccare la diffusione. Questa serie di passi includevano un patch preliminare a sendmail, e il suggerimento di rinominare uno o più compilatori C e loader per prevenire un loro uso da parte del programma invasore. Questi consigli vennero pubblicati su alcune mailing list e sulla Usenet [2, 4, 5], nonostante la loro diffusione veniva impedita dal fatto che i sistemi erano sconnessi dalla rete Internet per tentare una sorta di quarantena.
Circa alle 19:00 EST di giovedì 3 novembre, un altro semplice, ma efficace metodo per fermare l'infezione, senza rinominare utility di sistema, veniva scoperto al Department of Computer Science della Purdue University ed ampiamente diffuso dal Prof. Spafford [Spa88] [Spa89]. Allo stesso tempo venivano diffusi dei patch software dal gruppo di Berkeley per correggere tutti i bug che permettevano al programma di invadere i sistemi. Tutto ciò che rimaneva da fare era analizzare il codice che aveva causato i problemi.
Martedì 8 novembre 1988 Mark Eichin e Jon Rochlis [Cas88] presenziarono a Baltimore un meeting post-mortem organizzato dalla National Computer Security Center (NCSC). Erano presenti al meeting, tra gli altri, alcuni rappresentanti della National Institute of Science and Technology (NIST), (anche se formalmente erano del National Bureau of Standards), della Defense Communications Agency (DCA), della Defense Advanced Research Project Agency (DARPA), del Department of Energy (DOE), del Ballistics Research Laboratory (BRL), della Lawrence Livermore National Laboratory (LLNL), della Central Intelligence Agency (CIA), della University of California at Berkeley (UCB), del Massachusetts Institute of Technology (MIT), della Harvard University, della SRI International, del Federal Bureau of Investigation (FBI), e ovviamente della National Computer Security Center (NCSC). All'ultimo momento venne invitato anche il prof. Eugene Spafford della Purdue University ma non poté essere presente.
In quella sede si decise anche di non distribuire codice del programma reverse-engineered al pubblico. Si ebbe la sensazione che il programma si serviva di tecniche troppo poco conosciute e renderle pubblicamente note avrebbe solamente fornito lo scheletro per scatenare altri attachi similari. Sebbene questo comportamento si capisce facilmente, può servire solo come tattica di ritardo. Infatti già l'8 dicembre 1988 erano note dodici versioni del codice decompilato, e vista la rapida diffusione del codice binario era facilmemte immaginabile che erano altre le precauzioni da prendere. Molti programmatori e amministratori di sistema erano interessati a come il programma funzionasse ed al perché si diffondesse così velocemente. Questi individui avevano validi motivi nel vedere il codice, specialmente se erano venditori di software. Il loro interesse non era quello di duplicare il codice del programma, ma assicurarsi che tutti i buchi usati dal programma fossero stati eliminati. Per di più esaminare il codice poteva aiutare gli amministratori di sistema ed i rivenditori a sviluppare difese contro possibili futuri attacchi, a dispetto delle proteste di alcuni personaggi che erano contrari alla diffusione nonostante avessero copie del codice sorgente reverse-engineered.