Я вот что думаю. Надо бы нам всем начать контролировать попытки соединения в наши сети по портам 3127-3198 tcp.
Таким образом как только эти уроды-распространители начнут сканить сетки в поиске открытых для себя троянов, а они будут это делать перед началом DOS атаки на SCO, то можно будет засечь их IP адрес. Пусть это даже будет прокси. Но это уже результат. Тем более собрав статистику таких соединений мы точно их вычислим. Тем более есть возможность заработать 250000 долларов
Я, например, уже поставил у себя Honeypot. Пусть ломятся.
К сожалению, в подозрение у меня попадают хосты которые к 3128 порту коннектятся - HTTP прокси ищут. Вообще активность на ожидаемых портах отсутсвует... Может эти порты разработчикам и не нужны были?

Хотя может вирус плохо распотрошили и он сам рассылает куда-то инфу о себе? Но это вряд ли.

Кстати по-поводу российского происхождения вируса я сомневаюсь, поскольку рассылка идет генерацией email подстановкой только английских имен. Например у себя вижу: fred, jose, helen, james, peter, maria, brenda, bob, alice, joe, matt, mary, dan, mike.