Det næste angreb fra ormen Sober er planlagt til at begynde i dag ved midnat, viser analyser af tidligere varianter.
Men med hele sikkerhedsbranchen og myndighedernes øjne rettet mod sig, vil bagmanden muligvis vælge at holde lav profil.
Sikkerhedseksperter har knækket den algoritme, som ormen bruger til at finde frem til de websteder, hvorfra den kan hente nyt materiale.
Dato ligger fast
Samtidig har man fundet frem til, at ormen vil aktivere sig selv igen ved midnat, når 5. januar bliver til 6. januar.
- Der er ikke lagt noget ud på adresserne. Det er muligt, at han vil holde sig på sikker afstand, siger chefkonsulent Carole Theriault fra antivirusfirmaet Sophos.
Noget tyder på, at myndighederne er på sporet af bagmanden. To dage før den seneste variant blev spredt, advarede tysk politi om et forestående angreb.
- Det er mest sandsynligt, at han vil holde en lav profil frem for at kaste sig ud i en aktivering af ormen, siger Mikko Hypponen, forskningschef hos F-Secure.
En gun-man uden partnere
Sober-bagmanden skiller sig ud fra flertallet af de virus-programmører, der sender ondsindede programmer i omløb på internettet. Flertallet har økonomiske motiver og ønsker ikke at blive genstand for stor opmærksomhed.
Mikko Hypponen betegner derfor Sober-bagmanden som en "lone gunman", altså i dette tilfælde en virus-programmør, der arbejder alene.
Tidligere Sober-varianter har spredt højreorienteret eller nynazistisk materiale, og det var derfor spekuleret i, om den 5. januar skulle kædes sammen med årsdagen for stiftelsen af nazistpartiet.
Mikko Hypponen har dog ikke store forventninger om, at det denne gang vil lykkes for myndighederne at fanger Sober-bagmanden.
- Han har leget katten-efter-musen i over to år nu. Men jeg håber virkelig, at de vil være i stand til at opspore ham, siger Mikko Hypponen.