De Amerikaanse beveiligingsonderzoeker Jonathan Hall die maandag bekendmaakte dat servers van Yahoo en WinZip waren gehackt heeft een bezoek van de FBI gekregen. "Misschien word ik morgen wakker met handboeien om", zo laat hij tegenover Wired weten. Hall dacht in eerste instantie dat de aanvallers via de Bash-bug toegang tot de Yahoo-servers hadden gekregen, maar dat werd later door Yahoo ontkend.

In het geval van WinZip zou Hall zelf toegang tot een server van het bedrijf hebben gekregen en voerde daar een commando uit om de malware, die eerder door de aanvallers was geïnstalleerd, uit te schakelen. "Ik probeerde een actieve werkende worm te vinden die al rondging. Dat leidde me naar een actief botnet dat al in gebruik was." De onderzoeker ontdekte de aanval dankzij zijn eigen honey pot-server die werd aangevallen.

De aanval bleek afkomstig te zijn van een server van WinZip, het softwarebedrijf dat de gelijknamige en populaire archiveringssoftware aanbiedt. Uiteindelijk leidde het spoor van de aanvallers naar een IRC-server waarmee de besmette computers en servers verbinding maakten, waaronder ook de twee servers van Yahoo. Dinsdag, een dag na de publicatie, kwam de FBI bij Hall langs met vragen over zijn onderzoek. "Ik weet niet wat ze van plan zijn. Het was een lastig gesprek", aldus de onderzoeker.