Worm

categoria di malware in grado di autoreplicarsi
Disambiguazione – Se stai cercando altri significati, vedi Worm (disambigua).

Un worm (termine della lingua inglese tradotto letteralmente in "verme"), nella sicurezza informatica, è una particolare categoria di malware in grado di autoreplicarsi.

Dischetto contenente il codice sorgente del worm Morris, il primo worm ad alta diffusione, esposto nel Computer History Museum di Mountain View

L'idea di un programma auto-replicante fu teorizzata per la prima volta da John von Neumann nel 1949 quando il matematico ipotizzò degli automi capaci di creare delle copie del loro codice.[1] Il primo codice capace di auto-replicarsi e di diffondersi si ebbe tuttavia solo nel 1971 con la creazione di Creeper, considerato il primo worm della storia: esso fu scritto da Bob Thomas per diffondersi su Arpanet ed infettare i PDP-10.[1]

Il termine "worm" per indicare un programma auto-replicante viene però usato per la prima volta solo nel 1975 nel romanzo di fantascienza Codice 4GH (titolo originale: The Shockwave Rider) di John Brunner. La storia è ambientata in un lontano futuro in cui una gigantesca rete informatica che fa capo ad un unico supercomputer viene usata da un governo mondiale per controllare tutta l'umanità. Il personaggio principale riesce a far saltare la rete introducendo da un terminale un "worm" (nella versione italiana è tradotto con "tenia") che costringe il computer a rivelare al mondo tutte le manovre del governo globale registrate nella sua memoria.[2]

Uno dei primi worm di epoca moderna diffusi sulla rete fu il Morris worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a colpire tra le 4000 e le 6000 macchine, si stima il 4-6% dei computer collegati a quel tempo in rete[3].

Descrizione

modifica

È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri programmi eseguibili per diffondersi, ma a tale scopo utilizza altri computer, ad esempio tramite e-mail e una rete di computer.[4]

Modalità di diffusione

modifica

Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando la rete Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.

Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.

Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.

La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.

Danni causati

modifica

Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.

Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato. Molto di frequente un worm funge da veicolo (tecnica chiamata dropping) per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.

I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato infatti la diffusione di un worm genera un enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati, come nel caso del recente worm Blaster (noto anche come Lovsan o Msblast).

  1. ^ a b First computer virus of Bob Thomas, su history-computer.com. URL consultato il 10/05/2015 (archiviato dall'url originale il 13 dicembre 2014).
  2. ^ Giuseppe Di Rosa, Incursori, computer e SF, su fantascienza.com, 15 settembre 1997. URL consultato il 5 dicembre 2017.
  3. ^ (EN) Zen and the Art of the Internet
  4. ^ What is the difference between a computer virus and a computer worm?, su scienceline.ucsb.edu, UCSB ScienceLine. URL consultato il 10/05/2015.
    (EN)

    «A worm is a computer program that replicates independently by sending itself to other systems. Thus a worm can spread much faster. Worms often spread over e-mail»

    (IT)

    «Un worm è un programma per computer che si replica in modo indipendente spedendosi ad altri sistemi. Per questo un worm può diffondersi molto più rapidamente. I worm si diffondono spesso via e-mail.»

Voci correlate

modifica

Altri progetti

modifica

Collegamenti esterni

modifica
Controllo di autoritàGND (DE4779907-9