Worm

Un worm � una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.

Il termine deriva da un romanzo di fantascienza degli anni 1970 di John Brunner. I ricercatori che stavano scrivendo uno dei primi studi sul calcolo distribuito notarono le somiglianze tra il proprio programma e quello descritto nel libro e ne adottarono il nome.

Modalità di diffusione

Tipicamente un worm modifica il sistema operativo del computer che infetta in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono pi� di uno per uno stesso worm.

Il mezzo pi� comune impiegato dai worm per diffondersi � la posta elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di se stesso come allegato a tutti o parte degli indirizzi che � riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi come Outlook per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm pi� recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale: alcuni software antivirus montati tipicamente sui server respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo � falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.

Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.

La tipologia forse pi� subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.

Danni causati dai worm

Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.

Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato. Molto di frequente un worm funge da veicolo per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger.

I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato nella sezione precedente infatti, la diffusione di un worm genera un'enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note si alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali instabilità del sistema operativo e a volte spegnimenti e riavvii forzati, come nel caso del recente worm Blaster (noto anche come Lovsan o Msblast).