Un worm è un software dannoso che si riproduce su più computer utilizzando una rete di computer come Internet . Ha la capacità di duplicarsi una volta che è stato giustiziato. A differenza del virus, il worm si diffonde senza bisogno di legarsi ad altri programmi eseguibili.
Il termine "worm" (in inglese " worm ") è stato utilizzato per la prima volta nel 1975 dal romanziere britannico John Brunner nel suo romanzo On the Shockwave .
Il 2 novembre 1988, Robert Tappan Morris , studente di informatica, mise in circolazione quello che fu poi chiamato il worm Morris e causò il crash di un gran numero di computer su Internet. Si ritiene che questo abbia colpito un decimo di loro. Durante il processo a Morris, la corte ha stimato che il costo per eliminare il virus può essere stimato tra $ 200 e $ 53.000. È stato questo evento che ha portato alla creazione del Centro di Coordinamento CERT e della mailing list dei Phage. Per quanto riguarda Morris, è la prima persona condannata ai sensi del Computer Fraud and Abuse Act degli Stati Uniti .
Nel 1997, il primo worm di posta elettronica , noto come ShareFun, si è diffuso e scritto nel linguaggio macro WordBasic per Microsoft Word 6/7. Nello stesso anno fu scoperto il primo worm che poteva diffondersi tramite IRC , che utilizzava il file di script.iniprogramma mIRC .
Nel 1999 , il worm di posta elettronica Melissa si è diffuso in tutto il mondo tramite Outlook e ha attirato l'attenzione dei media. Appaiono worm complessi, come Toadie, che infetta sia i file DOS che Windows e si diffonde tramite IRC ed e-mail, e W32.Babylonia, che è il primo malware ad aggiornarsi.
Nel 2001 sono comparsi i primi worm con un proprio motore SMTP . Da questo momento in poi, i worm non dipendono più da Microsoft Outlook (Express) . Inoltre, compaiono i primi worm che possono diffondersi tramite ICQ o reti peer-to-peer . Il worm Code Red è ampiamente diffuso sfruttando una vulnerabilità di sicurezza nell'IIS di Microsoft . Sfruttando le vulnerabilità dei servizi di rete, possono poi comparire i primi versi senza file , diffondendosi attraverso falle di sicurezza e rimanendo nella RAM, in modo che non ricadano all'interno del disco rigido .
Nel 2003 , il worm SQL Slammer si è diffuso rapidamente sfruttando una vulnerabilità di sicurezza in Microsoft SQL Server . Il primo verme che colpisce gli individui appare inagosto 2003 con W32.Blaster, che sfrutta una vulnerabilità di sicurezza nel sistema operativo Microsoft Windows.
Nel 2004 , il worm Sasser ha sfruttato una falla di sicurezza nei sistemi operativi Windows ( 2000 , XP , Server 2003 ) in particolare per attaccare i computer privati. La prima versione del worm Mydoom , ad oggi la più rapida diffusione via e-mail, si sta diffondendo in tutto il mondo. Inoltre, SymbOS.Caribe è il primo worm per telefoni cellulari a diffondersi utilizzando la tecnologia di rete Bluetooth su smartphone dotati del sistema operativo Symbian OS .
Nel 2005 , SymbOS.Commwarrior è stato il primo worm che poteva essere inviato tramite MMS . La diffusione dei worm dei telefoni cellulari è ora segnalata da diversi produttori di software antivirus .
Nel febbraio 2006 , Leap è il primo worm che colpisce i sistemi operativi Mac OS di Apple . A marzo, un gruppo di ricerca olandese guidato dal professore universitario Andrew Tanenbaum ha pubblicato il primo worm per i chip radio RFID . Un'iniezione SQL in Oracle database di programma permette 127- programma byte per propagarsi autonomamente.
Nel 2008 , la diffusione del worm Agent.btz ha indotto lo Strategic Command degli Stati Uniti a emanare una direttiva che vieta l'uso di unità USB personali e altri dispositivi di archiviazione rimovibili sulla rete di computer, nonché l'uso del computer.' AutoRun .
Nel 2010 viene utilizzato il worm Stuxnet , di una complessità molto elevata che si riflette nello sfruttamento di quattro vulnerabilità zero-day per Windows e di una dimensione file molto ridotta, per prendere il controllo di WinCC , un software SCADA di Siemens .
Il concetto di worm deriva da quines o programmi autoreplicanti che a loro volta derivano dalle idee dei logici John von Neumann e WV Quine .
Un worm, a differenza di un virus informatico , non ha bisogno di un programma host per riprodursi. Utilizza le varie risorse del computer che lo ospita per garantirne la riproduzione.
L'obiettivo di un worm non è solo quello di riprodursi. Il verme di solito ha anche uno scopo malvagio, ad esempio:
L'attività di un verme ha spesso effetti collaterali come:
I worm scritti in forma di script possono essere incorporati in un'e - mail o in una pagina HTML ( cavalli di Troia ). Questi worm vengono attivati dalle azioni dell'utente che crede di avere accesso alle informazioni a lui destinate.
Un worm può anche essere programmato in C , C++ , Delphi , assembler o un altro linguaggio di programmazione . La maggior parte delle volte, i worm utilizzano i difetti del software per diffondersi. Questi difetti vengono generalmente corretti dai fornitori di software non appena compaiono i worm. Scaricando le versioni più recenti di tali software non appena vengono visualizzate, è possibile ridurre notevolmente la probabilità di essere infettati da worm.
I dati corrotti o distrutti da un worm di solito sono irrecuperabili.
Il worm viene spesso trasmesso ai computer in vari modi, come e-mail, programmi di origine oscuri, siti di forum, DVD e CD di giochi piratati, unità USB.
Il worm è progettato per copiare se stesso da un computer a un altro automaticamente. Prima di tutto, prende il controllo delle proprietà che trasmettono file o informazioni al computer. Una volta che un worm entra nel tuo sistema, può scomparire da solo. Ciò può causare un traffico di rete pesante a causa dell'effetto domino, rallentando le reti del posto di lavoro e l'intera Internet. I nuovi vermi si diffondono molto rapidamente quando compaiono. Il worm è una sottoclasse di virus. Un worm di solito si diffonde senza l'azione dell'utente e distribuisce copie complete (eventualmente modificate) di se stesso da una rete all'altra. Un worm può consumare memoria o larghezza di banda di rete, causando il crash di un computer.
Poiché i worm non hanno bisogno di un programma o di un file di "supporto" per diffondersi, possono eseguire il tunneling del sistema e consentire a qualcun altro di controllare il computer in remoto. Esempi di worm recenti includono worm Sasser e Blaster .
Peer-to-peer è una forma di rete che collega i computer in rete senza un server, ovvero che stabilisce una connessione diretta tra i singoli utenti. La maggior parte delle reti di condivisione di file Internet, come Kazaa , Morpheus o i sistemi BitTorrent , utilizzano la tecnologia P2P. Un worm può diffondersi in tre modi diversi in una rete di condivisione file:
Molti worm utilizzano le e-mail per diffondersi, inviando il file eseguibile contenente il worm o un collegamento ipertestuale ad esso. Le e-mail possono essere inviate tramite un'acquisizione remota di programmi di posta elettronica preinstallati, come Microsoft Outlook , o tramite una routine SMTP specifica per il worm. L'indirizzo email del destinatario si trova spesso nelle rubriche preinstallate. Tuttavia, il worm potrebbe utilizzare anche altri file sui dischi rigidi (come i file temporanei Internet ) o gli indirizzi e-mail di siti Web speciali (come i libri degli ospiti online) per la distribuzione iniziale. Esempi notevoli di questo metodo di diffusione sono Loveletter (noto anche come ILOVEYOU), che è esploso nella diffusione della posta elettronica inmaggio 2000o Netsky .
Anche i programmi di messaggistica istantanea come WhatsApp , ICQ , Windows Live Messenger o Skype sono vulnerabili ai malware a causa della loro connessione a Internet. Tale worm viene diffuso inviando a un utente un collegamento a una pagina Web contenente il worm. Se l'utente fa clic sul collegamento, il worm viene installato ed eseguito sul computer dell'utente, con applicazioni di messaggistica istantanea che tendono a non avere il proprio parser HTML e invece a utilizzare quello nel browser predefinito dell'utente. Una volta installato, il worm si diffonde inviando il collegamento a tutti i contatti salvati nel computer infetto.
I dispositivi di archiviazione rimovibili sono supporti dati intercambiabili per computer, come le chiavette USB . Questi worm vengono copiati sui supporti dati in modo indipendente, al fine di diffondersi da un computer all'altro. A differenza dei tipi di worm discussi finora, questo non utilizza una rete per diffondersi. Può sfruttare l'avvio automatico del supporto dati.
I client IRC sono programmi che consentono a qualsiasi utente di scambiare messaggi di testo con altri utenti quasi in tempo reale tramite Internet Relay Chat . La maggior parte dei programmi IRC utilizza uno script speciale per connettersi al server IRC , che viene eseguito all'avvio del programma. Questo script contiene i comandi eseguiti dal programma IRC. Questi comandi includono la connessione a un canale , la composizione di messaggi e anche l'invio di file. Un worm IRC che ha infettato un computer cerca programmi IRC che può utilizzare per diffondersi: quando trova un tale programma, modifica lo script, che viene caricato automaticamente. Al successivo avvio del programma IRC, il worm invierà automaticamente lo script a tutti gli utenti in una chat room . Se un utente accetta il download e apre il file scaricato, l'intero processo viene ripetuto. Attualmente esistono worm IRC per almeno cinque programmi IRC ( mIRC , pIRCh, vIRC, dIRC e Xircon).
Le misure da attuare per evitare l'infezione di un sistema informativo da parte di un worm informatico sono plurali:
I mezzi tecnici raggiungono i loro limiti quando si tratta di proteggere da un'influenza psicologica sull'utente ( ingegneria sociale ), ad esempio tramite una e-mail apparentemente legittima che lo invita a scaricare un sigillo parzialmente infetto. Tuttavia, è consigliabile informare gli utenti dei rischi, ad esempio durante le campagne antiphishing . Istruire gli utenti rende più difficile per un mittente di worm persuadere l'utente ad aprire un file compromesso, come un allegato di posta elettronica.
Si consiglia di non aprire file non richiesti da allegati di posta elettronica o altre fonti, anche se provengono da un mittente noto al destinatario. Infatti, la conoscenza del mittente non costituisce garanzia di sicurezza:
I file possono essere pre-controllati per vedere se contengono malware generalmente noto (vedere la sezione sugli scanner antivirus di seguito).
I file destinati a un'applicazione specifica (come file musicali con estensione .mp3 o file immagine .jpge .jpeg), non devono essere visualizzati semplicemente con l'opzione "apri", ma tramite l'opzione "apri con" dal menu contestuale. , selezionando l' opzione corrispondente programma. Questa misura precauzionale ha lo scopo di evitare di essere ingannati da una doppia estensione di file , che sfrutta l'occultamento di estensioni di file note (abilitate di default sui sistemi operativi Microsoft dopo Windows 95 ) per falsificare l'utente che il file infetto vacances.jpeg.exe, che di fatto è un eseguibile , è semplicemente una foto in formato JPEG poiché appare semplicemente come vacances.jpegai suoi occhi.
In particolare, i documenti Office (compresi .doc/ .docx, .xls/ .xlsx, .ppt/ .pptxe file .rtf) provenienti da fonti esterne non devono essere aperti con il programma Office installato per la semplice consultazione: si corre infatti inutilmente il rischio di una macro (un programmino) memorizzata nel documento viene eseguito. È meglio utilizzare un'applicazione in grado di visualizzare e stampare tale file senza offrire l'opzione per eseguire una macro.
Lo scopo di una scansione antivirus è rilevare virus , worm e trojan famigerati e cercare di bloccarli ed eliminarli.
Argomenti a favore dell'uso delle scansioni antiviraliL'efficacia della soluzione antivirale è maggiore quando il malware viene rilevato dalla scansione antivirus prima che il file incriminato venga eseguito per la prima volta sul sistema informatico che sta proteggendo. Si consiglia quindi di scansionare qualsiasi nuovo file da una fonte esterna ( supporto rimovibile , pagina Web, allegato e-mail) con un software antivirus aggiornato prima di eseguirlo o leggerlo.
Per escludere altre vie di infezione, si consiglia inoltre di eseguire una scansione sui file da una rete condivisa, nel caso in cui non si possa escludere un'infezione intermedia da parte di uno degli altri sistemi.
Limiti delle scansioni antiviraliIl software antivirus utilizza un metodo di ricerca "confronto delle firme" per rilevare il malware: esegue la scansione dei file inviati alla ricerca di firme di virus note . Infatti, non è in grado di rilevare malware che non gli è (ancora) noto, e un antivirus non può quindi determinare con certezza che un file sia privo di tutti i virus, ma solo di virus a lui noti . Da quel momento in poi ha luogo una "corsa" tra i programmatori di worm, che cercano di mantenere il più nascosto possibile il worm o di modificare una variante nota in modo che non venga più rilevata e il progettista del software antivirus, che cerca di mantenere aggiornato il database delle firme.
Poiché il software antivirus per sua natura è sempre in ritardo rispetto alle minacce, contiene anche componenti che monitorano i processi in uso nel sistema informatico, al fine di rilevare attività sospette che potenzialmente tradiscono malware, anche se lo fa, non note alla scansione antivirus. Le modalità di rilevamento e occultamento delle attività dannose di virus e worm sono quindi oggetto di un'analoga "corsa".
Un programma dannoso, una volta avviato, può disattivare il software antivirus o manipolare il sistema in modo che i programmi dannosi non vengano più rilevati dallo scanner antivirus (vedi rootkit ).
I worm possono essere introdotti attraverso piccole finestre con messaggi accattivanti che appaiono durante la navigazione in Internet. Nel momento in cui si fa clic sul collegamento, il worm entra nel computer. Esempi di elementi in alcune finestre:
Il worm SAMY ( in ), creato da Samy Kankar, ha infettato più di un milione di utenti Myspace in sole 20 ore. Ecco cosa mostrava il worm sullo schermo degli utenti infetti: " ma soprattutto, Samy è il mio eroe ". Ogni persona che visitava un profilo infetto era a sua volta infettata.
Il worm Facebook che si diffonde tramite Facebook Messenger , che è un sistema di messaggistica istantanea incorporato nel social network Facebook . Una persona infetta invierà automaticamente un messaggio a tutti i suoi contatti con un collegamento a un sito in cui è possibile scaricare il worm.