Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri eseguibili per diffondersi ma si diffonde spedendosi direttamente agli altri computer, ad esempio tramite e-mail o una rete di computer.
Modalità di diffusione
Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.
Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il Programma maligno ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.
Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.
La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.
Danni causati dai worm
Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.
Danni diretti
Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato. Molto di frequente un worm funge da veicolo (tecnica chiamata DROPPING) per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.
Danni indiretti
I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato infatti la diffusione di un worm genera un'enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati, come nel caso del recente worm Blaster (noto anche come Lovsan o Msblast).
Storia
L'idea di un programma auto-replicante fu teorizzata per la prima volta da John von Neumann nel 1949 quando il matematico ipotizzò degli automi capaci di creare delle copie del loro codice. Il primo codice capace di auto-replicarsi e di diffondersi si ebbe tuttavia solo nel 1971 con la creazione di Creeper, considerato il primo worm della storia: esso fu scritto da Bob Thomas per diffondersi su Arpanet ed infettare i PDP-10.
Il termine "worm" per indicare un programma auto-replicante viene però usato per la prima volta solo nel 1975 nel romanzo di fantascienza Codice 4GH (titolo originale: The Shockwave Rider) di John Brunner. La storia è ambientata in un lontano futuro in cui una gigantesca rete informatica che fa capo ad un unico supercomputer viene usata da un governo mondiale per controllare tutta l'umanità. Il personaggio principale riesce a far saltare la rete introducendo da un terminale un "worm" (nella versione italiana è tradotto con "tenia") che costringe il computer a rivelare al mondo tutte le manovre del governo globale registrate nella sua memoria.
Uno dei primi worm di epoca moderna diffusi sulla rete fu il Morris worm, creato da Robert Morris, figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a colpire tra le 4000 e le 6000 macchine, si stima il 4-6% dei computer collegati a quel tempo in rete.
