Worm informatico, il malware che si autoreplica: i più pericolosi e i metodi di diffusione

Il worm informatico è un codice malevolo (malware) che, dopo aver compromesso un PC, è in grado di autoreplicarsi e diffondersi all’interno di una rete locale per infettare tutte le altre macchine connesse.

L’infezione mediante worm, inoltre, avviene senza richiedere alcuna interazione alla potenziale vittima: è sufficiente che il suo codice malevolo venga in qualche modo attivato sul sistema infetto per avviarne il processo di clonazione e diffusione che viene eseguito sfruttando le risorse di rete del sistema stesso.

Per completezza di informazione è utile ricordare che, prima della diffusione di Internet e delle tecnologie di rete, i worm informatici si tramettevano sfruttando esclusivamente supporti di archiviazione come i floppy disk e successivamente le chiavette USB che, se montati su un sistema, consentivano di infettare le altre unità di memoria collegate al sistema target.

Worm informatico: il malware capace di autoreplicarsi

Anche se apparentemente simili da un punto di vista tecnico, in quanto entrambi accomunati da un meccanismo di replica, è bene distinguere i worm dai virus in senso stretto del termine.

Un virus è un programma che crea copie di sé stesso in maniera fittizia, collegandosi ad un terzo elemento che funge da mezzo di propagazione, il quale gli concede la possibilità di attivarsi. Uno degli elementi di distinzione tra virus e worm è la necessità da parte dei primi di copiarsi in altri file dello stesso computer, non potendo avviarsi separatamente da un programma ospite. Ad esempio, potrebbe essere nascosto in un documento di Word, in un aggiornamento di Acrobat Reader o integrarsi in un qualsiasi altro codice eseguibile o anche sistema operativo della vittima.

I worm rientrano in un particolare tipologia di virus informatici, anche se differiscono da questi per alcune specificità. In genere si replicano senza infettare altri file dello stesso computer; una volta installati sulla macchina di una vittima, questi cambiano obiettivo, cercando immediatamente di spostarsi lateralmente su altri computer attraverso varie modalità di diffusione. Oltre che a un differente scopo, questi differiscono anche nella struttura del codice: i worm sono a sé stanti – i cosiddetti “standalone files” – mentre i virus sono porzioni di codice che si integrano in file esistenti di programmi legittimi.

Worm informatici: diffusione e pericolosità

Come tutti i malware di oggi, anche i worm attualmente in circolazione possiedono numerose proprietà in aggiunta a quelle appena descritte, tra cui un’estrema facilità di replicazione e il relativo perimetro di impatto.

Non avendo la necessità di essere avviati manualmente da un individuo, differentemente dai virus i worm si muovono liberamente nel sistema informatico della vittima, portando avanti l’enumeration del sistema.

Queste procedure sono finalizzate alla scoperta di nuovi bersagli: contatti in rubrica, indirizzi e-mail da programmi locali e da qualsiasi file (tramite uno scanning del file system), indirizzi IP direttamente collegati alla macchina e vulnerabili (con tecniche di network scanning), e molto altro.

Identificate queste nuove destinazioni, repliche del worm vengono spedite per compiere poi le stesse azioni, diffondendosi ancora e poi ancora. Tra i vettori d’attacco più utilizzati per la diffusione dei worm, oltre a mail di phishing e tecniche di ingegneria sociale, troviamo l’utilizzo di mezzi di propagazione quali reti P2P (peer-to-peer), chat e notifiche dei comuni social network, e in alcuni casi persino backdoor, quando si tratta di malware complessi e strutturati.

Oltre a diffondersi a macchia d’olio, l’innumerevole numero di copie che vengono spedite ad ancora più destinatari crea problemi di compromissione della memoria sia sulle macchine infettate che sui server remoti. Entrano in gioco, così, anche tecniche di buffer overflow e sfruttamento di vulnerabilità note per acquisire vantaggi sulle vittime.

 

Fonte: CyberSecurity360