Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Worm: cosa sono, come funzionano, i più famosi e come rimuoverli

I worm sono codici malevoli capaci di infiltrarsi di nascosto su una macchina target per poi propagarsi su una eventuale rete locale e infettare altri PC connessi: una minaccia che da anni “striscia” fra i nostri computer, in una rapida espansione e auto-duplicazione. Ecco come riconoscerli e come rimuoverli

09 Gen 2020
D
Manuel De Stefano

IT Process Expert


Il termine worm (letteralmente: verme) indica una minaccia che da anni “striscia” fra i nostri computer, in una rapida espansione e auto-duplicazione.

Cos’è un worm

Un worm è un tipo di programma malevolo la cui caratteristica è quello di infiltrarsi in maniera latente sulle macchine per poi propagarsi, infettando altri PC sfruttando le capacità di comunicazione della macchina stessa (rete, Internet, contatti e-mail).

Si tratta a tutti gli effetti di un virus con capacità autoreplicante ed è comune che vengano notati solo quando la loro replica incontrollata impatta sulle risorse di sistema, rallentando o arrestando la macchina stessa.

Un po’ di storia

Il primo worm, rilasciato nel 1988 e che ha avuto un’ampia propagazione grazie al primo utilizzo di Internet, è stato Morris.

Il codice malevolo era opera di Robert Tappan Morris Jr., uno studente laureato Cornell University che, secondo quanto riferito, stava tentando di elencare tutti i sistemi collegati al precursore della rete Internet, ARPANET. Mirato alle vulnerabilità in diversi programmi Unix, Morris era in grado di infettare un sistema più di una volta, rendendo difficile la completa rimozione.

Uno dei worm più dannosi di sempre è stato ILOVEYOU che si è propagato attraverso diversi vettori, inclusi allegati di posta elettronica che sembravano essere file di testo, script eseguiti in sessioni di chat di messaggistica istantanea e copie del virus in file eseguibili rinominati con i nomi di file di sistema comuni e che si diffondeva senza la consapevolezza iniziale delle vittime.

Nel 2003 fu la volta di Blaster (anche conosciuto come MSBlast o Lovesan), un malware destinato principalmente alle piattaforme Microsoft. Blaster ha attaccato i computer sfruttando un difetto di sicurezza con il processo RPC (Remote Procedure Call) di Microsoft utilizzando il numero di porta TCP (Transmission Control Protocol) 135. Il malware causava il riavvio del sistema ogni 60 secondi e, in alcuni computer, una schermata di benvenuto vuota. Microsoft rilasciò uno strumento di rilevamento e rimozione di Blaster per sistemi operativi Windows XP e Windows 2000.

Come si diffondono i worm

La caratteristica peculiare del worm è di diffondersi senza il bisogno dell’interazione dell’utente, quindi dell’azione umana; gli basta diventare attivo una singola volta sul sistema infetto per avviarne il processo di clonazione e diffusione.

Prima dell’uso quotidiano e in larga scala di Internet e delle reti, i worm venivano trasmessi esclusivamente mediante supporti di archiviazione esterna, come i floppy disk che, se montati su un sistema, infettavano altri dispositivi di archiviazione collegati al sistema “di partenza”.

Come funzionano i worm

I “vermi” informatici spesso si basano sulle azioni e sulle vulnerabilità dei protocolli di rete per propagarsi. Ad esempio, il ransomware WannaCry ha sfruttato una vulnerabilità nella prima versione del protocollo di condivisione delle risorse Server Message Block (SMBv1) implementato nel sistema operativo Windows. Una volta attivo su un computer appena infettato, WannaCry avviava una ricerca di rete per nuove potenziali vittime, ovvero, sistemi operativi che rispondono alle richieste SMBv1 fatte dal worm.

Una volta avuto accesso ad una macchina, il codice malevolo è in grado di continuare a propagarsi all’interno di un’organizzazione, ivi compresi i dispositivi di archiviazione esterna (HDD, USB, SD) che, se connessi ad altre macchine facenti parte di altre reti, diventano facili veicoli verso altri computer.

Un esempio noto di worm trasmesso via condivisione di USB infette è stato Stuxnet che, nel 2010, ha infettato a macchia d’olio svariate macchine iraniane, ivi compreso un impianto nucleare russo.

Un’altra caratteristica dei worm è quella di avere la potenziale possibilità, per alcuni di essi, di propagarsi via mail creando ed inviando automaticamente mail auto-infette a tutta la lista contatti di un utente.

Un sistema infetto può diventare non disponibile o inaffidabile a causa del sovraccarico di elaborazione associato alla propagazione del worm, che può anche bloccare la connessione attraverso la saturazione dei collegamenti di rete con traffico dannoso associato alla propagazione del codice malevolo.

Tutte le tipologie di worm

Esistono diversi tipi di worm dannosi:

  • un virus informatico o anche un worm ibrido è un malware che si diffonde come un worm, ma che modifica anche il codice del programma come un virus – oppure trasporta una sorta di payload dannoso, come un virus, un ransomware o un altro tipo di malware;
  • un worm può essere utilizzato per infettare i computer con l’intento di usarli in attacchi coordinati attraverso una botnet;
  • i worm IM si propagano attraverso i servizi di messaggistica istantanea e sfruttano l’accesso agli elenchi di contatti sui computer delle vittime;
  • i worm e-mail sono generalmente diffusi come file eseguibili dannosi allegati a quelli che sembrano essere normali messaggi e-mail;

Differenze tra worm, virus e trojan

Nonostante i fini malevoli comuni, ci sono differenze sostanziali fra worm, virus e trojan.

I virus sono programmi malevoli, anch’essi con capacità autoreplicante, che richiedono però un’azione umana (esecuzione) per essere diffusi.

I trojan (cavallo di Troia), invece, è un malware che contiene un virus, attivabile mediante l’esecuzione del software che cela il virus stesso.

I worm, invece, lavorano in modo latente sui dispositivi, ed hanno l’obiettivo di rimanere nel sistema il più a lungo possibile per diffondersi con altre macchine.

Come prevenire un’infezione

Come per ogni malware, per prevenire un’infezione da worm è necessario:

  • tenere aggiornati i sistemi operativi e software, così da arginare eventuali falle;
  • utilizzare software antivirus che abbiamo un database aggiornato delle definizioni;
  • utilizzare un firewall;
  • prestare massima attenzioni a file e allegati e-mail;
  • crittografare i dati sensibili presenti all’interno delle macchine;
  • effettuare periodicamente copie di sicurezza dei file utili.

Sintomi di un’infezione

Come per l’influenza umana, per riconoscere il worm è necessario conoscerne i sintomi, in quanto difficilmente viene rilevato.

I sintomi includono:

  • prestazioni carenti del computer;
  • blocco o arresto del sistema operativo in modo anomalo/imprevisto;
  • blocco o arresto delle applicazioni in modo anomalo/imprevisto;
  • scomparsa di icone e/o file;
  • improvvisa comparsa di icone e/o file;
  • strani messaggi di posta inviati dal tuo account.

Come rimuovere un worm

La rimozione di un worm può essere difficile e comunque può avvenire solo mediante l’utilizzo di un valido antivirus. In casi estremi, potrebbe essere necessario formattare il sistema e reinstallare sistema operativo e software. Se è possibile identificare il worm latente nella macchina potrebbero essere disponibili istruzioni o strumenti specifici per rimuovere l’infezione.

Prima di rimuovere il worm, è necessario che la macchina sia disconnessa da Internet, dalla rete e da eventuali dispositivi di archiviazione esterna, che andranno anch’essi verificati alla ricerca di infezioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5