I worms (verme in inglese) sono quella tipologia di malware che è apparsa sulla scena mondiale con l’avvento di Internet, facendo sembrare quasi “scomparsi” i virus in senso stretto. I concetti di virus e worm sono simili, ma si differenziano per una aspetto: a differenza dei virus, i worm sono mframmenti di codice indipendenti ed autonomi che agiscono principalmente in memoria, consumando risorse del sistema e propagandosi velocemente tra sistemi differenti. I worm infatti non sono dei “parassiti” e non hanno bisogno di un programma ospite per replicarsi; il loro fine resta comunque quello di infettare il maggior numero di sistemi possibile propagandosi velocemente.
Il loro payload (sempre che ne contengano uno) generalmente non mira a danneggiare i dati, ma si limita a creare malfunzionamenti al sistema operativo o, peggio, a carpire dati ed informazioni personali della vittima. Per essere eseguiti, spesso i worm non necessitano di azioni particolari da parte dell’utente, come vedremo tra poco. Mentre per i virus in senso stretto il veicolo di diffusione è rappresentato da dischetti e programmi, i worm sfruttano per propagarsi la rete, sia locale (LAN aziendali o domestiche) che Internet: vediamo da dove possono provenire le minacce.
– Posta elettronica. Essendo il principale mezzo per la trasmissione di informazioni, è anche il più utilizzato
dai worm per propagarsi, generalmente in due modi: attraverso gli allegati o sfruttando vulnerabilità insite in alcuni client di posta elettronica. Gli allegati sono il metodo di propagazione più usato dai worm, anche se presenta un significativo punto debole: l’utente deve aprire l’allegato per infettare il proprio computer. A tale scopo il worm inserisce come oggetto del messaggio frasi “invitanti”: ricordate ad esempio I Love You, alias Loveletter? Il messaggio di posta infetto portava l’oggetto ILOVEYOU e come allegato il file LOVE-LETTER-FOR-YOU.TXT.vbs. Poiché solitamente l’estensione dei file non viene visualizzata da parte del sistema operativo, molti utenti, credendo di avere a che fare con un file di testo, spinti dalla curiosità lo aprivano senza preoccupazioni: in realtà l’allegato era uno script (.vbs) che conteneva il codice dannoso.
Non tutti i worm però necessitano di una “mano” per essere eseguiti: sfruttando le vulnerabilità (se non corrette tramite le opportune patch) di alcuni client di posta elettronica (due su tutti Outlook ed Outlook Express) che interpretano non correttamente alcuni tipi di comandi a cui vengono sottoposti, alcuni worm riescono ad autoeseguirsi anche nel momento in cui viene visualizzata solamente l’anteprima del messaggio, senza che ne venga effettuata l’apertura (come BugBear, Wallon e molti altri). Cosa succede quando viene eseguito il codice maligno? Dopo aver eseguito l’eventuale payload, il worm si attiva subito per replicarsi: cerca tutti gli indirizzi di posta elettronica memorizzati nel sistema (verificando i file che li potrebbero contenere al loro interno, come .wab, .msg, .eml, .doc, .txt, .html, ecc.), quindi siautospedisce loro tramite allegato di posta elettronica (nella speranza che la vittima lo apra): il messaggio infetto di solito ha l’indirizzo del mittente falsificato (preso anche a caso tra quelli della vittima precedente)o nascosto.
– Web. I pericoli di contrarre un worm in questo caso possono provenire dai download incontrollati e dalle vulnerabilità insite nel sistema operativo (generalmente quelli Microsoft, da Windows 2000 in poi). E’ risaputo ormai che aprire programmi e/o archivi scaricati dalla rete (specialmente se da siti poco raccomandabili) senza averli sottoposti preventivamente ad un adeguato controllo antivirus è un’operazione estremamente rischiosa e in alcuni casi fatale al proprio pc. Meno risaputa, a giudicare dall’incredibile numero di computer colpiti in tutto il mondo, sembra essere invece la gravità di due falle (se non adeguatamente corrette) scoperte nei sistemi operativi Microsoft, a partire da Windows 2000. Chi non ha mai sentito parlare di Blaster o del recentissimo Sasser?
Ebbene, questi due worms, per insediarsi in un computer, sfruttano due altrettante vulnerabilità del sistema operativo: il primo un bug nell’RPC (Remote Procedure Call, un protocollo usato da Windows), mentre il secondo una falla dell’Lsass (Local Security Autorithy Subsystem Service, un servizio che si occupa della gestione delle password al login di un utente), tra l’altro documentata già da tempo. Il payload ed il modo in cui si propagano i due worms sono simili: entrambi provvedono a mandare in crash ripetutamente ed a distanza di pochi minuti i relativi servizi vulnerabili (RPC e Lsass) causando l’arresto ed il riavvio forzato del sistema operativo; Blaster inoltre tenta di rendere inaccessibile il sito windowsupdate.com da dove è possibile scaricare la patch risolutiva della vulnerabilità RPC, mentre Sasser è addirittura in grado di fungere da backdoor. Se è attiva una connessione ad Internet, per propagarsi i due worms generano degli indirizzi IP casuali (un indirizzo IP è una stringa numerica che identifica un computer connesso alla rete), tentando quindi di sferrare l’attacco verso quegli IP: se a rispondere è una macchina vulnerabile, essa viene immediatamente infettata.