I worm informatici sono così insidiosi e unici nel loro genere perché possono agire in modo indipendente e, una volta infettato un PC, autoreplicarsi e diffondersi attraverso l’intera rete. Continua a leggere per saperne di più sul più antico tra tutti i tipi di malware e per scoprire come proteggerti dagli attacchi dei worm informatici, ad esempio con la soluzione di protezione completa Avira Free Security, che include molto più di una semplice protezione anti-malware.
Cos’è un worm informatico e come funziona?
I worm informatici sono i più antichi tra tutti i tipi di malware e prendono il nome dal modo in cui si muovono e si diffondono. Proprio come l’omonimo biologico striscia nel terreno, un worm informatico striscia all’interno della rete per infettare altri sistemi.
Un worm informatico è una forma di malware (script o programma per computer) che, a differenza di altri malware come i virus, può autoreplicarsi e muoversi in modo completamente autonomo nel mondo digitale. Per replicarsi, un worm per PC crea copie di se stesso e le diffonde attraverso connessioni Internet e di rete, spesso a velocità elevatissima.
Dopo i virus informatici, i worm informatici sono probabilmente il tipo di malware più noto. Anche se condividono la caratteristica comune di diffondersi sui computer, a differenza dei virus i worm non hanno bisogno di un file host. Non necessitano di essere incorporati in un file eseguibile per replicarsi e diffondersi, né dipendono dall’interazione dell’utente.
Questo significa che un worm può agire in modo indipendente senza che un utente debba prima attivarlo. Non appena si introduce in un PC, viene eseguito automaticamente e si annida nel sistema di destinazione passando inosservato. Il worm va quindi a caccia di vulnerabilità, come falle nella sicurezza di programmi, sistemi operativi o servizi di rete, per diffondersi in altri sistemi e da lì ricominciare il proprio lavoro. Dal momento che ogni PC infetto costituisce una fonte per ulteriori infezioni da worm, un worm può diffondersi rapidamente in modo esponenziale e causare una grave congestione della rete, cosa che rende particolarmente pericoloso un attacco worm su larga scala.
Anche se per definizione i worm informatici non hanno bisogno di un file host, per diffondersi possono comunque utilizzare file o programmi come mezzo di trasporto iniziale, ad esempio nascondendosi in un allegato e-mail. In questo caso, è necessario l’intervento dell’utente per aprire l’e-mail o l’allegato o per scaricare il file.
E quel che è peggio è che i worm informatici possono anche trasportare programmi helper per nascondere la loro presenza o eseguire la scansione del sistema alla ricerca di vulnerabilità da sfruttare. Per diffondersi più facilmente, spesso utilizzano anche strumenti per violare sistemi, applicazioni o account protetti da password e aggirare le restrizioni di accesso. Un worm per PC può anche utilizzare framework di exploit per sfruttare le vulnerabilità di sicurezza o utilizzare scanner delle porte per eseguire la scansione di Internet alla ricerca di indirizzi IP vulnerabili per accedere a servizi non protetti attraverso porte aperte.
Per quanto in origine i worm informatici siano stati concepiti solo per diffondersi e, tra le altre cose, individuare falle nella sicurezza dei sistemi operativi, oggi possono essere utilizzati anche come vettori per altri tipi di malware. Tra questi rientrano virus, ransomware, o spyware, in cui il worm trasporta un payload dannoso. I worm possono anche creare una backdoor che altri malware andranno a sfruttare in una fase successiva.
Ma anche senza un payload, un worm informatico può rallentare o addirittura paralizzare completamente un sistema a causa dell’enorme quantità di risorse che consuma.
Gli albori dei worm informatici: Creeper, Reaper e il Morris Worm
Quando i worm informatici hanno fatto la loro comparsa per la prima volta, non erano chiamati worm. Il nome ha preso piede solo anni dopo, trovando una potenziale fonte di ispirazione nel romanzo cyberpunk del 1975 The Shockwave Rider, che descrive un software autoreplicante in grado di diffondersi attraverso le reti, chiamato proprio worm.
Creeper è stato il primo worm informatico conosciuto a diffondersi in modo incontrollato. Nei primi anni Settanta si è fatto strada all’interno del precursore dell’attuale Internet, ARPANET, che altro non era che una rete di computer. Bob Thomas, sviluppatore di ARPANET, ha fatto esperimenti con un programma come test di sicurezza per scoprire se fosse possibile realizzare un programma autoreplicante. Lo ha rilasciato incautamente all’interno della rete aziendale, da dove si è diffuso e alla fine è andato fuori controllo.
Il secondo worm informatico, Reaper, è stato creato qualche mese dopo da Roy Tomlinson, che in seguito ha inventato anche l’e-mail, per rintracciare ed eliminare Creeper. In un arco di tempo molto breve, è stato creato non solo il primo tipo di malware, ma anche il primo programma per combatterlo: il worm utile, o nematode.
Il primo worm informatico a diffondersi all’interno dell’ancora giovane e relativamente piccola Internet è stato il Morris Worm, rilasciato nel 1988 dallo studente Robert T. Morris. In realtà il worm avrebbe dovuto soltanto contare il numero di computer connessi a Internet, ma a causa di un errore di programmazione ha finito per infettare quasi il 10% dei circa 60.000 computer connessi a Internet in quel momento. Il numero era limitato dal momento che il worm era in grado di attaccare solo una determinata variante del sistema operativo che presentava diverse vulnerabilità di sicurezza. Ciò nonostante, ha provocato ingenti danni, congestionando la rete e sovraccaricando molti sistemi, compresi i computer di università e strutture militari.
Tipi di worm informatici e modalità di diffusione
In passato, i worm entravano in un computer tramite floppy disk infetti. Per quanto i dispositivi di archiviazione rimovibili come chiavette USB o dischi rigidi esterni siano oggi ancora in uso, i metodi di infezione e i canali di distribuzione elettronici costituiscono la scelta più probabile. Nella maggior parte dei casi, un worm informatico penetra in un computer ed è in grado di diffondersi per effetto di tecniche di ingegneria sociale come le truffe di phishing o attraverso il malvertising.
Suggerimento: migliora la protezione contro le pagine Web di phishing o il malvertising infetto da worm informatici o altro malware con un’estensione Browser Safety.
Come già accennato, ci sono worm che si attivano automaticamente e altri che devono essere eseguiti manualmente. In quest’ultimo caso, l’utente deve compiere un’azione specifica per attivare il worm, come aprire un file infetto o eseguire un programma infetto. Una volta attivato, il worm inizia a replicarsi e a diffondersi nel computer infetto ed eventualmente anche in altri sistemi in rete.
Tipi di worm informatici in base al vettore di attacco iniziale:
- Worm Internet/di rete: questi worm non interagiscono con gli utenti, ma sfruttano le vulnerabilità dei computer e di altri dispositivi di rete, come router o server, e si diffondono su reti private o pubbliche come Internet.
- Worm e-mail: il worm è nascosto in un link infetto all’interno di un allegato e-mail oppure reindirizza l’utente a una pagina Web infetta. Quando si accede alla pagina, il worm viene scaricato automaticamente attraverso un download drive-by o attivamente dall’utente stesso. Per trarre in inganno la vittima, spesso il worm si maschera da file o da software apparentemente utile.
- Worm di messaggistica istantanea: i link dannosi vengono diffusi tramite messaggi di testo inviati su servizi di messaggistica come WhatsApp e Skype.
- Worm P2P/di condivisione file: i worm informatici possono anche nascondersi in file di comune utilizzo sulle reti P2P o utilizzare i loro protocolli di comunicazione per diffondersi.
Possibili ripercussioni dei worm informatici
Spesso i worm non eseguono azioni dannose sul PC, ma vogliono principalmente diffondersi ulteriormente e consumare “solo” potenza di calcolo e spazio di archiviazione. Ciò significa che è possibile riconoscere i segnali di un’infezione da worm in base al fatto che il PC rallenta, smette di rispondere, si blocca frequentemente o improvvisamente ha poco spazio di archiviazione disponibile.
Detto questo, se un worm informatico contiene un payload, questo può causare danni più gravi, che possono manifestarsi con sintomi diversi a seconda del tipo di malware veicolato.
I worm informatici possono creare scompiglio, con i seguenti effetti:
- Sovraccarico dei sistemi con un consumo di grandi quantità di risorse (Morris Worm)
- Enormi volumi di traffico di rete e ripercussioni sui servizi Internet e sulle connessioni di rete a causa del sovraccarico di larghezza di banda (Morris Worm, worm SLQ Slammer)
- Danneggiamento, sovrascrittura o cancellazione di file o dischi rigidi (worm ILOVEYOU)
- Furto di password e di dati di accesso da account e-mail, social network e altri servizi online (worm ILOVEYOU)
- Generazione automatica di e-mail con allegati o link infetti per inviare copie del worm a tutti i contatti nella rubrica del PC infetto o a indirizzi e-mail predefiniti o generati casualmente (worm ILOVEYOU)
- Aggiunta di computer o dispositivi connessi in rete a una botnet per usarli per attacchi DDoS (worm Mydoom e Code Red) o cryptomining (worm NoaBot) o per l’invio di spam in massa (Storm Worm)
- Installazione di ransomware a scopo di estorsione e crittografia dei file (ransomware WannaCry con funzionalità worm)
- Registrazione e invio delle pressioni dei tasti (worm Regin)
Ormai sono diffusi anche i malware modulari con una componente worm. Tra questi rientrano ad esempio il malware Emotet, incredibilmente pericoloso e distruttivo, che in origine era un trojan bancario e non ha mai smesso di evolversi. Potrebbe intercettare dati bancari online, leggere informazioni di accesso da browser Web, programmi e-mail e altre applicazioni, inviare spam a tutti i contatti di Outlook, sferrare attacchi DDoS e installare una backdoor. Questo ha dato origine sostanzialmente al ceppo di malware altamente modulare Trickbot e alla variante ransomware Ryuk. Ryuk criptava i dati che Trickbot aveva già intercettato e classificato come sensibili o importanti.
Come puoi proteggerti dai worm informatici?
Dal momento che un firewall assicura protezione contro software dannosi trasmessi tramite connessioni di rete, è importante mantenerlo sempre attivo e aggiornato. Oltre alle precauzioni generali, ad esempio per l’apertura degli allegati e-mail e il download di programmi, ti consigliamo anche di ricorrere a una protezione antivirus, che può aiutarti a rilevare, arrestare e, se necessario, rimuovere meglio i worm informatici.
Avira Free Security non solo include una protezione in tempo reale per contribuire a rafforzare le tue difese contro worm informatici, virus informatici e altri tipi di malware, ma anche un’estensione Browser Safety, in grado di bloccare pubblicità e pagine Web infette, come quelle di phishing, prevenendo così un attacco worm.
È anche importante chiudere i punti di ingresso per i worm informatici, come le falle di sicurezza nei software obsoleti, mantenendo aggiornati i programmi e le app. Questi aggiornamenti spesso includono le cosiddette patch della sicurezza per correggere le vulnerabilità note nei programmi. Un programma di aggiornamento software può rivelarsi di grande aiuto in questo caso ed è incluso in Avira Free Security.
Poiché esistono anche worm per dispositivi mobili che prendono di mira gli smartphone e possono diffondersi tramite SMS, MMS, Bluetooth, rete mobile e Wi-Fi, ti consigliamo di proteggere anche i tuoi dispositivi mobili, ad esempio con un’app di protezione antivirus come Avira Antivirus Security per Android.