Worm in informatica: cos'è e come agisce il malware

Tra i vari tipi di malware in circolazione, i worm sono sicuramente i più veloci in cui è possibile imbattersi: la loro pericolosità nasce proprio dall’elevata rapidità di replicazione. È proprio questo aspetto a renderli strumenti ideali per diffondere nuovo malware o per controllare a distanza un elevato numero di dispositivi in pochissimo tempo.

Nei successivi capitoli è possibile scoprire da vicino le caratteristiche dei worm informatici, quali sono stati i worm più pericolosi, come avviene l’infezione sui dispositivi moderni e cosa possiamo fare per proteggerci o per impedire l’infezione di questo particolare tipo di malware.

Cosa sono i worm informatici

I worm sono dei malware con capacità autoreplicanti: i codici dannosi identificati con questo nome possono creare numerose copie di sé stesso ed infettare tutti i dispositivi presenti all’interno di una rete LAN o di una grande rete aziendale, trasportando con sé nuovo codice nocivo (da eseguire solo che l’infezione si è propagata sul maggior numero possibile di dispositivi).

Gli hacker che vogliono creare rapidamente una rete di device infetti di solito utilizzano dei worm modificati per iniettare nuovo codice successivamente, sfruttando anche i bug e le vulnerabilità di sicurezza presenti nei browser e nei sistemi operativi.

Questo rende il malware molto insidioso: può diffondersi e attivarsi senza interazione da parte dell’utente, basta visitare la pagina web sbagliata o aprire un client di posta elettronica contenente un allegato infetto per propagare l’infezione.

I worm più famosi della storia

Il Morris worm è stato il primo malware a diffondersi con le caratteristiche tipiche di cui sopra: correva l’anno 1988 e, ciò che era nato come semplice esperimento, portò quasi tutti i computer dell’epoca ad essere colpiti dall’infezione, con rallentamenti, blocchi di sistema e saturazione delle risorse delle macchine colpite (che di fatto si “riempivano” dello stesso malware fino a saturare tutta la memoria).

Altro malware molto famoso fu ILOVEYOU, che si replicò molto velocemente sui computer dell’epoca grazie ad un’infezione portata avanti tramite allegato di posta elettronica (l’email conteneva soggetto ILOVEYOU, che ha dato poi il nome al malware).

Stuxnet è stato probabilmente il virus worm più complesso mai creato, visto che era composto da ben tre componenti separati (un worm, un rootkit e un collegamento) che lavorarono in sincronia per infettare numerosi computer aziendali, robot industriali e postazioni di lavoro, anche grazie al sistema di diffusione (basato su chiavetta USB e diffusione diretta via LAN e WAN).

Uno dei più recenti e pericolosi worm informatici è WannaCry, un malware in grado di replicarsi ad una velocità incredibile sfruttando le debolezze delle connessioni SMBv1 (condivisione file e cartelle di rete Windows) e le email; questo malware bloccava i sistemi infetti tramite una componente ransomware, che cifrava i file e le cartelle presenti sul dispositivo infetto.

Come avviene l’infezione

Nel corso dei decenni sono stati sfruttati numerosi sistemi per propagare i malware con le caratteristiche tipiche di un worm, ma i più utilizzati ai giorni nostri sono sicuramente:

• email infette: si riceve un’email automatica generata dal worm su un PC di un collega di lavoro, di un parente o di un contatto di posta elettronica. Anche solo ricevendo l’email sul PC si attiva l’allegato infetto, che avvia l’infezione;
• PC infetti in LAN: un computer infettato in LAN infetterà velocemente tutti i PC simili presenti nella stessa rete, causando blocchi della connessione, rallentamento della connessione Internet e problemi vari ai device colpiti;
• codici nascosti nelle pagine web: si aprire un sito web compromesso da un worm e, non appena tutto il contenuto della pagina è caricato, vengono avviati script e codici in grado di bypassare le difese del browser e del sistema operativo, avviando il worm;
• link sui social network o su chat: si riceve un link misterioso via messaggio sui social tramite messaggio chat (WhatsApp) contenente un worm ibrido, in grado di attaccare anche i sistemi operativi mobile (in particolare Android) per diffondersi rapidamente su tutta la rete;
• chiavette USB infette: le pen-drive possono essere utilizzate come metodo di diffusione all’interno di reti LAN chiuse (senza accesso ad Internet), causando danni alla rete aziendale.

Tra tutti i metodi i più diffusi sono sicuramente i link sui social e nella chat, i PC già compromessi che arrivano su una rete LAN o le email infette, anche se non bisogna sottovalutare il pericolo derivato dai codici nascosti nelle pagine web e dalle chiavette USB infette.

Come agisce un worm

Una volta entrato all’interno del dispositivo il worm si annida in profondità nel sistema operativo, per evitare di essere rilevato e potersi replicare indisturbato.

Dopo aver superato le difese del PC inizia la replicazione vera e propria, che porta il malware a creare tante copie di sé stesso nella memoria interna. Il malware, durante il processo di copia, utilizza le vulnerabilità presenti sul device per inviare le repliche su altri computer presenti in rete LAN, oltre ad inviare automaticamente email infette (leggendo la rubrica contatti e usandola per propagare l’infezione) e compromettere qualsiasi dispositivo USB (con spazio d’archiviazione) connesso.

Prima la replicazione andava avanti fino all’esaurimento dello spazio disponibile, caratteristica tipica dei vecchi worm, quasi del tutto scomparsa. Sui worm moderni, dopo un tot di replicazioni (atte a garantire la sopravvivenza dell’infezione su altri device), vengono attivate nuove componenti malware (trojan, spyware o ransomware) che compromettono l’integrità dei dati, la privacy degli utenti e il corretto funzionamento del dispositivo, che risulterà gravemente danneggiato e non utilizzabile.

Le tipologie di worm

In base al tipo di sistema operativo colpito e al mezzo di propagazione troviamo diverse tipologie di worm:

• worm ibrido: è un malware complesso che attiva nuove componenti pericolose durante l’infezione o dopo pochi minuti dall’inizio della replicazione, aumentando il livello di danni causati e il numero di dati personali compromessi;
• worm ransomware: questo malware blocca il PC con una schermata di ricatto e cifra i file e le cartelle personali,
• worm IM: questi malware si propagano attraverso i servizi di messaggistica istantanea come WhatsApp e sfruttano l’accesso agli elenchi di contatti per propagare velocemente l’infezione;
• worm e-mail: sono il mezzo di diffusione preferito da questi malware, visto che permette di nasconere il codice d’esecuzione all’interno di allegati e link infetti;
• worm trojan: sono pensati per aumentare le dimensioni di una rete botnet, sfruttando la componente worm per la propagazione rapida e il trojan per infettare e compromettere il PC (che diventerà uno zombie della rete hacker).

Tutti i tipi di worm sono pericolosi e possono infettare sia i computer Windows sia i dispositivi mobile, in particolare i sistemi che utilizzando Android.

Differenza principali con virus e altri malware

La differenza principale con tutti gli altri malware è nella velocità di propagazione: i virus moderni devono diffondersi il più velocemente possibile e il worm permette di ottenere una rapidità davvero molto elevata, in particolare se viene eseguito su più reti diverse contemporaneamente.

I malware moderni includono quasi sempre una componente worm, in particolare all’inizio dell’infezione: la velocità è tutto per poter sfruttare i bug e gli exploit, senza dimenticare che solo agendo velocemente è possibile cogliere impreparati gli antivirus che non dispongono di un sistema euristico potente.

Come proteggersi dai worm

Tra i migliori antivirus dotati di euristica avanzata troviamo Kaspersky, azienda leader nel settore della sicurezza informatica con decenni d’esperienza alle spalle e milioni di worm bloccati efficacemente.

I moduli di scansione di Kaspersky permettono di intercettare i link, gli allegati email e i dispositivi di rete che iniettano o includono codice worm, bloccando l’infezione prima che possa attivarsi e nascondersi nel sistema, agendo preventivamente sulle principali porte di propagazione di questo malware.

Il motore euristico basato sul cloud offre un livello di protezione impareggiabile anche per i worm di nuova generazione (0-day), ossia i malware non ancora rilevati a livello internazionale e in grado di sfruttare le nuove vulnerabilità del sistema operativo o del browser: con qualsiasi delle soluzioni Kaspersky è possibile dormire sonni tranquilli mentre navighiamo sul web, leggiamo la posta elettronica o riceviamo nuovi messaggi tramite chat o social network.

Completano il pacchetto di protezione anche un sistema di protezione dei pagamenti online, un modulo per l’ ottimizzazione delle prestazioni, una VPN illimitata e superveloce, un sistema per la protezione dell’identità e assistenza IT remota e il parental control di ultima generazione (Kasperksy Safe Kids).

Il piano standard è disponibile a 19,99€ all’anno e permette di proteggere un dispositivo a scelta tra Windows, Mac, Android e iOS. È possibile anche beneficiare di pacchetti fino a 5 dispositivi.

Cosa fare in caso di infezione

In caso di infezione da worm al computer è possibile rimuoverla utilizzando un tool gratuito come Kaspersky Virus Removal Tool, in grado di eseguire la scansione di ogni area del sistema operativo alla ricerca di worm nascosti e di codice malevolo in esecuzione.

Per aumentare le probabilità di successo vi consigliamo di eseguire questo tool da modalità provvisoria, così da impedire ai malware di bloccare il download. Dopo l’esecuzione di questo tool basterà riavviare e verificare che il sistema sia tornato perfettamente funzionante.

Dopo la pulizia dal malware bisogna sostituire l’antivirus utilizzato fino a quel momento con una delle soluzioni Kaspersky viste nel capitolo precedente.

Se il PC è bloccato e non risponde più ai comandi è possibile “liberarlo” dai malware utilizzando Kaspersky Rescue Disk, il miglior strumento per avviare il ripristino del PC e pulire ogni residuo di malware, utilizzando per lo scopo un CD o una chiavetta USB di ripristino (da creare su un altro PC funzionante).

Conclusioni

I worm sono ancora oggi una minaccia per i computer e per i dispositivi mobili: la loro velocità di propagazione rende quasi inutili gli antivirus gratuiti, visto che solo un sistema di sicurezza basato sul cloud computing e sull’euristica avanzata possono bloccare i nuovi worm ibridi o i worm ransomware (i più pericolosi).

Le soluzioni Kaspersky sono tra le migliori per proteggere i dispositivi e le reti aziendali, ma anche per offrire la giusta protezione in ambito domestico: basterà scegliere la soluzione giusta e installarla, così da dimenticarsi per sempre dei pericoli derivati dai link, dalle email e dalle chiavette USB con worm ben nascosti.

Domande frequenti sui worm informatici

A cosa servono i worm?

I worm sono dei malware pensati per propagare velocemente qualsiasi infezione, diffondere nuovi codici malevoli e per “spingere” i trojan e i ransomware sul maggior numero possibile di dispositivi. Sanno essere subdoli ed invisibili, quindi meglio bloccarli prima che possano attivarsi.

Come funziona il virus worm?

Il virus worm si replica all’interno dei computer infetti ed utilizza la rete LAN, gli indirizzi di posta elettronica e le chiavette USB per propagare l’infezione. Oltre a replicarsi può avviare anche altro codice malevolo, aumentando i danni provocati.

Come eliminare il virus worm?

I virus worm possono essere difficili da bloccare: la prevenzione è la miglior cura. Le soluzioni Kaspersky sono famose per riuscire a bloccare l’infezione da worm prima che possa avviare la replicazione, bloccando anche qualsiasi codice malevolo aggiuntivo.

Qual è la differenza tra worm e trojan?

Il worm è studiato per auto-replicarsi e per infettare il maggior numero possibile di dispositivi nel minor tempo possibile, mentre il trojan si nasconde all’interno di altri programmi per poter compromettere il sistema.

Spesso la differenza è talmente minima da sparire: esistono, infatti, worm con tipici comportamenti da trojan e trojan che, all’inizio dell’infezione, si comportano come worm per nascondersi su un elevato numero di PC.