Worm virus, tutto quello che meriti di sapere sui malware più diffusi degli ultimi mesi
In questo articolo parleremo di una tipologia di malware molto diffusa: i Worm malware.
Il termine worm deriva dalla parola inglese verme.
In informatica, il worm virus è un software generato da hacker che possiede la capacità di bucare una macchina e diffondersi letteralmente in rete sfruttando le vulnerabilità dei nostri sistemi informatici. La vera pericolosità dei worm (che è anche la caratteristica che li differenzia da molti altri malware) è che una volta penetrati all’interno di un network sono perfettamente in grado di spostarsi da un dispositivo all’altro, moltiplicandosi all’infinito. Accorgersi della loro presenza è complicato ma non impossibile, ecco perché oggi abbiamo deciso di approfondire questo argomento.
Tenetevi pronti: ecco tutto quello che avete sempre desiderato sapere sui worm malware.
Eccoci qui.
Il worm è un software malevolo la cui peculiarità è quella di replicarsi continuamente all’interno di una rete per incrementare gli effetti del suo lavoro ed arrivare in qualsiasi punto possibile del network. Diversamente da altri tipi di malware, i worm generalmente non necessitano di interventi dall’esterno per potersi replicare, sono stati programmati per questo. Una volta che il worm è in esecuzione su un dispositivo, creerà copie di sé stesso, dei processi necessari alla sua esecuzione e diffusione. Addirittura i worm malware simulano file e processi di sistema per ridurre la visibilità del suo operato.
Moltiplicando sé stesso, la sua pericolosità aumenta e cresce anche la sua capacità i adattarsi al sistema, anche dopo un intervento di rimozione dell’infezione worm. Insomma, si tratta di una vera e propria piaga.
Ad ogni riavvio del pc colpito dal virus worm, infatti, i processi creati dal malware potrebbero far ripartire l’attacco come se niente fosse accaduto. Così facendo, al software malevolo è consentito continuare a moltiplicarsi e diffondersi, sfruttando i mezzi di comunicazione del dispositivo per infettarne altri.
Generalmente, il worm malware si intrufola nei computer tramite un allegato infetto o via script eseguibile: insomma, tramite contenuti allegati in un messaggio di posta elettronica.
Spesso e volentieri, i worm non solo entrano in maniera silente sul pc della vittima ma difficilmente vengono identificati dai software antivirus.
Come per la maggior parte dei malware, i metodi di diffusione dei worm sono molteplici.
In primis, i worm s’installano a bordo pc tramite:
- download di software o file multimediali da fonti poco attendibili;
- reti di file sharing;
- l’utilizzo di programmi per l’elusione del licensing di software a pagamento.
Mentre, per quanto riguarda i protocolli di comunicazione di rete, questi ultimi elementi sono uno dei metodi usati dai worm per diffondersi da un dispositivo all’altro attraverso le reti locali.
Un dei worm virus che qualche anno fa fece un gran scalpore fu Blaster.
Blaster worm sfruttava una vulnerabilità del protocollo SMBv1 (oggi considerato obsoleto, proprio per motivi di sicurezza), per installarsi su tutti i computer che lo avevano abilitato all’interno della LAN.
Il metodo forse più comune di diffusione del virus è tramite allegati ingannevoli o script annidati. Una volta che il virus si attiva nel computer, ha la capacità di sfruttare le vulnerabilità dei client di posta o dei browser per accedere alla rubrica dei contatti e inviare infinite (fino alla bonifica del dispositivo infetto) copie di sé.
Come nel caso del Phishing, le email inviate dal worm utilizzano tecniche di social engineering per rendere l’email o l’allegato appetibile.
Per un hacker che ricorre all’infezione worm è possibile persino mascherare il reale indirizzo mittente, così facendo viene reso più difficile individuare l’origine degli attacchi.
Un altro metodo utilizzato per diffondere l’infezione di worm malware sono i supporti di memoria rimovibili.
I primi worm della storia si diffondevano tramite Floppy Disk, oggi parliamo più facilmente di:
- Pendrive,
- HDD
- SSD USB
- memorie di massa di dispositivi come smartphone, macchine fotografiche o lettori mp3.
Il worm annidato entra in funzione non appena il supporto rimovibile viene collegato ad un computer, sfruttando il nome o il funzionamento di file che normalmente i Sistemi Operativi vanno a interrogare per capire che tipo di dispositivo sia stato collegato al computer.
Una volta entrato nel computer, il worm si diffonderà su qualsiasi nuovo supporto collegato ad esso.
Come ogni tipo di malware, i danni che i worm possono potenzialmente arrecare ai nostri sistemi informatici sono relativi allo scopo per cui sono stati creati.
La maggior parte dei worm creano danni lievi in termini di occupazione di risorse: sia come capacità computazionali sia come banda occupata, proprio in virtù della semplice attività di moltiplicazione e diffusione.
I worm malware più sofisticati interferiscono col normale funzionamento di applicazioni o sistemi operativi, rendendo obbligatorio un intervento di bonifica, che in alcuni casi potrebbe significare una reinstallazione dei sistemi, quindi fermi macchina che si ripercuotono sulla produttività legata a quei sistemi.
Ma le peculiarità di auto propagazione dei worm li rendono anche un ottimo vettore per attacchi informatici di altro genere.
Molti worm infatti contengono un payload, ovvero codice che esegue operazioni indipendenti e che permette di installare malware come:
- backdoor,
- trojan,
- keylogger
- fino addirittura a ransomware.
Una buona pratica che raccomandiamo sempre ai nostri clienti è avere consapevolezza nell’uso degli strumenti informatici.
Prudenza nel nell’apertura di e-mail e file allegati, nell’uso di dispositivi di memoria rimovibili, nella navigazione e nel download da internet ma anche attenzione alle dotazioni informatiche.
L’utilizzo di antivirus validi, firewall e sistemi di backup correttamente configurati è quindi il primo passo.
La minaccia dei worm è sempre in agguato.
I criminali informatici che programmano questi malware sono sempre alla ricerca di metodi più efficaci e falle di sicurezza da poter essere sfruttare, e i produttori di software e di hardware implementano sempre nuove soluzioni per aumentare la sicurezza dei nostri dispositivi.
Quindi nella prevenzione contro i worm, come per gli altri malware, è fondamentale tenere aggiornati tutti i sistemi operativi, i software e i firmware degli apparati di rete, le definizioni antivirus e monitorare costantemente le attività che si svolgono all’interno della propria rete.
Articolo di:
Consulente Cyber Security per Cyberment
- Responsabile Settore Tecnico IT
Visita il profilo Linkedin
Articolo di:
Consulente Cyber Security per Cyberment
- Responsabile Settore Tecnico IT
Visita il profilo Linkedin
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.