I worm sono malware che s’insinuano a bordo di un dispositivo e tendono a diffondersi su tutti i device presenti all’interno di una rete.
I worm non sono distruttivi come i virus informatici, ma possono essere altrettanto pericolosi in quanto tendono a saturare le risorse di un computer e le reti, impedendo che vengano utilizzati.

Cosa distingue il worm dai virus informatici o da altri malware?

I worm sono malware autonomi, che non richiedono file host eprendono il controllo di intere reti nel tentativo di creare botnet di grandi dimensioni. Quasi tutti i worm sono progettati per infiltrarsi nei sistemi, sfruttandone le falle di sicurezza.

5 worm più pericolosi
  1. Cosa distingue il worm dai virus informatici o da altri malware?
  2. Morris Worm
  3. ILOVEYOU worm
  4. Nimda worm
  5. Code Red worm
  6. SQL Slammer worm

Prima della diffusione su larga scala di Internet e delle reti, iworm venivano diffusi esclusivamente mediante supporti di archiviazione esterna come i floppy disk che, se inseriti in un sistema, infettavano altri dispositivi di archiviazione collegati al sistema “di partenza”.

In questo articolo, parleremo delle cinque tipologie di worm più note, aventi la fama di aver arrecato danni costosi nella storia informatica.

Morris worm

Questo worm è uno dei primi worm appartenenti a questa categoria ad essere stato diffuso via Web nel 1988.
Ha preso il nome dal suo omonimo creatore, lo studente americano ventenne Robert Morris, uno studente della Cornell University nonché figlio del direttore di un’agenzia di sicurezza americana. Il ricercatore ha una brillante idea, voler calcolare la grandezza di Internet.

Per fare ciò, Morris lanciò diverse dozzine di righe di codice infetto, prendendo sottogamba le possibili conseguenze che un solo codice avrebbe causato agli host attaccati. Il risultato fu catastrofico, Morris perse ben presto il controllo del suo worm.
Le conseguenze furono disastrose: il worm infettò quasi il 10% dei computer collegati alla rete in quel preciso istante. Un computer su dieci era stato colpito, precisamente 6.000 sui 60.000 presenti in quel momento su ARPANET.
Migliaia di computer UNIX erano sovraccarichi, causando danni economici che vanno da 10 milioni a 100 milioni di dollari.
Come agiva il worm Morris?

  • Venivano sfruttati alcuni bug presenti sui computer come programmi di messaggistica, configurazione Unix e imposizione della password dell’utente.
  • Si replicava solo una volta su sette computer infetti.
  • Lo stesso computer fu infettato più volte, comportando memoria satura e depotenziando l’elaborazione.

In un solo giorno Morris gettò l’intero mondo del web in ginocchio. Il worm Morris assorbiva la potenza di calcolo dei sistemi colpiti, causando un vero e proprio Denial of Service.

Morris venne scoperto nel 1991, prendendo la nomea del primo individuo condannato ai sensi del Computer Fraud and Abuse Act, una legge approvata negli Stati Uniti in conseguenza dal danno generato dal worm.

ILOVEYOU worm

Questo worm, dal nome romantico, lo abbiamo già citato nel nostro articolo “Classifica dei peggiori virus informatici
10 milioni di computer furono infettati da un worm inviato come allegato di un messaggio di posta elettronica che in oggetto riportava la frase “Iloveyou”.

Tutto cominciò il 5 maggio 2000, quando il worm arrivò nelle caselle di posta elettronica, nascosto nell’allegato love-letter-for-you.txt.vbs.
ILoveYou sfruttò un algoritmo difettoso di Microsoft, riuscendo a nascondere l’estensione .vbs e mostrandosi dunque come semplice file di testo.
Si inoltrava automaticamente a tutti i contatti della rubrica di posta elettronica: la rapidissima diffusione e, di conseguenza, l’enorme numero di email inviate contemporaneamente in tutto il mondo causò un blocco causando la paralisi dei sistemi POP,  senza menzionare il fatto che il worm sovrascrisse milioni di file su stazioni di lavoro e server accessibili.

ILOVEYOU agiva seguendo semplici passi:

  • Il worm inviava una copia di sé stesso affidandosi all’ingegneria sociale e sfruttando le mailing list come fonte per selezionare i destinatari.
  • Si basava sul fatto che il motore di scripting fosse abilitato.
  • Sfruttava le debolezze di progettazione del sistema email.
  • I messaggi che contenevano il worm, spesso, apparivano come provenienti da conoscenti e venivano pertanto considerati messaggi sicuri.

ILOVEYOU fu uno dei primi attacchi informatici diffusi a livello globale.

Successe anche un fatto divertente: il worm era talmente una novità nel panorama mondiale che il suo autore, di origine filippina, fece solo pochi giorni di carcere. Negli anni duemila, la cyber criminalità non era ancora un reato punibile nelle Filippine.

Ispirandosi a ILOVEYOU, i malware mascherati da allegati nelle email continuano a essere anche oggi un’arma dei cybercriminali per colpire gli utenti.

ILOVEYOU worm malware

Nimda worm

Nel 2001 comparve Nimda, un worm per Windows che mise in allarme non soltanto gli esperti di sicurezza ma persino l’FBI, la quale istituì in tutta fretta una task force per studiare il malware.

Il nome Nimda nasce dalla parola Admin letta al contrario, chiamato così perché mirava non tanto ad danneggiare direttamente gli utenti, quanto gli amministratori dei server.
Per diffondersi, Nimda worm utilizzava tre differenti canali:

  • La posta elettronica, in cui si presenta come allegato con il nome di “readme.exe”.
  • Sfruttando una falla nei server Internet Information Service, modificarne i parametri.
  • Agisce sfruttando diverse vulnerabilità, come le condivisioni di rete all’interno di LAN con client Windows.

Nimda recupera la lista degli indirizzi presente nelle rubriche, nonché gli indirizzi mail contenuti nei file HTML presenti sul disco del terminale infetto. Successivamente, invia a tutti i destinatari un messaggio vuoto, il cui oggetto è casuale, lungo con allegato un documento nominato Readme.exe o Readme.eml.
I virus informatici che usano un’estensione di tipo .eml sfruttano una falla di Microsoft Internet Explorer 5.
La sua diffusione nelle cartelle, condivise delle reti di Microsoft Windows, comportò l’infezione dei file eseguibili presenti.
La consultazione di pagine Web su server infetti da Nimda può causare un’infezione dell’utente a sa volta, specialmente quando un utente consulta queste pagine con uno strumento di navigazione vulnerabile.

nimda worm readme.exe

Code Red worm

Il 15 luglio 2001 fa la sua comparsa Code Red.
Il malware attacca computer in esecuzione Server Web IIS di Microsoft. Dopo pochi giorni dal suo rilascio il worm infetta oltre 359000 server

Si trattò del primo attacco a minaccia informatica mista. Ovvero, il worm utilizzava diverse tattiche per infiltrarsi nell’ambiente di un device. Nel complesso, worm si è diffuso utilizzando un tipo comune di vulnerabilità noto come buffer overflow.

Anche se il suo autore del worm rimane anonimo, il nome Code Red ha portato molti a sospettare l’origine cinese dell’infezione, a causa che questo worm aveva come effetto il defacing del sito web infettato.
In effetti, in seguito all’infezione worm la homepage del sito web vittima veniva sostituita con la scritta:

“HELLO! Welcome to http://www.worm.com! Hacked By Chinese!”

L’impatto complessivo fu così forte che questo worm ha guadagnato un posto nella storia del lato oscuro dell’informatica, ricordato come une delle peggiori epidemie worm che abbiano mai infettano i sistemi Windows tra la fine del 1990 e i primi anni del 2000.

Code Red esegue questa procedura:

  • Attacca il computer per 1-9 giorni, con l’obiettivo di ottenerne il controllo del device.
  • Per propagarsi utilizza un tipo comune di vulnerabilità noto come buffer overflow.
  • La stringa N sovraccarica il buffer, consentendo al worm di eseguire codice arbitrario.

Il 4 agosto 2001, apparve Code Red 2, il quale usava lo stesso vettore di iniezione.
Furono scelte come target le stesse o diverse sotto reti delle macchine infette.

SQL Slammer worm

Il 25 gennaio 2003 è il turno di SQL Slammer, il quale entrò nella scena informatica internazionale a gamba tesa. Questo worm è stato da molti considerato tra i peggiori di sempre, dopo i worm Code Red e Nimda. Al contrario dei vecchi worm, SQL Slammer non danneggiava file e programmi ma rendeva di fatto inutilizzabile la rete.

Infatti, semplicemente autoreplicandosi il worm rallentava enormemente la rete e metteva fuori gioco tutti i device connessi.
SQL Slammer viene impiegato spesso nei cyber-attacchi tradizionali perché di fatto impedisce l’accesso e il funzionamento dei servizi di rete.

Il Paese più colpito dall’attacco di SQL Slammer fu la Corea del Sud, dove sono stati rallentati gli scambi azionari con relativo crollo della borsa, segnando il peggior risultato degli ultimi 13 mesi. In Europa i danni sono stati decisamente più contenuti.

La metodologia di propagazione del worm non è cambiata:

  1. Specifiche chiamate sono effettuate alla ricerca di una nota vulnerabilità di SQL Server 2000.
  2. Con la chiamata al server positiva, il codice del worm si insedia nella memoria ram della nuova macchina infettata e si mette alla ricerca di altri server “non patchati”.
  3. Se un indirizzo selezionato appartiene a un host che esegue una copia senza patch di Microsoft SQL Server Resolution Service in ascolto sulla porta UDP 1434, l’host viene immediatamente infettato e inizia a diffondere su Internet altre copie del worm.

Attualmente, gli autori di SQL Slammer rimangono anonimi: non conosciamo il motivo per il quale sia stato ideato il worm, sappiamo solo che era un codice estremamente versatile e leggero, quindi un’ottima arma per un cyberattacco.