Un worm è un programma autoreplicante. Usa una rete per inviare copie di se stesso ad altri sistemi e può farlo anche senza alcun intervento da parte dell’utente. Diversamente dal virus, non ha bisogno di collegarsi a un programma esistente. I worm danneggiano sempre la rete (se non altro, consumano banda) e la usano come sistema di spostamento, mentre i virus infettano o danneggiano i file presenti sul sistema colpito. Possono colpire anche la rete locale ma la presenza della rete non è essenziale per il loro funzionamento. Il primo virus Worm fu creato da due ricercatori di Xerox PARC nel 1978. In origine, i ricercatori Soch e Hupp crearono un worm in grado di individuare i processori inattivi sulla rete e di assegnare loro dei compiti, condividendo il carico di elaborazione e migliorando così l’efficienza dei processori di tutti i computer di una rete. Questi worm contenevano però delle limitazioni che impedivano loro di diffondersi più del dovuto. Da quel momento ne è passata di acqua sotto i ponti: oggi i worm sono fatti per diffondersi nel modo più ampio possibile e invece di aiutare i sistemi, cercano di bloccarli.
Tipi di worm
I worm più famosi sono quelli che si diffondono tramite messaggi di posta elettronica. Tipicamente, il worm arriva con un messaggio di posta elettronica che nasconde il codice maligno nel corpo del messaggio o nell’allegato. In realtà, il codice può anche essere legato ad un collegamento ad un sito web esterno. Nella maggior parte dei programmi di posta elettronica per attivare un worm bisogna aprire un allegato, facendo un bel doppio clic sulla sua icona o usando una sua opzione inclusa nel programma. D’altro canto, alcune versioni di altri programmi permettono al worm di attivarsi anche solo mostrando l’anteprima automatica del messaggio…. spesso un po’ di furbizia (come per esempio l’oggetto del messaggio che contiene informazioni allettanti) è inoltre sufficiente a indurre l’utente a farlo, come dimostrano gli autori dei worm che sfruttano allegati con nomi “esotici” come “tanto tette fetish hardcore porn milf fuck gratis” o altrettanto allettanti come “simposio di filologia moderna applicata”. Ok, forse no, comunque… una volta attivato, il worm si diffonde usando sistemi di posta elettronica locali (come i servizi MS Outlook, la funziona MAPI di Windows) o direttamente tramite protocollo SMTP, usando cioè un sistema interno al worm per spedire i messaggi. Gli indirizzi che invia vengono spesso prelevati dal programma di posta elettronica o dal file dei computer infettati. A partire da Klez.E del 2002, i worm che usano l’SMTP camuffano l’indirizzo del mittente, in modo che i destinatari non capiscano che i messaggi provengo dall’indirizzo riportato nel campo “DA” del messaggio stesso (indirizzo del mittente). I worm delle messaggistica si propagano inceve tramite applicazioni di messaggistica istantanea, attraverso l’invio di collegamenti a siti infetti, a tutti i contatti presenti nella rubrica del proprio account. L’unica differenza fra questi worm e quelli di posta è il metodo usato per inviare i collegamenti. L’ormai defunto MSN, ICQ e programmi simili, sono tutti potenziali veicoli di diffusione. Il bersaglio principale invece dei worm IRC sono i canali di chat. Viene usato lo stesso metodo di infezione e di diffusione dei due worm precedenti., ossia l’invio di file infetti o collegamenti a siti infetti. L’invio di file infetti è meno efficace, in quanto il destinatario deve confermare la ricezione, salvare il file e aprirlo perché l’infezione abbia luogo. Neanche i programmi di condivisione file sono immuni dai worm. Il codice maligno in quesitone crea una copia di se stesso in una cartella condivisa, per lo più situata sul sistema locale, e si da un nome interessante (tette grosse.exe ha ancora il suo fascino). A quel punto è pronto per essere scaricato tramire rete P2P e propagare cosi la diffusione del file infetto. I worm possono scegliere di usare un nome semplicemente curioso oppure un nome di un altro file molto diffuso, come un film o una canzone. I worm del web invece sono quelli che prendono di mira direttamente le porte TCP/IP meno trafficate, invece di usare i protocolli stantard come posta o IRC. Un esempio classico è il famosissimo Blaster, che sfruttava un punto debole di Windows. Il sistema infetto esamina computer scelti a caso sia sulla rete locale sia su Internet, cercando di attaccare la porta 135. Se ci riesce, il worm viene inoculato nel computer di nascosto. Ai tempi si era ancora con Windows XP Sp1, e bastava collegare il pc ad internet senza un router o un firewall software per beccarsi Blaster.
Cos’è un payload?
Un “payload” è letteralmente il carico che viene consegnato. Tecnicamente è quello che i worm depositano sul computer. Più praticamente è un programma che non si limita a diffondere il worm: può eliminare file sul sistema ospite, criptare documenti per poi permettere ai pirati di chiederci un riscatto per poi ottenerne nuovamente il controllo, o inviare documenti via posta elettronica. Un classico payload per i worm consiste nell’installazione di una backdoor (un accesso nascosto) sul computer infetto, che mette il nostro PC sotto il controllo del creatore del worm. Sobig e MyDoom sono esempi di worm creatori di backdoor. Le reti di computer di questo tipo sono spesso definite “botnet” e sono molto usate dai propagatori di spam per l’invio di messaggi indesiderati o per camuffare l’indirizzo del loro sito. Alla fine quindi spesso sono gli autori di messaggi spam a finanziare la creazione di questi worm e alcuni creatori sono stati colti nell’atto di vendere elenchi di indirizzi di computer infetti.
Il primo virus worm dell’era moderna
Il worm Melissa, noto anche come “Mailissa”, “Simpson” e “Kwejeebo”, è un virus macro che arriva per posta elettronica, il che ha indotto alcuni a classificarlo come worm. Individuato per la prima volta il 26 marzo 1999, Melissa bloccava i sistemi di posta elettronica, intasandoli di email infette propagate dal worm. Melissa è stato diffuso per la prima volta nel gruppo di discussione Usenet alt.sex. Il virus era nascosto in un file denominato “List.DOC” che conteneva password per l’accesso a 80 siti porno.
La versione originale del worm è stata inviata via email a tantissime persone. Melissa era opera dell’americano David L. Smith e prendeva il nome da una ballerina di lap dance da lui conosciuta in florida. Il creatore del virus si faceva chiamare Kwyjibo ma fu identificato come l’autore del virus macro che si nascondeva dietro agli pseudonimi VicodinES e Alt-F11.
L’autore è stato identificato semplicemente perchè usava numerosi file di Microsoft Word che presentavano lo stesso Globally Unique Identifier (GUID), un numero di serie generato precedentemente sulla base dell’indirizzo della scheda di rete presente in ogni computer. Smith fu condannato a 10 anni ma scontò in definitiva solo 20 mesi in un carcere federale americano e dovette pagare una multa di 5000 dollari.
Melissa può diffondersi tramite i programmi di elaborazione di testi Microsoft Word 97 e 2000. Può propagarsi in massa via posta elettronica usando i programmi per email Microsoft Outlook 97 e 98.
Il worm non funziona su altre versioni di Word come ad esempio il 95 e non può propagarsi via posta elettronica usando programmi come Outlook Express. Se un documento di Word che contiene il virus viene scaricato e aperto, la macro contenuta nel documento entra in funzione e cerca di propagare il worm via posta elettronica.
Quando la macro inizia l’invio massivo, rileva i primi 50 contatti della rubrica dell’utente e invia messaggi ai corrispondenti indirizzi con allegato il file LIST.DOC e il seguente corpo del messaggio: “Here is the document you asked for… don’t show anyone else ;)” (Traduzione: “ecco il documento che avevi chiesto: non mostrarlo a nessuno ;)”).
Se il worm è già stato inviato o non può diffondersi con questo sistema per assenza di una connessione a Internet o di Outlook, contagia altri documenti di Word presenti sul computer. Anche se gli altri documenti infetti non possono essere spediti subito via email possono ovviamente passare di mano in mano, o di cdrom in cdrom, e diffondendo l’infezione. Tra l’altro, se il documento contiene dati riservati, il destinatario del messaggio che contiene il documento può visualizzarli. Si tratta quindi di un sistema di infezione praticamente a prova di bomba e dalle potenzialità potenzialmente devastanti.
Curiosità: La routine di attivazione del worm inserisce citazioni tratte dai “Simpsons” in altri documenti quando la cifra dei minuti dell’ora indicata dall’orologio interno del pc corrisponde a quella del mese (per esempio alle 7:09 del giorno 9). Un esempio di citazione è “Twenty-two points, plus triple-word score, plus fifty points for using all my letters. Game over. I’m outta here” (Trad: “Ventidue punti, più triplo punteggio parola, più cinquanta punti per aver usato tutte le lettere. Fine del gioco. Me ne vado”, un riferimento al gioco dello scarabeo).