Cos’è e come agisce un worm informatico

In una rete locale, per espandersi più rapidamente, un worm si basa sulle falle nella sicurezza del primo computer di destinazione. Una volta entrato in questo primo computer, che diventa l’host, inizia a scansionare e infettare altre macchine nella LAN. Quando il worm ha acquisito il controllo di questi nuovi computer, continua a eseguire la scansione delle reti collegate per cercare di infettare altri computer e usarli di nuovo come host. Questo comportamento continua in maniera automatica, diffondendo la minaccia in modo esponenziale. In realtà, i worm informatici usano metodi ricorsivi per copiare se stessi anche senza host: in questo modo riescono a distribuirsi in base alla legge matematica della crescita esponenziale, controllando e infettando sempre più computer in breve tempo.
Per chi si occupa di computer forensic, un worm per essere definito tale deve avere quattro caratteristiche: essere un software autonomo e indipendente; deve essere tecnicamente complesso (non bastano poche righe di codice che copiano dei bit su alcuni settori del disco); deve contenere anche un exploit per un attacco (è il payload); infine deve essere altamente contagioso, cioè diffondersi velocemente tramite canali diversi: email, cartelle condivise, pagine Web infettate.

*illustrazione articolo progettata da  rawpixel / Freepik