Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.

Il termine deriva da un romanzo di fantascienza degli anni 1970 di John Brunner: i ricercatori che stavano scrivendo uno dei primi studi sul calcolo distribuito notarono le somiglianze tra il proprio programma e quello descritto nel libro e ne adottarono il nome. Uno dei primi worm diffusi sulla rete fu Internet Worm, creato dal figlio di un alto dirigente della NSA il 2 novembre 1988, quando internet era ancora agli albori. Tale virus riuscì a colpire oltre un terzo dei computer collegati a quel tempo in rete.

Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.

Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere. I messaggi contenenti il worm utilizzano spesso tecniche di social engineering per indurre il destinatario ad aprire l'allegato, che spesso ha un nome che permette al worm di camuffarsi come file non eseguibile. Alcuni worm sfruttano dei bug di client di posta molto diffusi, come Microsoft Outlook Express, per eseguirsi automaticamente al momento della visualizzazione del messaggio e-mail. Tutti i worm più recenti effettuano la falsificazione dell'indirizzo mittente, creando un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente, ma dato che questo è falso tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.

Questi eseguibili maligni possono anche sfruttare i circuiti del file sharing per diffondersi. In questo caso si copiano tra i file condivisi dall'utente vittima, spacciandosi per programmi ambiti o per crack di programmi molto costosi o ricercati, in modo da indurre altri utenti a scaricarlo ed eseguirlo.

La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.

Possiamo grossolanamente dividere gli effetti nocivi cagionati da un worm in due tipologie: danni diretti, causati dall'esecuzione del worm sulla macchina vittima, e danni indiretti, derivanti dalle tecniche utilizzate per la diffusione.

Un worm semplice, composto solamente dalle istruzioni per replicarsi, di per sé non crea gravi danni diretti al di là dello spreco di risorse computazionali. Spesso però questi programmi per nascondersi interferiscono con il funzionamento di software volti a scovarli e a contrastarne la diffusione, come antivirus e firewall, impedendo così il funzionamento normale del computer ospite. La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare dei danni al sistema infettato. Molto di frequente un worm funge da veicolo per l'installazione automatica sul maggior numero di macchine di altri malware, come per esempio backdoor o keylogger, che potranno poi essere sfruttati da un malintenzionato cracker o addirittura da un altro worm.

I danni indiretti sono gli effetti collaterali dell'infezione da parte di un worm di un elevato numero di computer connessi in rete sul corretto funzionamento e sull'efficacia delle comunicazioni che avvengono tramite infrastrutture informatiche. I messaggi di posta elettronica inviati dai worm per replicarsi vanno infatti ad ingrossare la mole di posta indesiderata che arriva nelle caselle e-mail, sprecando risorse preziose in termini di banda e di attenzione. Come già accennato infatti la diffusione di un worm genera un'enorme volume di e-mail inutili e dannose. I worm che sfruttano vulnerabilità note di alcuni software causano invece malfunzionamenti di tali programmi, con conseguenze quali l'instabilità del sistema operativo e a volte spegnimenti e riavvii forzati, come nel caso del recente worm Blaster (noto anche come Lovsan o Msblast.

Questo articolo è rilasciato sotto i termini della GNU Free Documentation License (http://www.gnu.org/copyleft/fdl.html). Esso utilizza materiale tratto dalla voce di Wikipedia: (http://it.wikipedia.org/wiki/italia).