Virus Worm


Il concetto di worm è molto simile a quello di virus con la sola differenza che un worm non si riproduce localmente ma semplicemente si propaga attraverso sistemi differenti.

La stessa RFC 1135 fornisce una chiave interpretativa definendo i worm come frammenti di codice autonomi ed indipendenti che esistono solo in memoria consumando le risorse del sistema ed auto-propagandosi.

Questa importante precisazione è stata introdotta in onore del primo worm della storia informatica denominato "Morris Worm", dal nome del suo autore, che il giorno 2 Novembre 1988 colpì svariati sistemi UNIX.

Il codice era concepito in modo tale da sfruttare un buffer overflow presente nei demoni fingerd e sendmail per irrompere all'interno dei sistemi che adottavano il sistema operativo Berkeley UNIX. Tuttavia era il payload del codice quello che senza dubbio maggiormente destò la maggior attenzione al punto da giustificare l'interessamento addirittura di una RFC. Infatti, dopo aver eseguito il crack degli hash delle password di autenticazione sfruttando un motore di decifratura molto veloce ed un dizionario dati presenti al suo interno, il worm eseguiva una scansione dell'intero sistema alla ricerca di informazioni relative ad altri host (file .rhost, indirizzi dei gateways ricavati dalle tabelle di instradamento, ecc...) che successivamente tentava di compromettere.