31/12/2008 di Redazione

I virus più devastanti della storia

I computer sono esposti alla minaccia dei virus da almeno vent'anni, e da almeno dieci il problema è diventato di portata planetaria. Ci sono stati alcuni virus più pericolosi di altri, che sono rimasti nella storia dell'informatica. Ecco i nomi e la stor

Introduzione

Tutti noi sappiamo che cos'è un virus informatico. In effetti, uno dei primi problemi da risolvere, con un PC, è come difenderlo dalle continue minacce che arrivano dalla rete, e non solo. Nomi come Blaster, Sasser, Netsky, MyDoom o Chernobyl possono suonare familiari a molti utenti, anche perché alcuni hanno avuto la sfortuna di averci a che fare in prima persona.

Passeremo in rassegna i principali virus che hanno minacciato i nostri computer negli ultimi 20 anni, analizzando i danni che hanno causato ed il modo in cui si sono diffusi, capendo lo scopo per cui erano stati messi in rete e scoprendone i creatori.

Le varie forme di virus


Il virus di San Valentino

Il termine "virus" al giorno d'oggi è abusato, e sarebbe più corretto parlare di "malware", un'espressione che deriva dalla contrazione dei termini inglesi "malicious" e "software" (letteralmente programma maligno, malvagio). L'espressione "malware" è meno conosciuta alla grande massa di utenti che usano il PC, ma è anche molto più appropriata per definire l'ampio ventaglio di minacce che infestano la rete. In effetti, esistono diversi tipi di "virus", ognuno con caratteristiche diverse:

virus: ha dato il nome ad un'intera generazione di malware. Nel senso più ampio del termine, la parola "virus" identifica un programma creato per danneggiare il PC. Più in particolare, per "virus" si intende un programma creato per essere ospitato da un PC host. Una volta che il virus ha infettato il PC, è sufficiente che l'utente mandi in esecuzione il file infetto, per far sì che il virus si metta all'opera. Lo scopo primario del virus non è sempre la distruzione del sistema, quanto quello di lanciare automaticamente un comando, che può andare da un banale messaggio di allerta che avvisa l'utente della presenza di un virus sul suo PC, fino alla cancellazione o al danneggiamento dei file.

worm (verme): è una variante del virus, capace di propagarsi automaticamente, senza interventi da parte dell'utente. Il primo worm in assoluto (frutto di buone intenzioni e un errore di programmazione) passava automaticamente da un PC ad un altro, in modo che il suo creatore potesse risalire al numero totale di PC collegati ad internet. Un worm è pericoloso tanto quanto un virus, e riesce a lanciare lo stesso genere di attacchi.

trojan (o Cavallo di Troia): il principio di funzionamento di questo malware è contenuto nel suo nome, che ci riporta alle imprese di Ulisse. Un trojan ha lo scopo di creare, sul PC, delle backdoor, che permettono ad un malintenzionato di inserirsi nel sistema, e poi prenderne il controllo, oppure sottrarre dati personali come indirizzi e-mail, numeri di carta di credito, etc.

rootkit: i rootkit sono applicazioni trasparenti e invisibili, che s'installano e agiscono passando quasi del tutto inosservati. Per rilevarli, in effetti, ci vogliono occhi esperti. Un rootkti è un programma che viene spesso associato ad un virus, allo scopo di renderne impossibile la rilevazione da parte degli antivirus; serve anche agli autori di malware per nascondere la presenza di una backdoor su un sistema infetto.

Morris, il primo worm in assoluto


Robert Tappan Morris, creatore del primo worm in assoluto su internet

Il primo worm diffuso in internet, nel lontano 1988, si chiamava Morris, come il suo creatore, Robert Tappan Morris, all'epoca studente al MIT (Massachusetts Institute of Technology).

20 anni fa, i computer connessi a internet erano una rarità, o quasi, e questo ha stimolato il giovane studente, che voleva conoscere il loro numero esatto.

Un worm creato per curiosità

Morris, per trovare la risposta che cercava, creò un piccolo programma che si copiava automaticamente su ogni computer e inviava un messaggio a tutti gli altri per segnalare la propria presenza sulla rete. Il worm sfruttava due falle dei sistemi BSD e SUN. Il 2 novembre 1988, Morris si collega da un computer del MIT e immette in rete il suo programma, che nel giro di brevissimo tempo si propaga a tutta internet.


Il MIT, il luogo da cui Morris lanciò il suo worm

Morris non aveva intenzione di danneggiare nessuno con il suo worm, ma dimenticò un piccolo dettaglio che trasformò quello che doveva essere un innocuo programma in una catastrofe. Un computer poteva essere infettato più volte dallo stesso worm, e quindi mandare in esecuzione più volte lo stesso programma. Viste le limitate risorse hardware dei computer dell'epoca, questi venivano bloccati dall'enorme mole di lavoro assegnata loro dal worm.

Non dimentichiamo che all'epoca gli antivirus non esistevano, e quindi i computer erano molto più esposti alle minacce provenienti dalla rete di quanto non lo siano adesso. A seguito di questo grave episodio, fu istituito il CERT (Computer Emergency Response Team), allo scopo di prevenire altri problemi simili su internet. Robert Tappan Morris fu processato e condannato a 3 anni di libertà vigilata, 400 ore di lavori socialmente utili e una multa di 10000 $. Attualmente, è professore al MIT.

Chernobyl, il più distruttivo


La centrale nucleare di Chernobyl

Chernobyl è stato il virus più famoso e più distruttivo della sua epoca, creato nel giugno 1998 dal taiwanese Cheng Ing Hau, all'epoca studente in un'università di Taipei.

Diversamente da quanto si potrebbe pensare, il virus non deve il nome al suo potenziale distruttivo, ma al fatto che era programmato per andare in esecuzione il 26 aprile di ogni anno, cioè in concomitanza con l'anniversario della catastrofe di Chernobyl, avvenuta il 26 aprile 1986. Il virus è anche noto come CIH, le iniziali del nome del suo creatore.

Un virus esplosivo

Il virus era ancora inoffensivo quando fu rilevato per la prima volta da F-Secure, pochi giorni dopo la sua creazione. Chernobyl è programmato per diffondersi sul maggior numero possibile di computer, ma non esprime il suo potenziale distruttivo fino alla fatidica data del 26 aprile. F-Secure lanciò l'allarme, ma l'autore del virus non si perde d'animo e diffonde rapidamente altre varianti del virus.

La diffusione di Chernobyl fu spaventosamente efficace, tanto che fu rilevato persino in una demo scaricabile del gioco Wing Commander, in una versione pirata di Windows 98, e in un alcuni CD-ROM venduti in Europa come allegati di riviste informatiche, in aggiornamenti firmware e persino in alcuni PC IBM, venduti già con il virus all'interno!

Il 26 aprile 1999 successe ciò che tutti temevano, e, secondo le stime, diverse decine di milioni di computer furono vittime di Chernobyl. Ma come funzionava esattamente Chernobyl? Il virus era in grado di compiere diverse azioni sulla macchina infetta, che andavano dalla cancellazione dei file salvati su hard disk, fino al tentativo di danneggiare il BIOS della scheda madre. Un PC infettato da Chernobyl diventava inutilizzabile in brevissimo tempo.

L'autore del virus è stato arrestato dalle autorità taiwanesi il 29 aprile 1999, ma a causa di un intoppo burocratico (in assenza di una denuncia da parte di un residente di Taiwan, non si poteva procedere con il processo), fu rilasciato, per essere nuovamente arrestato nel settembre dell'anno successivo. Il suo caso, al momento, è ancora in sospeso, allo studio delle autorità Taiwanesi. Cheng Ing hau, nel frattempo, ha trovato lavoro presso la Gygabite nel 2006, in qualità di ingegnere. Quanto a Chernobyl, è entrato nuovamente in azione il 26 aprile 2000 e 2001, ma i danni che ha causato sono stati meno rilevanti.

Melissa, il virus erotico


Melissa

Nel 1999 l'industria del porno è già ben presente anche sul web, e diventa uno strumento perfetto per diffondere i programmi maligni. È il caso di Melissa, uno dei primi virus ad essersi diffuso in rete con la scusa di offrire qualche ora di "relax" agli ignari internauti.

Fu scoperto il 26 marzo 1999, giorno in cui il suo creatore lo diffonde su Usenet, più precisamente all'interno del forum di discussione "alt.sex". Il virus era contenuto nel file "List.doc", che conteneva le password d'accesso ad oltre 80 siti porno. Il virus si propagava via email, inviando un numero enorme di messaggi di posta (in maniera simile a quanto avviene oggi con lo spam, fenomeno, peraltro, ancora molto marginale all'epoca), che contenevano in allegato un file Word infetto.

Il virus della tentazione

Melissa si collocava a metà strada tra i worm e i virus. Riusciva a propagarsi da un computer all'altro senza alcun intervento da parte dell'utente, ma infettava soltanto i file di Word 97 e Word 2000. Era anche in grado di auto-inviarsi via email sfruttando una falla in Outlook 97 e Outlook 98. Si trattava quindi di un macro-virus, che sfruttava, appunto, le macro di office, ma che si propaga esattamente come un worm.


Una email inviata da Melissa

La prima versione di Melissa non era stata realizzata per cancellare file dai PC, ma poi nacquero diverse varianti, che causarono problemi anche molti gravi. Alcune di esse tentavano di cancellare i file di sistema, o di accedere agli hard disk, locali o di rete, per cancellare i file archiviati.

Melissa deve il nome ad una ballerina incontrata in un bar dal suo creatore, David L. Smith. Costui venne rintracciato dalle autorità grazie al campo GUID (Globally Inique Identifier) del documento originale che aveva diffuso su Usenet. Il GUID marca i documenti Office e contiene diverse informazioni, compreso l'indirizzo MAC del computer, informazioni riguardanti il creatore del file, e persino il suo nome, qualora questo sia stato indicato. Microsoft ha in seguito modificato l'algoritmo di creazione automatica del GUID, al fine di preservare la privacy degli utenti.

David L. Smith fu condannato inizialmente a 10 anni di carcere ma, dopo aver accettato di collaborare con l'FBI, gli fu concessa la riduzione della pena a 20 mesi di carcere e una multa di 5000$. Si stima che i danni causati da Melissa nel solo Nord America ammontino ad oltre 80 milioni di dollari.

I Love You, il messaggio d'amore che nasconde il worm


L'email inviata dal worm I Love You

"I Love You" fece parlare molto di sé: 3,1 milioni di computer infetti in appena 4 giorni e danni stimati per circa 5,5 miliardi di dollari. Fu identificato la prima volta il 4 maggio 2000, inviato come allegato di posta, a Hong-Kong.

L'oggetto dell'email ("I love You", cioè Ti Amo) e il nome dell'allegato ( LOVE-LETTER-FOR-YOU.TXT.vbs, cioè "Lettera d'Amore per Te".) erano molto ingannevoli, e molti caddero nella tentazione di aprire il file. Il file, mascherato sotto forma di file di testo, conteneva in realtà uno script Visual Basic eseguibile in ambiente Windows.

Il virus che ti ama

Oggi la maggior parte degli utenti è più consapevole dei rischi, e molti non ci pensano due volte prima di cancellare un allegato o un messaggio sospetto; otto anni orsono, però, la situazione era decisamente più favorevole al malware. Il virus sfruttava il metodo del cosiddetto "social engeneering" per propagarsi, spacciandosi per un contenuto sicuro. In effetti, I Love You si diffondeva perché nell'email veniva visualizzata una lista di diffusione (mailing-list), che ingannava l'utente circa la vera natura del messaggio. Una volta aperto l'allegato, il worm effettuava una ricerca su tutti gli hard disk del PC.

Il virus, poi, cercava i file con estensioni molto comuni, come.JPG,.MP3, VBS,.JS,.CSS,.DOC, e una volta trovati ne veniva sostituito l'intero contenuto copiando il worm al loro interno, distruggendoli e infettandoli. In seguito, I Love You tentava di auto-inviarsi ad altri indirizzi email, sfruttando una falla presente in Outlook.

Questo worm diede il via ad una caccia all'uomo a livello internazionale, che terminò l'11 maggio 2000, cioè una settimana dopo la scoperta del worm, con l'arresto di un giovane studente filippino. Lo studente dichiarò di aver creato questo programma per un progetto universitario, che però era stato rifiutato dall'università che frequentava, perché considerato illegale. Per vendetta, egli decise di inviarlo su internet, dando vita ad una delle infezioni più devastanti della storia.

Nimda, il worm che infetta i server


Nimda infetta i server IIS

Anche se meno noto rispetto ad altri worm, Nimda ha segnato un'epoca, soprattutto per il modo in cui si propagava: l'obiettivo primario di Nimda non erano tanto gli utenti, quanto i server a cui questi si collegavano. Anche in questo caso, si trattava di un sistema volto a raggirare l'internauta, destando in lui meno sospetti possibile.

Un attacco che inganna l'utente

Il nome Nimda nasce da un banale gioco di parole, infatti si tratta della parola Admin letta al contrario. Fu chiamato così perché mirava non tanto ad danneggiare direttamente gli utenti, quanto gli amministratori dei server. Lo scopo era quello di infiltrarsi sul server web sfruttando una falla nei server IIS (Internet Information Service), e poi modificarne i parametri, costringendo ogni visitatore a scaricare il worm, ogni volta che apriva la pagina web infetta.

Questo modo di diffondere il virus fu tanto efficace quanto dannoso, visto che gli utenti difficilmente guardano con sospetto i siti che visitano spesso, nei quali, solitamente, si ripone molta fiducia. Il worm, inoltre, era in grado di auto-inviarsi via email a tutti i contatti dell'internauta infettato, così da diffondersi ancor più velocemente. Tra gli attacchi ai server e quelli portati via posta elettronica, Nimda divenne il worm più diffuso sulla rete in appena 22 minuti !

Nimda fece parlare molto di sé anche perché fu immesso in rete nel mese di settembre del 2001, una curiosa coincidenza che all'epoca portò alcuni media a sospettare una relazione tra il worm e l'attentato al World Trade Center di New York. Tutt'oggi, l'autore di questo worm non è stato identificato.

Code Red, il worm venuto dalla Cina


Un sito internet infetto da Code Red

Il 13 luglio 2001 fa la sua comparsa in internet un nuovo worm, che infetta i server con Microsoft IIS e tenta di prenderne il controllo.

Anche se l'autore del worm non è mai stato identificato, il nome Code Red ha portato molti a sospettare un'origine cinese, insieme al fatto, molto più indicativo, che questo worm sostituiva l'home page del sito infettato con il messaggio "Hacked by Chinese!" (Piratato dai Cinesi!).

Il virus che vede rosso

Il bersaglio di Code Red erano i siti internet, non gli utenti: infettava i server IIS vulnerabili, e poi "partiva" alla ricerca di altre vittime. Code Red non solo sostituiva la home-page del sito, ma dopo un periodo, da 20 a 27 giorni, lanciava un attacco DoS (Denial of Service). Questo genere di attacco consiste nel sommergere di richieste un server, fino al punto che questo non è più in grado di rispondere. Tra gli indirizzi IP più colpiti dall'attacco DoS di questo virus, ricordiamo quello della Casa Bianca.

Il creatore di Code Red non è mai stato identificato, ma l'azienda eEye che si occupa di sicurezza delle reti informatiche, afferma che il virus è stato immesso in rete da Makati City, nelle Filippine, il paese di origine di I Love You.

Sobig, nuovo record di infezioni

 
Sobig si propaga via email

Il 2003 vede un forte aumento del numero di virus che circolano su internet, che da un lato diventano meno distruttivi e pericolosi rispetto al passato, ma dall'altro diventano più numerosi.

Sobig è uno di quei malware che ha infettato milioni e milioni di PC e che ha anche fatto parlare molto di sé.

Un'infezione massiccia

Il virus fu scoperto, nella sua prima variante, nel gennaio 2003, ma fu solo nell'agosto successivo che iniziò a diffondersi su vasta scala. Sobig si faceva strada utilizzando un sistema molto comune per i virus, vale a dire la posta elettronica. Dopo aver infettato un PC, si duplicava al suo interno e iniziava poi ad auto-inviarsi via mail a nuove vittime. A renderlo ancora più pericoloso, il fatto che l'oggetto del messaggio infetto, e il nome dell'allegato, variavano continuamente.

Nel mese di agosto, diversi milioni di PC furono infettati da Sobig, diventato presto celebre per la sua rapidità nel diffondersi in rete. Microsoft offrì una taglia di 250000 $ a chiunque fosse stato in grado di fornire informazioni utili per l'arresto dell'autore di Sobig, che attualmente non è stato ancora trovato. Ad ogni modo, il virus ha arrecato sempre meno danni a partire dal 10 settembre 2003, data in cui si disattivava automaticamente.

Blaster, un milione di PC in due giorni


Blaster provoca il riavvio di Windows

L'estate 2003 fu segnata da un malware a dir poco fulmineo per la velocità con cui si propagava: il worm Blaster. Tra gli effetti provocati da Blaster, il blocco del servizio RPC ( Remote Procedure Call) dei PC con sistema operativo Windows XP, che causava il riavvio del PC dopo un conto alla rovescia visualizzato a schermo.

Windows sarà riavviato…

Scoperto l'11 agosto 2003, il worm Blaster era capace di sfruttare la vulnerabilità dei sistemi operativi Windows basati su core NT, ovvero Windows 2000 e Windows XP, copiandosi automaticamente su una qualunque macchina vulnerabile senza alcun intervento da parte dell'utente. Condizione sufficiente alla diffusione del worm, era che il PC fosse collegato ad internet. Il 13 agosto, Blaster raggiunge il suo apice, quanto a numero di macchine infette: Symantec stima che siano stati infettati due milioni di PC in due giorni. Blaster, in verità, era pensato per portare un attacco DoS (Denial of Service) al sito degli aggiornamenti Microsoft, e il riavvio del sistema operativo era solo un diversivo: la verità emerse il 15 agosto, quando centinaia di migliaia di PC inviarono contemporaneamente delle richieste alla pagina Windowsupdate.com

L'instabilità provocata nel sistema operativo Windows era un effetto secondario dell'attacco. Le azioni provocate rendevano Windows tanto instabile da provocarne il riavvio. Furono distribuite diverse utility di rimozione, nel tentativo di rendere nuovamente stabili i computer infetti, senza però riuscire a cancellare il malware.

Il 29 agosto 2003, Jeffrey Lee Parson, autore del worm Blaster, appena diciottenne, fu arrestato nella sua casa di Hopkins, nello stato del Minnesota. Ammise di aver creato il worm, e fu condannato a 18 mesi di reclusione. A 5 anni di distanza, Blaster è ancora attivo in internet, ma Microsoft ha rilasciato degli aggiornamenti di Windows in grado di proteggere i PC da future infezioni.

Sober, un attacco in due tempi


Anche Sober si propaga via mail

Sober è un worm che, grazie a numerose varianti create nel corso degli anni, non è mai stato del tutto debellato. Dall'ottobre 2003, quando fu scoperto per la prima volta, è tutt'ora considerato una grave minaccia, uno dei worm più pericolosi che la rete abbia mai conosciuto.

La particolarità di Sober è che s'inserisce direttamente nel registro di Windows, rendendosi invisibile all'utente, e quindi capace di danneggiare il sistema a proprio piacimento.

Un worm classico, ma subdolo

Anche Sober appartiene alla categoria dei malware che si diffondono via posta elettronica. La prima email infetta da questo worm, è stata scoperta il 24 ottobre 2003. Si trattava del consueto cliché : la solita email scritta in inglese, che conteneva il solito allegato con il solito "regalino" infetto. Nel momento in cui l'utente apriva l'allegato, il worm infettava la macchina e tentava di auto-inviarsi via email a nuove vittime, utilizzando la rubrica dei contatti.

Una volta installato in Windows, Sober crea diversi file, con lo scopo è confondere l'utente che tenta di rimuoverlo, ma anche consentire future infezioni. Il "pezzo forte" del worm era però costituito dalla sua capacità di infettare il registro, creando una nuova chiave che lo mandava automaticamente in esecuzione all'avvio di Windows, anche se uno dei file infetti veniva cancellato.

Sober, il ritorno

Sober torna alla ribalta nel 2005, due anni dopo la sua prima comparsa. Sembrava che questo worm si fosse "addormentato", quando comparve una nuova variante, il 3 marzo. Gli attacchi iniziano a ripetersi e diventare sempre più frequenti. Il 14 novembre, appare la variante T di Sober, ma la variante più pericolosa apparirà a pochi giorni di distanza, il 21 novembre, con la variante Sober.X. L'email che veniva inviata stavolta era spacciata come proveniente direttamente dalla CIA o dall'FBI, e dichiarava che l'utente era stato sorpreso a navigare in alcuni siti illegali e gli si chiedeva di rispondere ad un questionario, inserito come allegato nell'email. Ovviamente, l'allegato nascondeva il worm. Sober.X, che era ancor più dannoso rispetto alla prima versione, perché capace anche di rubare i dati personali dell'utente.

Il creatore di Sober non è mai stato scoperto, anche se le autorità, per via di un messaggio di chiaro carattere politico presente in alcune versione del worm, pensano si possa trattare di un militante di un partito tedesco di estrema destra.

MyDoom, l'infiltrato delle reti P2P


Kazaa

MyDoom è stato uno dei primi worm a diffondersi sulle reti P2P. In grado di duplicarsi ed auto-inviarsi tramite email, se ne parlò molto perché era facile incappare in esso utilizzando un famoso programma peer-to-peer, Kazaa.

Scoperto il 26 gennaio 2004, è divenuto il worm che si è diffuso più rapidamente in internet, battendo il record detenuto da Sobig.

Attento a cosa scarichi


Similmente a quanto fanno altri worm, MyDoom si auto-invia tramite email

MyDoom poteva propagarsi in due modi: via posta elettronica, oppure sfruttando la rete Kazaa. Il primo metodo non ha bisogno di particolari spiegazioni, infatti è lo stesso utilizzato da tantissimi altri virus: una volta che il worm infettava una macchina, cercava di auto-inviarsi a tutti i contatti presenti nel computer. MyDoom, tra l'altro, era bilingue, infatti inviava messaggi sia in inglese sia in francese. Il secondo metodo di diffusione, invece, era una novità: MyDoom andava alla ricerca della cartella contenente i file condivisi di Kazaa, alla quale avevano accesso tutti gli utenti della rete P2P, e da qui si diffondeva velocemente verso altri computer.

Dopo essersi propagato ad altri computer, MyDoom iniziava a compiere una serie di operazioni dannose sul computer che lo ospitava, tra cui l'apertura di una backdoor sulla porta 3127, che permetteva il totale controllo del computer a distanza. Tra le azioni previste, anche un attacco DoS sul sito del gruppo SCO a partire dal primo febbraio 2004. In seguito, una variante di MyDoom attaccherà anche il sito Microsoft.

Netsky, la prima guerra a colpi di virus


L'email inviata da Netsky

Ecco un altro virus che ha fatto venire i capelli bianchi agli esperti di sicurezza. NetSky apparve nel febbraio 2004, e tutt'oggi, a 4 anni di distanza, è uno dei più diffusi in internet, considerato ancora una delle più grandi minacce per i computer di tutto il mondo.

NetSky è duro a morire perché ne sono state create numerose varianti. Scoperto per la prima volta nel febbraio 2004, nel giugno dello stesso anno NetSky contava già 30 diverse varianti, ciascuna delle quali con caratteristiche e modalità d'azione differenti.

Quando i virus si fanno guerra tra loro

È interessante constatare che questa miriade di virus non era destinata solo agli internauti, ma anche a chi in prima persona creava i virus, infatti NetSky, all'interno del suo codice sorgente, nascondeva messaggi e insulti destinati ai creatori dei worm Bagle e MyDoom. Il 2004 è stato un periodo buio per la sicurezza in rete, perché questa guerra tra autori di worm causava la continua creazione di nuove varianti, in risposta a quelle create da altri "colleghi".

Anche NetSky utilizzava il consueto sistema di diffusione tramite email: infettava la macchina e andava alla ricerca della rubrica, in modo da auto-inviarsi all'intera lista di contatti. Gli effetti prodotti sulla macchina infetta erano più o meno dannosi a seconda della variante del worm. Tra queste, ne segnaliamo una che aveva la particolarità di attivare il beep del computer, qualora il PC ne possedesse uno, ad un orario generalmente compreso tra le 6 e le 9 del mattino.

NetSky fu creato dallo studente tedesco Sven Jaschan, lo stesso autore di Sasser, e che ammise di aver creato il virus quando fu arrestato nel maggio 2004. NetSky circola tutt'ora in internet ed è anche possibile rintracciarne il codice sorgente. Questo, da una parte permette di trovare velocemente gli aggiornamenti antivirus e le patch necessarie per contrastare il virus, ma d'altra parte facilita il lavoro a chi vuole creare nuovi virus, che può quindi utilizzare il lavoro svolto da altri per creare la propria variante. Fino a novembre 2006, la variante P era considerata quella più diffusa.

Sasser, l'infezione subdola


Sasser fa bloccare alcuni processi di Windows

Uno dei malware più noti degli anni 2000 è il worm Sasser, i cui effetti secondari molto simili a quelli provocati da Blaster. Questo worm poteva introdursi da solo in un computer vulnerabile, senza alcun intervento dall'esterno. Sasser ha mostrato tutto il suo potenziale distruttivo non solo sui PC domestici, ma anche sui PC aziendali.

Un worm distruttivo

Sasser è apparso per la prima volta il 30 aprile 2004. Era in grado di replicarsi automaticamente ed infiltrarsi in un PC dotato di sistema operativo Windows, mediante le porte 445 o 139, sfruttando una falla nel processo LSASS ( Local Security Authority Subsystem Service), e poi rendeva instabile il processo, che si bloccava e faceva bloccare l'intero sistema operativo, in maniera simile a quanto succedeva con Blaster ed il processo RPC. Sasser era apparso pochi giorni dopo il rilascio di un aggiornamento Windows che risolveva il problema nel processo LSASS. Evidentemente, il suo autore sperava di infettare tutti quei PC che non avevano ancora beneficiato dell'update rilasciato da Microsoft.

Le infezioni del worm Sasser si espandevano a macchia d'olio, e non erano limitate ai soli computer domestici, utilizzati da sprovveduti internauti. I danni provocati alle aziende furono notevoli, basti pensare che vennero interrotte per diverse ore le comunicazioni con tutti i satelliti dell'AFP (Agence France Presse). Stessa sorte toccò alla compagnia aerea americana Delta Airlines, costretta ad annullare i suoi voli perché i suoi PC erano stati infettati da Sasser. Furono segnalati casi altrettanto gravi di infezioni in PC aziendali in paesi quali Finlandia, Gran Bretagna, Germania e persino alla Commissione Europea.

Un giovane studente all'origine di Sasser

Le somiglianze tra Sasser e Blaster portano a supporre che fossero opera della stessa mente, ma era piuttosto improbabile che Parson, autore di Blaster, fosse riuscito a creare e diffondere un virus dalla cella in cui era rinchiuso. Il 7 maggio 2004 si scopre che dietro Sasser si cela un giovane studente tedesco di soli 18 anni, Sven Jaschan, che aveva creato anche NetSky.


Sven Jaschan, autore di Sasser e NetSky

Il 9 maggio però, a soli 2 giorni di distanza dalla cattura di Jaschen, appare sul web una nuova variante di Sasser, meno pericolosa rispetto alle precedenti e che tenta di disattivare tutte le versioni di Sasser presenti sulle macchine infette. L'8 luglio 2005 Jaschen viene condannato a 21 mesi di carcere con la condizionale. In seguito, è stato assunto in qualità di ingegnere dalla società tedesca Securpoint, che si occupa di sicurezza informatica.

Cabir, il virus del telefonino


Cabir, il primo virus creato per infettare i telefoni cellulari

Il 2004 verrà anche ricordato come l'anno in cui è nato un nuovo tipo di virus, destinato ad infettare i telefoni cellulari. Il primo di questo genere fu Cabir. I moderni cellulari, grazie ai sistemi operativi che utilizzano, da un lato riescono a svolgere un numero via via crescente di funzioni, ma dall'altro si espongono al pericolo di infezione da virus.

Il primo virus per telefoni cellulari

Per passare da un terminale all'altro, Cabir utilizza una tecnologia di comunicazione molto diffusa sui cellulari: il bluetooth. Cabir infetta esclusivamente i cellulari con sistema operativo Symbian (molto utilizzato sui cellulari Nokia e su alcuni modelli Sony Ericsson o Motorola), e si trasmette verso altri cellulari sfruttando la connessione bluetooth del telefonino, inviando una copia di sé stesso all'interno del file di installazione "caribe.sis". Una volta che il telefonino è stato infettato, appare a schermo la parola "Caribe" ogni qual volta si accende il cellulare.

Si tratta di un virus tutto sommato innocuo, inviato direttamente alle società che si occupano di sicurezza come "proof of concept", un'espressione usata in inglese per riferirsi ad una bozza, che ha come unico scopo quello di dimostrare la fattibilità di un progetto. Nel caso specifico, chi ha creato Cabir voleva dimostrare l'esistenza di una falla nel sistema operativo Symbian che poteva essere sfruttata da malintenzionati. Finora Cabir è l'unico esempio di virus per cellulari, ma visti i presupposti, non è irragionevole pensare che in futuro possano fare la loro comparsa dei virus per telefonini ancor più dannosi.

Quando Sony utilizza i rootkit


Un CD audio Sony

Nel 2005, il nome Sony rimbalza su tutti i media. In un'epoca in cui le majors portano avanti una dura lotta alla pirateria, Sony inserisce un sistema anticopia alquanto opinabile sui suoi CD: un rootkit contenuto nel disco che si occupa della gestione dei DRM.

La gaffe di Sony

Nell'ottobre 2005, Mark Russinovitch, di Sysinternals.com, si accorge della presenza di un programma alquanto insolito sui CD audio Sony. Russinovitch scopre che una volta inserito il disco nel lettore del PC, viene installato automaticamente un rootkit anticopia. Questo rootkit, installato sul PC senza chiedere alcuna autorizzazione e all'insaputa dell'utente, ha avuto delle conseguenze molto più gravi rispetto a quelle previste da Sony.

Oltre a svolgere la sua funzione anticopia gestendo i DRM ( Digital Rights Management), il programma si nasconde in ambiente Windows utilizzando un curioso espediente, cioè quello di rendere invisibili tutti i file e le cartelle il cui nome inizia per " $sys$ ". In questo modo, l'utente non può accorgersi della presenza del programma anticopia all'interno del suo PC. L'anello debole della catena era costituito dal fatto che questo espediente spalancava le porte ai creatori di worm e virus, che potevano creare malware di ogni sorta, contando sulla copertura fornita dal rootkit Sony: bastava anteporre al malware la sintassi $sys$, ed il gioco era fatto!

I malumori scatenati dal programma anticopia portarono numerosi utenti a lamentarsi, fino al punto che in alcuni paesi, tra cui USA e Canada, la protesta assunse i caratteri di una vera e propria class action, che obbligò Sony a richiamare i dischi "difettosi" e a scusarsi pubblicamente per l'errore.  

Storm Worm, ovvero come trasformare un PC in uno zombie


Storm Worm si propaga via email

Storm Worm, a differenza di quanto possa far credere il nome, è un trojan apparso in rete il 17 gennaio 2007, che si propagava inviando delle email dal titolo ingannevole, in cui si parlava di una fantomatica catastrofe naturale avvenuta in Europa.

Nel giro di una settimana, Storm Worm si diffuse velocemente sia in Europa sia negli Stati Uniti.

Un'intera rete di PC zombie

Storm Worm ha creato una delle più grandi reti di computer zombie su internet. Un computer zombie è una macchina che infettata da un malware, che esegue operazioni ben precise, come attaccare un sito web oppure, ed è questo il caso più frequente, inviare email di spam. I PC zombie sono quindi di supporto agli spammer per lo svolgimento del loro "lavoro". Una volta che Storm infetta il PC, questo si trasforma in una vera e propria fabbrica di spam, ed inizia ad inviare regolarmente una montagna di email pubblicitarie.


Come funziona una rete di PC zombie

Ogni PC infetto inizia a collegarsi ad una trentina di altri PC per scambiare le istruzioni e i messaggi da inviare, forniti da un server che funge da sorgente. All'interno della rete, a nessun PC è visibile l'intera lista di PC infetti, ma soltanto una parte di essi.

Una rete così organizzata funziona in maniera simile alle reti P2P, e rende anche più difficoltosa la stima del numero esatto di PC infetti. Il 7 settembre 2007, le stime variavano da un minimo di 1 milione ad un massimo di 10 milioni di PC infetti.

Una lista che si allunga ogni giorno che passa


Una rappresentazione del virus MyDoom

Nel corso degli ultimi anni i virus sono diventati più numerosi, ma generalmente meno dannosi. Alla luce di quanto accaduto in passato, tutte le aziende si occupano della sicurezza in internet dei loro computer, un concetto che soltanto 15 o 20 anni fa era del tutto ignoto alle imprese.

A margine, vogliamo far notare che molti virus writer hanno trovato un posto di lavoro proprio grazie alle loro malefatte. Non tutti sono finiti in prigione, e alcuni di essi lavorano addirittura per aziende che si occupano di sicurezza informatica, o che sviluppano programmi antivirus. Coloro che fino a pochi anni fa diffondevano virus, adesso lavorano per combattere le loro stesse creazioni.

Sempre più virus

Molte aziende hanno sviluppato soluzioni che consentono di rilevare i nuovi virus quando questi non sono ancora presenti all'interno del loro database, ma il miglior modo per combattere i virus è la prudenza. Il consiglio che ci sentiamo di dare a tutti i lettori, è di stare sempre vigili quando si naviga in rete.

scopri altri contenuti su

ARTICOLI CORRELATI