Worm

Złośliwy program, który samodzielnie rozprzestrzenia się przez sieć, kopiując się z urządzenia na urządzenie bez potrzeby ingerencji użytkownika.

Worm (robak komputerowy) to złośliwy program, który rozprzestrzenia się samodzielnie przez sieć, kopiując się z urządzenia na urządzenie bez żadnej akcji ze strony użytkownika. To główna różnica między robakiem a wirusem: wirus potrzebuje nosiciela (pliku, programu) i tego, żebyś go odpalił. Robak nie czeka na nic. Znajdzie podatną maszynę, sam się na nią skopiuje, uruchomi i zacznie szukać kolejnych ofiar. Ty śpisz, a on pracuje.

Jak to działa

Robak skanuje sieć w poszukiwaniu hostów z konkretną luką — najczęściej niezałatanym serwisem nasłuchującym na otwartym porcie. Gdy znajdzie podatny cel, wykorzystuje exploit, wgrywa swój kod i odpala go zdalnie. Świeżo zainfekowana maszyna natychmiast staje się kolejnym węzłem skanującym. Stąd ten przyrost wykładniczy: 1 zaraża 10, 10 zaraża 100. W kilka godzin robak potrafi obejść pół globu.

Sam w sobie robak to tylko mechanizm propagacji. Realną szkodę robi payload, który ze sobą niesie: szyfrowanie dysków (ransomware), instalacja backdoora, dołączanie maszyny do botnetu albo zwykłe zapchanie łącza ruchem.

Przykład z praktyki

Klasyk to Morris Worm z listopada 1988 — pierwszy głośny robak, który przez błąd w logice (zarażał te same maszyny wielokrotnie) położył sporą część ówczesnego internetu. Bardziej współczesny: WannaCry z maja 2017. Wykorzystywał exploit EternalBlue w protokole SMBv1 systemu Windows, szyfrował pliki i żądał okupu w bitcoinach. Microsoft wypuścił łatkę (MS17-010) miesiąc wcześniej — ucierpieli ci, którzy nie zaktualizowali. Chcesz sprawdzić, czy masz wystawiony podatny port?

nmap -p 445 --script smb-vuln-ms17-010 192.168.1.0/24

Na co uważać

Najczęstszy mit: „mam antywirusa, jestem bezpieczny”. Robak korzystający ze świeżego exploita przejdzie, zanim sygnatura w ogóle powstanie. Drugi błąd: traktowanie aktualizacji jak opcji. WannaCry pokazał, że łatka leżąca miesiąc na półce jest bezużyteczna. I trzeci: otwarte porty zarządcze (SMB, RDP) wystawione prosto do internetu — to dla robaka zaproszenie z czerwonym dywanem.

Obrona to nuda, która działa: regularny patching, segmentacja sieci, firewall blokujący zbędne porty i wyłączenie przestarzałych protokołów jak SMBv1.

Pojęcia powiązane

Wirus, malware, ransomware, botnet, exploit, payload, backdoor, CVE.