I virus ed i worm sono programmi dannosi in grado di autoreplicarsi sui computer o tramite reti di computer, senza che gli utenti sappiano di essere stati infettati. Ogni copia successiva di tali software nocivi può anch’essa autoreplicarsi.
I programmi malware che si diffondono attraverso le reti o infettano le macchine remote per mezzo di appositi comandi impartiti dai loro “proprietari” (ad esempio i Backdoor), oppure i programmi che creano molteplici copie non in grado di autoreplicarsi non fanno parte della sottoclasse che raggruppa virus e worm.
L’elemento principale utilizzato per determinare se un programma debba essere classificato come un comportamento distinto all’interno della sottoclasse dei virus e dei worm è rappresentato dal modo in cui il programma si propaga (vale a dire le specifiche modalità attraverso le quali il programma maligno distribuisce copie di se stesso tramite le risorse locali o di rete).
I worm più conosciuti vengono diffusi sotto forma di file allegati ai messaggi di posta elettronica, tramite un apposito collegamento malevolo ad una risorsa web o FTP, tramite un link trasmesso attraverso un messaggio ICQ o IRC, oppure tramite le reti di condivisione dei file P2P (Peer-to-Peer).
Alcuni worm si diffondono, invece, come pacchetti di rete che penetrano direttamente nella memoria del computer, dove il codice del worm viene poi attivato.
Per insinuarsi all’interno dei computer remoti e lanciare l’esecuzione di copie di se stessi, i worm si avvalgono delle seguenti tecniche: social engineering (nel caso, ad esempio, di un messaggio e-mail che invita l’utente ad aprire il file ad esso allegato), utilizzo degli errori di configurazione delle reti (ad esempio per duplicarsi su un disco completamente accessibile), oppure possono sfruttare le vulnerabilità presenti nella sicurezza dei sistemi operativi e delle applicazioni.
I virus possono essere suddivisi in base al metodo utilizzato per infettare un computer:
- virus di file
- virus del settore di avvio
- virus macro
- virus script
Qualsiasi programma appartenente a tale sottoclasse di malware può ugualmente presentare funzioni trojan aggiuntive.
Va inoltre notato come molti worm utilizzino più di un metodo per diffondere copie di se stessi attraverso le reti. Per classificare questi tipi di worm dovrebbero essere utilizzate le regole abitualmente impiegate per la classificazione degli oggetti nocivi provvisti di molteplici funzionalità.
La sottoclasse di programmi maligni qui analizzata comprende i seguenti comportamenti: