Nel 2003 si verificano due attacchi Internet globali, che potrebbero essere tranquillamente definiti come i più estesi e rilevanti nell’intera storia della Rete. L’Internet worm Slammer costituì, di fatto, la base per la conduzione di tali attacchi; per diffondersi, esso utilizzava una specifica vulnerabilità individuata nel sistema MS SQL Server. Slammer è stato, in pratica, il primo worm fileless di stampo “classico”, in grado di illustrare alla perfezione le temibili funzionalità nocive insite in un flash worm, potenzialità peraltro già ampiamente previste dagli esperti vari anni addietro.
Il 25 gennaio del 2003, nel giro di pochi minuti, il worm riuscì ad infettare centinaia di migliaia di computer in tutto il mondo, aumentando il traffico di rete a tal punto che vari segmenti nazionali di Internet andarono letteralmente in crash. Gli esperti stimano che, nell’occasione, il traffico abbia addirittura subito un incremento del 40% – 80%, nell’ambito di varie reti. Il worm Slammer attaccava i computer attraverso le porte 1433 e 1434; penetrando all’interno delle macchine, esso non realizzava, tuttavia, alcuna copia di se stesso, in nessun disco: Slammer rimaneva semplicemente nella memoria del computer. Se andiamo ad analizzare le dinamiche dell’epidemia, risulta ben evidente come tale worm abbia avuto origine in Estremo Oriente.
La seconda epidemia informatica di particolare rilevanza fu causata dal worm Lovesan, il quale fece la sua comparsa sulla scena del malware globale nel mese di agosto del 2003. Tale worm dimostrò quanto fosse vulnerabile il sistema operativo Windows. Al pari di Slammer, anche Lovesan sfruttava una vulnerabilità di Windows per auto-replicarsi. La differenza consisteva nel fatto che Lovesan utilizzava una specifica falla nel servizio RPC DCOM, operante negli OS Windows 2000/XP. Questo fece sì che venissero in pratica attaccati dal worm in questione quasi tutti gli utenti Internet.
Per quel che riguarda i virus in grado di penetrare all’interno di nuove piattaforme ed applicazioni, possiamo affermare che il 2003 sia stato un anno sorprendentemente tranquillo. L’unica notizia di rilievo fu la scoperta, da parte di Kaspersky Lab, di MBP.Kynel, rilevato “in the wild”. Si trattava di un virus scritto in MapBasic, preposto ad infettare i documenti MapInfo. MBP.Kynel fu senza alcun dubbio creato da un virus writer russo.
Il 2003 è stato di sicuro l’anno delle incessanti epidemie provocate dagli insidiosi e-mail worm. Ganda ed Avron furono individuati per la prima volta nel corso del mese di gennaio. Il primo era stato scritto in Svezia, ed è tuttora uno dei worm di posta elettronica più diffusi in Scandinavia, nonostante il fatto che la polizia svedese, entro la fine del mese di marzo dell’anno qui esaminato, avesse già arrestato l’autore del worm.
Avron, da parte sua, fu il primo worm creato nell’ex-URSS capace di causare una significativa epidemia informatica su scala mondiale. Il codice sorgente di tale worm fu pubblicato su Internet; questo generò la comparsa di tutta una serie di varianti di Avron, anche se di minore efficacia.
Un altro importante evento verificatosi nel 2003 è indubbiamente la comparsa, in gennaio, del primo worm Sobig. I worm riconducibili a tale famiglia causarono tutti quanti epidemie informatiche di particolare rilievo; fu ad ogni caso la variante ‘f’ a battere tutti i record. Quest’ultima è di fatto divenuta il worm di più ampia diffusione, nel traffico di rete, di tutta la storia di Internet. Al culmine dell’epidemia, Sobig.f, rilevato per la prima volta in agosto, poteva essere individuato in almeno un messaggio e-mail su venti. I virus writer autori della famiglia di e-mail worm Sobig miravano a creare, in sostanza, una rete di computer infetti, con l’obiettivo di condurre, in seguito, attacchi DoS nei confronti di siti web selezionati in maniera arbitraria e, al tempo stesso, di utilizzare tale rete per eseguire attacchi di spam.
Il worm di posta elettronica Tanatos.b rappresentò anch’esso un evento di particolare rilevanza nell’ambito della virologia informatica. La prima versione di Tanatos era stata scritta già verso la metà del 2002; la versione ‘b’, tuttavia, apparve sulla scena soltanto un anno dopo. Il worm sfruttava la ben nota falla di sicurezza IFRAME, individuata in MS Outlook, per avviare in maniera automatica la propria esecuzione, direttamente dai messaggi infetti. Tanatos causò una delle epidemie e-mail più significative del 2003, seconda, per dimensioni, soltanto a quella provocata da Sobig.f; quest’ultima probabilmente, detiene il record per il maggior numero di macchine infettate da un worm di posta elettronica.
Continuano nel frattempo ad apparire ulteriori worm appartenenti alla famiglia Lentin. Tutti questi worm venivano scritti in India da un gruppo di hacker locali, nel quadro della “guerra virtuale” in corso tra hacker indiani e pakistani. Le versioni in assoluto più diffuse furono la ‘m’ e la ‘o’, nelle quali il worm si replicava in forma di archivio ZIP allegato ai messaggi infetti.
I virus writer russi continuano, nel frattempo, a mantenersi ben attivi; il secondo worm proveniente dall’ex-URSS, anch’esso in grado di provocare un’epidemia informatica su scala globale fu Mimail. Per attivarsi, il worm utilizzava l’ultima vulnerabilità scoperta, sul momento, in Internet Explorer. Tale vulnerabilità consentiva di poter estrarre il codice binario dai file HTML, e di eseguire poi lo stesso. Questa tecnica fu utilizzata per la prima volta in Russia, nel mese di maggio del 2003 (Trojan.Win32.StartPage.l). In seguito, la suddetta vulnerabilità fu sfruttata dall’intera famiglia Mimail, così come da numerosi altri programmi Trojan. Gli autori del worm Mimail pubblicarono il relativo codice sorgente su Internet; questo portò alla comparsa di numerose nuove varianti del worm, nel mese di novembre 2003, scritte da altri autori di virus.
Settembre fu poi il mese di Swen. I-Worm.Swen, abile nel mascherarsi in veste di patch rilasciata da Microsoft, riuscì ad infettare diverse centinaia di migliaia di computer in tutto il mondo; esso rimane, tuttora, uno dei worm di posta elettronica in assoluto più diffusi. L’autore del virus, nell’occasione, sfruttava il senso di timore e nervosismo presente in quel momento in molti utenti, ancora spaventati dagli effetti nefasti prodotti dalle recenti epidemie causate dai worm Lovesan e Sobig.f.
Un’ulteriore significativa epidemia fu poi provocata da Sober, un e-mail worm relativamente semplice, scritto da un virus writer tedesco, in pratica una sorta di imitazione di Sobig.f, leader incontrastato dell’anno.
Nel 2002, la tendenza del momento sembrava condurre verso un consistente aumento del numero di backdoor e programmi Trojan spyware; tale specifica tendenza continua e si rafforza ulteriormente nel corso del 2003. I programmi malware di maggior rilievo, emersi durante l’anno nell’ambito della suddetta categoria, sono, rispettivamente, Backdoor.Agobot ed Afcore. Sono attualmente in circolazione oltre 40 varianti di Agobot, visto che l’autore della versione originale aveva creato un apposito network di siti web e di canali IRC, in cui, chiunque avesse voluto, pagando una quota di 150 dollari USD, avrebbe potuto divenire proprietario di una versione “esclusiva” del programma backdoor in causa, variante che sarebbe stata creata ad hoc dall’autore, in base ai desideri espressi dal cliente.
La backdoor Afcore conosce, da parte sua, un livello di diffusione leggermente minore. Per mascherare la propria presenza all’interno del sistema, tale programma si avvaleva di un metodo del tutto inusuale; esso si collocava, in effetti, nei file system aggiuntivi dei sistemi NTFS, ovvero nel flusso dei cataloghi, e non nel flusso dei file.
Alla fine del 2003 emerge nel panorama del malware una nuova tendenza, potenzialmente pericolosa; si tratta di un nuovo tipo di programma Trojan, il Trojan-Proxy. Era il primo segnale, ed anche il più evidente, del fatto che virus writer e spammer intendevano unire le proprie forze. Gli spammer iniziarono quindi ad utilizzare le macchine infettate da tali programmi Trojan per condurre attacchi di spam di massa. È altrettanto chiaro come, nell’occasione, gli spammer partecipassero ugualmente alla propagazione di tutta una serie di epidemie, in quanto i programmi maligni venivano diffusi utilizzando le tecnologie proprie dello spam.
Gli Internet worm costituirono la seconda classe di malware maggiormente attiva nel corso del 2003; nello specifico, i più attivi furono gli I-Worm in grado di auto-replicarsi catturando le password di risorse di rete remote. Di regola, tali worm basano il loro funzionamento sui client IRC, provvedendo ad eseguire la scansione degli indirizzi relativi agli utenti IRC. In seguito, essi tentano di penetrare all’interno del computer-vittima utilizzando il protocollo NetBIOS e la porta 445. Tra i malware di maggior rilievo appartenenti a tale classe vanno indubbiamente citati i vari membri della famiglia di Internet worm Randon.
Lungo tutto l’arco dell’anno, gli Internet worm rimangono, di fatto, la tipologia dominante di software maligno presente sulla scena.
I virus, o per meglio dire i virus macro, quali, ad esempio, Macro.Word97.Saver, si collocano in seconda posizione. In autunno, tuttavia, i programmi Trojan superano i virus, per numero e livello di attività; tale tendenza è rimasta in sostanza invariata sino ad oggi.