Web – Sembra si sia aperta l’era dei worm-poliziotto, virus “benigni” che, almeno all’apparenza, hanno come unico scopo quello di partire alla caccia di vermicelli “cattivi” e chiudere loro le porte d’accesso ai sistemi infettati.
Il primo caso di worm “dai nobili intenti” era stato Cheese che, pochi mesi fa, si era diffuso sulla Rete con lo scopo di cercare tutti i sistemi Linux infettati dal worm Lion e di chiudere tutte le backdoor da questo installate.
E mentre gli esperti di sicurezza ancora dibattono sulla moralità e sulla legittimità di combattere un virus con un altro virus, alcuni sviluppatori hanno nel frattempo rilasciato separatamente due programmi che, agendo come worm, tentano di arginare la diffusione di Code Red II .
Il primo si chiama CodeGreen ed è stato scritto da un esperto di sicurezza tedesco. Questo vermicello scansiona Internet alla ricerca di server su cui giri Internet Information Server e che siano infetti da Code Red II: se la ricerca ha successo, CodeGreen si installa sulla macchina infetta e tenta di scaricare ed eseguire la patch presente sul sito di Microsoft, dopodiché si propaga su altri sistemi. Su nota dello stesso autore, però, pare che CodeGreen riesca ad installare la patch solo in pochi, fortunati casi.
Più chance di successo sembra invece avere CRClean, il secondo worm anti Code Red II che, secondo l’autore, Markus Kern, si “diffonde passivamente” a partire da una macchina già infetta da Code Red II, di cui segue poi le orme arrivando a propagarsi sugli altri sistemi infettati a partire dal primo: in pratica CRClean non esegue nessuna scansione della Rete, questo anche per evitare di generare traffico e problemi con i router, ma “sorveglia” Code Red II seguendolo nei suoi spostamenti. Come CodeGreen, anche CRClean tenta di patchare il sistema e rimuovere Code Red II.
Proprio ieri abbiamo riportato la notizia secondo cui il solo Code Red, nel mondo, avrebbe causato danni per un ammontare di 2,6 miliardi di dollari. Ma questa cifra può giustificare la creazione di worm “antivirus” come i due appena descritti? Secondo il CERT no, visto che un codice virale è sempre da considerarsi qualcosa di intrusivo e pericoloso, modificabile da chiunque e con secondi intenti non sempre facilmente analizzabili. Ma l’ultima parola, in un dibattito così giovane e fertile, sembra ancora ben lungi dall’arrivare.