Immagina un programma malevolo che non ha bisogno del tuo clic, non si nasconde dentro un allegato e non aspetta che tu scarichi nulla. Si muove da solo, si replica, attraversa la rete e infetta ogni dispositivo vulnerabile che incontra. Non è fantascienza: è esattamente ciò che fa un worm informatico. Tra tutte le categorie di malware, il worm è quella che meglio sfrutta la connessione tra i dispositivi per trasformare un singolo punto debole in un’infezione su larga scala. Eppure, molti utenti lo confondono ancora con un comune virus. In questa guida scoprirai come funziona davvero un worm, perché è così pericoloso e quali strategie adottare per proteggere i tuoi sistemi.
Indice dei contenuti
Cos’è un worm e in cosa si distingue da un virus
Un worm informatico è un tipo di malware progettato per autoreplicarsi e diffondersi attraverso una rete in modo completamente autonomo. La differenza con un virus classico è sostanziale. Un virus ha bisogno di un file ospite a cui agganciarsi e richiede un’azione dell’utente per attivarsi, come l’apertura di un documento infetto o l’esecuzione di un programma compromesso. Il worm, invece, opera in totale indipendenza. Una volta penetrato in un sistema, si esegue da solo, cerca attivamente altre macchine vulnerabili e si propaga senza che nessuno debba fare nulla.
Questa autonomia è ciò che rende il worm particolarmente insidioso. Ogni dispositivo infettato diventa a sua volta una fonte di nuove infezioni, creando una crescita esponenziale che può mettere in ginocchio intere reti in poche ore.
Il concetto di programma autoreplicante non è recente. Fu teorizzato già nel 1949 dal matematico John von Neumann, ma il primo worm funzionante, Creeper, apparve solo nel 1971 sulla rete ARPANET. Il termine worm venne poi reso celebre dal romanzo di fantascienza The Shockwave Rider di John Brunner nel 1975, dove un programma capace di propagarsi autonomamente attraverso una rete globale anticipava scenari oggi diventati realtà.
Come si propaga un worm nella rete
I meccanismi di propagazione dei worm sono molteplici e sfruttano ogni punto debole disponibile nell’infrastruttura digitale. Il vettore più classico è la posta elettronica. Il worm scandaglia la rubrica del sistema infetto, poi invia copie di sé stesso come allegato a tutti i contatti trovati. I messaggi usano tecniche di social engineering per sembrare credibili e spingere il destinatario ad aprire il file.
Le vulnerabilità nei sistemi operativi e nei software rappresentano però la via di propagazione più temibile, perché non richiedono alcuna interazione umana. Il worm individua falle di sicurezza non corrette dalle patch e le sfrutta per installarsi su ogni macchina raggiungibile. È esattamente quello che fece WannaCry nel 2017, quando sfruttò la vulnerabilità EternalBlue nel protocollo SMB di Windows per infettare centinaia di migliaia di computer in oltre 150 paesi nel giro di pochi giorni.
Esistono poi worm che si diffondono attraverso reti peer-to-peer, servizi di messaggistica istantanea, protocolli insicuri come Telnet e TFTP, e persino dispositivi fisici come chiavette USB. I worm più moderni combinano più vettori contemporaneamente per massimizzare la velocità di diffusione.
I danni concreti: cosa succede quando un worm colpisce
L’impatto di un worm va ben oltre il singolo dispositivo infetto. Il primo effetto visibile è il consumo massiccio di risorse. La replicazione continua satura la banda di rete, rallenta i sistemi e può arrivare a paralizzare completamente un’infrastruttura. Il Morris Worm del 1988, creato dallo studente Robert T. Morris con l’intento di contare i computer connessi a Internet, finì per infettare circa il 10% delle macchine allora in rete a causa di un errore nel codice di propagazione.
Ma la replica è solo l’inizio. La maggior parte dei worm moderni trasporta un payload, cioè un carico malevolo che esegue azioni dannose sul sistema infetto. Questo payload può installare backdoor per consentire l’accesso remoto ai criminali, distribuire ransomware che cifra i file e chiede un riscatto, oppure trasformare il dispositivo in parte di una botnet controllata a distanza. La tecnica si chiama dropping: il worm funge da veicolo di consegna per altri malware più specifici.
Il panorama attuale conferma che questa minaccia è tutt’altro che superata. Nel marzo 2026, il gruppo TeamPCP ha sfruttato un worm autopropagante battezzato CanisterWorm per compromettere ambienti cloud aziendali, colpendo API Docker esposte, cluster Kubernetes e server Redis. Il worm includeva un componente wiper capace di distruggere dati su larga scala. Esperti del settore, come il cyber strategist Tom Kellermann, avevano previsto già a fine 2025 che il 2026 sarebbe stato l’anno del ritorno dei worm, potenziati dall’intelligenza artificiale per replicarsi e diffondersi con velocità senza precedenti.
Come proteggersi efficacemente dai worm
La difesa contro i worm richiede un approccio multilivello. Il primo passo, spesso il più trascurato, è mantenere aggiornati i sistemi operativi e tutti i software installati. Le patch di sicurezza rilasciate dai produttori chiudono le vulnerabilità che i worm sfruttano per propagarsi. Ritardare un aggiornamento equivale a lasciare una porta aperta.
Un firewall correttamente configurato rappresenta la seconda linea di difesa. Chiudere le porte di rete non necessarie e monitorare il traffico in uscita aiuta a bloccare la propagazione laterale del worm all’interno della rete locale. Le soluzioni di endpoint security moderne, in particolare i sistemi EDR, sono in grado di rilevare comportamenti anomali tipici dei worm, come la scansione massiva di porte o i tentativi ripetuti di connessione verso altri dispositivi.
La sicurezza della posta elettronica merita un’attenzione particolare, dato che l’email resta uno dei vettori principali. Soluzioni di filtraggio avanzato possono intercettare allegati infetti e link malevoli prima che raggiungano la casella di posta dell’utente. A questo si aggiunge la segmentazione della rete, una pratica che limita i danni in caso di infezione isolando i diversi reparti dell’infrastruttura. Se il worm compromette un segmento, non può raggiungere automaticamente gli altri.
Infine, i backup regolari rimangono l’ultima rete di sicurezza. In caso di infezione grave, soprattutto quando il worm trasporta un payload distruttivo come un wiper o un ransomware, disporre di copie aggiornate dei dati permette di ripristinare i sistemi senza cedere a ricatti.
Un nemico che non aspetta il tuo errore
Il worm informatico è una minaccia che sfida la logica con cui molti utenti pensano alla sicurezza. Non serve scaricare un file sospetto, non serve cliccare su un link pericoloso. Basta una vulnerabilità non corretta, una porta di rete aperta, un sistema dimenticato senza aggiornamenti. La propagazione è automatica, silenziosa e potenzialmente devastante. In un’epoca in cui ogni dispositivo è connesso e le reti aziendali diventano sempre più complesse, sottovalutare questa categoria di malware è un lusso che nessuno può permettersi. La vera domanda non è se un worm proverà a colpire la tua rete, ma se troverà la strada spianata quando lo farà.
Domande frequenti sui Worm
Qual è la differenza tra un worm e un trojan?
Il worm informatico si replica e si diffonde autonomamente attraverso la rete senza bisogno di azione umana. Il trojan, invece, si maschera da software legittimo e richiede che l’utente lo installi o lo esegua volontariamente. Un worm punta alla propagazione di massa, mentre il trojan mira a ottenere l’accesso al sistema della vittima tramite inganno. In alcuni attacchi i due malware vengono combinati insieme.
Come capire se il PC è infetto da un worm?
I segnali più comuni di un’infezione da worm informatico sono il rallentamento improvviso del computer, blocchi frequenti del sistema, spazio su disco che diminuisce senza motivo e programmi che si avviano da soli. Altri indicatori includono un traffico di rete anomalo in uscita e avvisi dal firewall. Se noti più di uno di questi sintomi contemporaneamente, esegui subito una scansione antivirus completa.
Come si rimuove un worm dal computer?
Per rimuovere un worm, disconnetti subito il dispositivo da Internet e dalla rete locale per bloccare la propagazione. Esegui poi una scansione completa con un antivirus aggiornato. Se il worm persiste, cerca online lo strumento di rimozione specifico per quella variante. Nei casi più gravi potrebbe essere necessario formattare il sistema e reinstallare il sistema operativo, ripristinando i dati da un backup pulito.
Qual è la differenza tra un worm e un virus informatico?
La differenza fondamentale è nell’autonomia. Un virus ha bisogno di un file ospite a cui agganciarsi e si attiva solo con un’azione dell’utente, come aprire un allegato o eseguire un programma infetto. Un worm informatico, invece, si replica e si diffonde da solo attraverso la rete, senza richiedere alcuna interazione umana. Questo lo rende più veloce e potenzialmente più pericoloso su larga scala.
Un antivirus può proteggere dai worm?
Un antivirus tradizionale può rilevare molti worm conosciuti, ma non è sufficiente da solo. I worm più moderni sfruttano vulnerabilità zero-day e tecniche avanzate per aggirare le difese classiche. Per una protezione efficace è necessario abbinare l’antivirus a un firewall configurato correttamente, aggiornamenti costanti del sistema operativo e soluzioni EDR capaci di rilevare comportamenti anomali come la scansione massiva di porte di rete.
