Net-Worm.Perl.Santy.a
[ 21.12.2004 17:31, обновлено 21.12.2004 18:21, GMT +03:00, Москва ]
Опасность : средняя

«Лаборатория Касперского» предупреждает о появлении в интернете нового сетевого червя, распространяющегося через уязвимость в движке для создания форумов phpBB версий ниже 2.0.11.

Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.

В результате воздействия червя все файлы с приводимыми ниже расширениями на пораженном веб-сайте оказываются замененными на текст (см. ниже).

asp
htm
jsp
php
phtm
shtm

Записываемый в подобные файлы текст:

This site is defaced!!!

This site is defaced!!!
NeverEverNoSanity WebWorm generation

В настоящее время, согласно результатам поиска сайтов с данными строками через поисковую систему MSN ( http://beta.search.msn.com/results.aspx ... &FORM=PERE ) можно констатировать полномасштабную эпидемию в интернете.

Следует отметить, что для рядовых пользователей интернета данный червь не опасен, поскольку он никак не влияет на персональные компьютеры при посещении какого-либо зараженного веб-сайта.

Источник: http://www.viruslist.com/ru/alert.html?id=146468257

Червь Santy вызвал панику среди владельцев сайтов

Эпидемия червя Santy так напугала некоторых владельцев сайтов, что у них началась настоящая паника. Они приняли заражение за хакерскую атаку и начали фантазировать, кому же понадобилось их взламывать.

Как известно, во вторник в интернете началась массовая эпидемия червя PHP/Santy.A.worm. Он взламывал сайты, на которых было запущено популярное приложение phpBB версий, более ранних чем 2.0.11. Червь проникал только на непропатченные серверы, используя уязвимость, которая была обнаружена 15 ноября, и заменял файлы с расширениями .htm, .php, .asp, .shtm, .jsp, и .phtm. Для поиска новых «жертв» червь отправлял запросы на Google.

Пока Google не начал отфильтровывать характерные запросы червя, тот успел заразить около 40.000 сайтов. Среди зараженных оказалось много российских ресурсов. Но здесь червя ждал сюрприз — его просто не узнали.

Некоторые владельцы сайтов восприняли ситуацию явно неадекватно. Они мало того что не узнали PHP/Santy.A.worm, но и начали громко вопить, что их взломали хакеры, потому что их замечательные сайты якобы кому-то мешают, занимают видную роль на интернет-пространстве и т.д.

Источник: http://www.securitylab.ru/50877.html