Совсем недавно PHP/Santy.A.worm, новый сетевой червь, написанный на Perl, появился в Интернете и стал быстро распространяться. Этот вредоносный код использует Google для выполнения массовых поисков серверов, на которых запущено популярное приложение phpBB, используемое для форумов, групп новостей, дневников и т.п. версий, более ранних, чем 2.0.11, без заплатки, защищающей от уязвимости viewtopic.php, которая была обнаружена 15 ноября.Заплатку, закрывающую данную уязвимость можно скачать здесь: http://www.phpbb.com/phpBB/viewtopic.php?t=240513.
После того как червь обнаруживает подходящий сервер, он использует уязвимость для проверки правильности входных данных при удаленном выполнении функции URLDecode для того, чтобы получить удаленный доступ к веб-серверу. После получения доступа он сканирует различные директории, переписывая файлы с расширениями .asp, .htm, .jsp, php, .phtm и .shtm и устанавливая на месте каждого страницу, выводящую следующее сообщение:
“This site is defaced!!! NeveEverNoSanity WebWorm generation X.”
В сообщении, ‘X’ варьируется в зависимости от количества заражений, который способен выполнить вирус.
Этот Интернет-червь влияет только на серверы и распространяется только между ними. Поэтому пользователи форумов не подвергаются опасности. Пользователи также не будут заражены в случае посещения ими страниц, которые были инфицированы червем. Учитывая, что данная уязвимость оперирует на уровне приложений, могут быть затронуты веб-серверы с операционными системами Windows и Linux.
В случае продолжения распространения червя в крупных масштабах присутствует возможность замедления сервисов Интернет и даже их падения.
Учитывая высокую вероятность столкновения с PHP/Santy.A.worm или его новыми верисиями, Panda Software рекомендует принять срочные предупредительные меры и обновить антивирусное программное обеспечение. Клиенты Panda Software уже получили доступ к обновлениям, необходимым для обнаружения и удаления этого вредоносного кода из их систем.