phpBBの脆弱性を利用した新しいワームが、サイトを破壊し感染する
セキュリティ製品の開発元であるカスペルスキーラブス社は、新たなワームを検知した。「Net-Worm.Perl.Santy.a」このワームはphpBBの脆弱性を利用し、ウェブサイトのサーバーに感染する。phpBBは、インターネット・フォーラムでよく使われたパッケージである。
Santy.aは急速に蔓延し、流行しました。しかしながら、これは直接一般のユーザには影響しません。このワームはウェブサイトを感染させますが、それはこれらのサイトを見たコンピューターには感染しません。
Santy.aは、ある意味斬新なプログラムである。このワームは、GoogleでphpBBの脆弱性が有効なサイトを検索し、検索結果ページからリストを作成する。その後、ワームは脆弱性に対して攻撃を行う。一旦攻撃されたサーバーがリクエストを処理した際、ワームは脆弱性から主導権を取得し、サイトに侵入する。その後は、Googleの検索からまた繰り返していく。
一度ワームがサイトの主導権を得た場合、ワームはサイト上のディレクトリを全てチェックする。拡張子のhtm、php, .asp、shtm、jsp、phtmのファイルは全て次の内容の文章に上書きされる。
This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation
このワームは、サイトを破壊しこの文章を掲示する以外は、特に破壊行動は行わない。ユーザーが感染したサーバーのサイトを見たとしても、このワームには感染しない。カスペルスキーラブスは、サイトが損なわれるのを防ぐためにphpBBのバージョン2.0.11にアップグレードすることをお勧めする。
カスペルスキーのデータベースはこのワームに対して対応済みである。Santy.aに対する情報は Viruslist.com で確認が行える。
詳細:
