Net-Worm.Perl.Santy.a
Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети.
Размножение
Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.
Действие
Червь последовательно проверяет все каталоги на зараженном сайте и перезаписывает своим текстом (см. ниже) файлы с расширениями:
asp htm jsp php phtm shtm
Записываемый в подобные файлы текст:
This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation
Этот текст выводится в браузере при посещении пораженного веб-сайта:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
RewriteRule ^.*$
Ниже исходный код эксплоита, который использует червь для своего распостранения. Код может использоваться системными администраторами для проверки их систем на обнаруженную уязвимость.
Ваша приватность умирает красиво, но мы можем спасти её.