Net-Worm.Perl.Santy.a

Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети.

Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. Червь написан на языке Perl и имеет размер 4996 байт.

Размножение

Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.

Действие

Червь последовательно проверяет все каталоги на зараженном сайте и перезаписывает своим текстом (см. ниже) файлы с расширениями:

asp
htm
jsp
php
phtm
shtm

Записываемый в подобные файлы текст:

This site is defaced!!!

This site is defaced!!!
NeverEverNoSanity WebWorm generation

Этот текст выводится в браузере при посещении пораженного веб-сайта:

Для защиты непропатченных сайтов виртуального хостинга рекомендуется использовать, Например, такое правило:
   RewriteEngine On
         RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
         RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
         RewriteRule ^.*$               
Ниже исходный код эксплоита, который использует червь для своего распостранения. Код может использоваться системными администраторами для проверки их систем на обнаруженную уязвимость.