Security Lab

Net-Worm.Perl.Santy.a

Net-Worm.Perl.Santy.a

Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети.

Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. Червь написан на языке Perl и имеет размер 4996 байт.

Размножение

Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.

Действие

Червь последовательно проверяет все каталоги на зараженном сайте и перезаписывает своим текстом (см. ниже) файлы с расширениями:

asp
  htm
  jsp
  php
  phtm
  shtm

Записываемый в подобные файлы текст:

This site is defaced!!!
  
  This site is defaced!!!
  NeverEverNoSanity WebWorm generation

Этот текст выводится в браузере при посещении пораженного веб-сайта:

Для защиты непропатченных сайтов виртуального хостинга рекомендуется использовать, Например, такое правило:
     RewriteEngine On
           RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
           RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
           RewriteRule ^.*$               
  
Ниже исходный код эксплоита, который использует червь для своего распостранения. Код может использоваться системными администраторами для проверки их систем на обнаруженную уязвимость.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену