Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
ALERTE CONTAMINATION

Virus
Santy.A

Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise le piratage de sites web.
  

PREVENTION :
Les webmestres ayant installé un forum phpBB doivent le mettre à jour en téléchargeant immédiatement la dernière version sur le site de l'éditeur. Les internautes ne sont pas affectés par ce ver, qui risque simplement de rendre inaccessibles certains sites web.

DESINFECTION :
Les webmestres concernés doivent mettre à jour leur forum (voir Prévention), supprimer les fichiers installés par le ver puis restaurer les pages modifiées ou supprimées par le ver.

TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Forum phpBB version 2.0.10 et inférieures

ALIAS :
Santy.A (F-Secure)
Net-Worm.Perl.Santy.a (Kaspersky)
PERL/Santy.worm (Mc Afee)
Perl/Santy-A (Sophos)
Perl.Santy (Symantec)
WORM_SANTY.A (Trend Micro)

DECOUVERTE :
21/12/2004

DESCRIPTION DETAILLEE :
Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Ce ver est un script Perl qui utilise Google pour trouver des forums et tester leur sécurité en effectuant une recherche sur le nom de la page susceptible d'être vulnérable à une faille injection SQL récemment découverte (viewtopic.php). Si le forum testé n'est pas à jour dans ses correctifs, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace la page d'accueil du site ainsi que tous les fichiers en .asp, .htm, .jsp, .php, .phtm et .shtm par un message "This site is defaced!!! NeverEverNoSanity WebWorm generation [nombre de sites infectés]." en rouge sur fond noir, empêchant les visiteurs d'y accéder :

Le ver se copie sur le serveur infecté sous le nom m1ho2of et peut s'exécuter et rechercher d'autres sites à infecter si l'interpréteur Perl est installé. Les internautes visiteurs du site ainsi modifié ne sont pas affectés par ce ver, qui a en fait pour but d'automatiser le piratage de sites Internet. Plusieurs dizaines de milliers de sites web vulnérables auraient ainsi été "défigurés".

Suite au blocage des requêtes du ver par Google le 22/12/04, Santy.A n'est plus opérant. Le code du ver ayant été publié sur Internet, il faut néanmoins s'attendre à l'apparition de variantes utilisant d'autres moteurs de recherche.

25/12/04 : une variante mineure Santy.B (également appelée Perl.Santy.B) tente d'installer une porte dérobée contrôlée par IRC et d'utiliser les moteurs de recherche AOL et Yahoo pour se propager. AOL bloque désormais les requêtes du virus, empêchant ainsi sa propagation.

25/12/04 : une variante mineure Santy.C (également appelée Perl.Santy.C) tente d'installer une porte dérobée contrôlée par IRC et d'utiliser Google pour se propager, sans succès puisque ses requêtes sont désormais bloquées.

INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu de l'apparition des nouveaux hoax et virus
-> Identifier les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des dizaines de messages infectés envahissent ma boîte aux lettres. Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ : une alerte m'indique qu'un virus a été trouvé dans un message que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment désinfecter le répertoire C:\RESTORE?
-> FAQ : que faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment supprimer un fichier en cours d'utilisation?
-> FAQ : qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com sur les virus

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons