Santy.A est un ver qui cible uniquement les sites web hébergeant
un forum phpBB. Si ce dernier n'est pas à jour, le ver
infecte le site web en exploitant une vulnérabilité
critique récemment divulguée, puis remplace sa page d'accueil
par un message "This site is defaced!!!" en rouge
sur fond noir, empêchant ses visiteurs d'y accéder.
Les internautes visiteurs ne sont pas affectés par ce ver, qui
automatise le piratage de sites web.
PREVENTION :
Les webmestres ayant installé un forum phpBB
doivent le mettre à jour en téléchargeant
immédiatement la dernière version sur
le site de l'éditeur. Les internautes ne
sont pas affectés par ce ver, qui risque simplement
de rendre inaccessibles certains sites web.
DESINFECTION :
Les webmestres concernés doivent mettre à
jour leur forum (voir Prévention), supprimer
les fichiers installés par le ver puis restaurer
les pages modifiées ou supprimées par
le ver.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Forum phpBB version 2.0.10 et inférieures
ALIAS :
Santy.A (F-Secure)
Net-Worm.Perl.Santy.a (Kaspersky)
PERL/Santy.worm (Mc Afee)
Perl/Santy-A (Sophos)
Perl.Santy (Symantec)
WORM_SANTY.A (Trend Micro)
DECOUVERTE :
21/12/2004
DESCRIPTION DETAILLEE :
Santy.A est un ver qui cible uniquement les sites web
hébergeant un forum phpBB. Ce ver est un script Perl
qui utilise Google pour trouver des forums et tester leur
sécurité en effectuant une recherche sur le
nom de la page susceptible d'être vulnérable
à une faille injection SQL récemment découverte
(viewtopic.php). Si le forum testé n'est pas à
jour dans ses correctifs, le ver infecte le site web en exploitant
une vulnérabilité critique récemment
divulguée, puis remplace la page d'accueil du site ainsi que
tous les fichiers en .asp, .htm, .jsp, .php, .phtm et .shtm
par un message "This site is defaced!!! NeverEverNoSanity
WebWorm generation [nombre de sites infectés]."
en rouge sur fond noir, empêchant les visiteurs d'y
accéder :
Le ver se copie sur le serveur infecté sous le nom
m1ho2of et peut s'exécuter et rechercher d'autres sites
à infecter si l'interpréteur Perl est installé.
Les internautes visiteurs du site ainsi modifié ne
sont pas affectés par ce ver, qui a en fait pour but d'automatiser
le piratage de sites Internet. Plusieurs dizaines de milliers
de sites web vulnérables auraient ainsi été
"défigurés".
Suite au blocage des requêtes du ver par Google le
22/12/04, Santy.A n'est plus opérant. Le code du ver
ayant été publié sur Internet, il faut
néanmoins s'attendre à l'apparition de variantes
utilisant d'autres moteurs de recherche.
25/12/04 : une variante mineure Santy.B (également
appelée Perl.Santy.B) tente d'installer une porte dérobée
contrôlée par IRC et d'utiliser les moteurs de
recherche AOL et Yahoo pour se propager. AOL bloque désormais
les requêtes du virus, empêchant ainsi sa propagation.
25/12/04 : une variante mineure Santy.C (également
appelée Perl.Santy.C) tente d'installer une porte dérobée
contrôlée par IRC et d'utiliser Google pour se
propager, sans succès puisque ses requêtes sont
désormais bloquées.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|