Совсем недавно PHP/Santy.A.worm, новый сетевой червь, написанный на Perl, появился в Интернете и стал быстро распространяться. Этот вредоносный код использует Google для выполнения массовых поисков серверов, на которых запущено популярное приложение phpBB, используемое для форумов, групп новостей, дневников и т.п. версий, более ранних, чем 2.0.11, без заплатки, защищающей от уязвимости viewtopic.php, которая была обнаружена 15 ноября. Заплатку, закрывающую данную уязвимость можно скачать здесь.
После того как червь обнаруживает подходящий сервер, он использует уязвимость для проверки правильности входных данных при удаленном выполнении функции URLDecode для того, чтобы получить удаленный доступ к веб-серверу. После получения доступа он сканирует различные директории, переписывая файлы с расширениями .asp, .htm, .jsp, php, .phtm и .shtm и устанавливая на месте каждого страницу, выводящую следующее сообщение: “This site is defaced!!! NeveEverNoSanity WebWorm generation X.”
В сообщении, ‘X’ варьируется в зависимости от количества заражений, который способен выполнить вирус.
Этот Интернет-червь влияет только на серверы и распространяется только между ними. Поэтому пользователи форумов не подвергаются опасности. Пользователи также не будут заражены в случае посещения ими страниц, которые были инфицированы червем. Учитывая, что данная уязвимость оперирует на уровне приложений, могут быть затронуты веб-серверы с операционными системами Windows и Linux.
В случае продолжения распространения червя в крупных масштабах присутствует возможность замедления сервисов Интернет и даже их падения.
Учитывая высокую вероятность столкновения с PHP/Santy.A.worm или его новыми верисиями, Panda Software рекомендует принять срочные предупредительные меры и обновить антивирусное программное обеспечение. Клиенты Panda Software уже получили доступ к обновлениям, необходимым для обнаружения и удаления этого вредоносного кода из их систем.
Также клиенты Panda Software имеют доступ к обновлениям, устанавливающим новое решение — технологию TruPrevent в дополнение к их антивирусной защите, которое осуществляет превентивные действия против этого червя и прочих новых вредоносных кодов. Для пользователей других существующих антивирусных продуктов, решением является Panda TruPrevent Corporate для серверов и рабочих станций. Он совместим с другими продуктами, дополняет их, создавая вторую линию защиты вкупе с превентивной защитой, которая продолжает работать даже в то время, как антивирус обновляется, тем самым, уменьшая риск заражения. Больше информации по технологии TruPrevent вы можете найти здесь.
Для бесплатного обнаружения и обезвреживания вирусов пользователи могут прибегнуть к услугам Panda ActiveScan, онлайнового антивирусного решения, которое доступно на http://www.viruslab.ru.
Более подробную информацию по червям PHP/Santy.A.worm можно найти в Вирусной Энциклопедии Panda Software.