News: tutti i segreti di Internet

Santy, un nuovo web worm che colpisce i forums phpBB

ale

22 Dicembre 04 @ 14:30 pm

Un nuovo web worm sta mietendo numerose vittime sul web, sfrutta Google e colpisce i forums di tutto il mondo che girano su una versione vulnerabile di phpBB.
Santy, questo il nome del worm, sfrutta la vulnerabilità svelata la scorsa settimana nei software che usano PHP. In particolare il verme colpisce phpBB, popolare bulletin board.

Non ci sono pericoli per gli utenti che si collegano ai siti, ma questi ultimi se infetti risultano defacciati. L'infezione prevede la sostituzione di tutti i files .htm .php .asp .shtm .jsp .phtm con un semplice codice testuale: "This site is defaced!!! NeverEverNoSanity WebWorm generation X", dove X rappresenta un numero identificativo della generazione di discendenza dal worm originario. Il worm può diffondersi molto velocemente nei circa 6 milioni siti che usano phpBB.

Santy è particolare perchè unisce due delle tecniche più usate dagli hacker di tutto il mondo: usare la query di google per scovare siti vulnerabili (attraverso il file viewtopic.php), e sfruttare le vulnerabilità "calde" e diffuse. Anche Google sta analizzando il problema e sta pensando eventualmente di filtrare la query incriminata a monte.

A tutti gli utenti del forum phpbb2 è raccomandato l'update alla versione 2.0.11.

Links Correlati:
Secunia Advisory SA13239
PERL/Santy.worm @ Mcafee

News tratta da Azpoint.net - Tweakness.net

News correlate a "Santy, un nuovo web worm che colpisce i forums phpBB":

[05/05/10] Palevo.DP, il worm che attacca la messaggistica istantanea
[23/02/07] Kaspersky Lab informa sulla pericolosità di Zelathin.o
[07/10/05] Web, è ricomparso il virus Sober
[05/02/05] Trend Micro: allarme per Worm_bropia.f
[27/12/04] Google blocca diffusione Santy, worm per Forums phpBB

Lobby e Peer-to-Peer

Salento: scheletro di 2.300 anni fa

Invia a un amico

Stampa Tienimi aggiornato

Altre news: Virus

Un commento a "Santy, un nuovo web worm che colpisce i forums phpBB":

ale il 23 Dicembre 04 @ 10:40 am

Santy, il worm che colpisce phpBB
Il weblog di F-secure è stato il primo a dare l′allarme. Un nuovo worm sta colpendo milioni di siti. Questa volta infatti non sono i computer degli utenti a essere il bersaglio dell′attacco ma i server che ospitano forum basati sul software opensource phpBB.

Sfruttando delle vulnerabilità di phpBB, Santy (questo il nome dato al worm) riesce a conquistare il controllo dei siti vittima, attua un defacement sostituendo all′home page dei siti colpiti questo messaggio: "This site is defaced!!!" NeverEverNoSanity.

La particolarità di Santy è che per individuare i bersagli da colpire utilizza Google. Inserendo nel campo di ricerca del polare search engine inurl:phpbb inurl:viewtopic il worm ottiene gli indirizzi dei siti da colpire e procede all′attacco.

Per dare un′idea dei siti defacciati fino ad ora i programmatori della F-secure hanno utilizzato MSN Search Engine, il motore di ricerca Microsoft. Ecco il risultato della ricerca effettuata utilizzando la frase "This site is defaced!!!" NeverEverNoSanity.

Matteo Campofiorito - Hardwaremax.it