23.12.2004 - Panda Software предупреждает: новый сетевой червь PHP/Santy.A.worm атакует уязвимые phpBB серверы, стирая все их содержимое

- Конференции, форумы, группы новостей и прочие подобные сообщества подвергаются угрозе заражения новым сетевым вирусом, который использует Google для того, чтобы находить серверы phpBB с известной уязвимостью, проникать в них и стирать все содержимое.

- Червь не заражает участников форумов, если они не обладают сервером с подобными характеристиками на своем компьютере.

- Он заменяет все asp, htm, isp, php, phtm и shtm страницы HTML кодом, отображающим сообщение “This site is defaced!!! NeveEverNoSanity WebWorm generation X.”

- Вероятнее всего, в следующие несколько часов он будет продолжать распространяться и услуги Интернет будут замедлены.

Совсем недавно PHP/Santy.A.worm, новый сетевой червь, написанный на Perl, появился в Интернете и стал быстро распространяться. Этот вредоносный код использует Google для выполнения массовых поисков серверов, на которых запущено популярное приложение phpBB, используемое для форумов, групп новостей, дневников и т.п. версий, более ранних, чем 2.0.11, без заплатки, защищающей от уязвимости viewtopic.php, которая была обнаружена 15 ноября. Заплатку, закрывающую данную уязвимость можно скачать здесь: http://www.phpbb.com/phpBB/viewtopic.php?t=240513.

После того как червь обнаруживает подходящий сервер, он использует уязвимость для проверки правильности входных данных при удаленном выполнении функции URLDecode для того, чтобы получить удаленный доступ к веб-серверу. После получения доступа он сканирует различные директории, переписывая файлы с расширениями .asp, .htm, .jsp, php, .phtm и .shtm и устанавливая на месте каждого страницу, выводящую следующее сообщение:

“This site is defaced!!! NeveEverNoSanity WebWorm generation X.”

В сообщении, ‘X’ варьируется в зависимости от количества заражений, который способен выполнить вирус.

Этот Интернет-червь влияет только на серверы и распространяется только между ними. Поэтому пользователи форумов не подвергаются опасности. Пользователи также не будут заражены в случае посещения ими страниц, которые были инфицированы червем. Учитывая, что данная уязвимость оперирует на уровне приложений, могут быть затронуты веб-серверы с операционными системами Windows и Linux.

В случае продолжения распространения червя в крупных масштабах присутствует возможность замедления сервисов Интернет и даже их падения.

Учитывая высокую вероятность столкновения с PHP/Santy.A.worm или его новыми верисиями, Panda Software рекомендует принять срочные предупредительные меры и обновить антивирусное программное обеспечение. Клиенты Panda Software уже получили доступ к обновлениям, необходимым для обнаружения и удаления этого вредоносного кода из их систем.

Также клиенты Panda Software имеют доступ к обновлениям, устанавливающим новое решение - технологию TruPrevent в дополнение к их антивирусной защите, которое осуществляет превентивные действия против этого червя и прочих новых вредоносных кодов. Для пользователей других существующих антивирусных продуктов, решением является Panda TruPrevent Corporate для серверов и рабочих станций. Он совместим с другими продуктами, дополняет их, создавая вторую линию защиты вкупе с превентивной защитой, которая продолжает работать даже в то время, как антивирус обновляется, тем самым, уменьшая риск заражения. Больше информации по технологии TruPrevent Вы можете найти здесь: http://www.viruslab.ru/truprevent.

Для бесплатного обнаружения и обезвреживания вирусов пользователи могут прибегнуть к услугам Panda ActiveScan, онлайнового антивирусного решения, которое доступно на http://www.viruslab.ru.

Более подробную информацию по червям PHP/Santy.A.worm можно найти в Вирусной Энциклопедии Panda Software: http://www.viruslab.ru

О PandaLabs

Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, исчерпывающее сканирование, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

По материалам пресс-центра.

Тел.: (3262) 45-29-56, 45-43-87

E-mail: ounbtaraz@narod.ru

Copyright (c) by ОУНБ им.Ш.Уалиханова