“Лаборатория Касперского” и Panda Software сообщили об обнаружении нового опасного Интернет-червя Net-Worm.Perl.Santy.a, написанного на языке Perl. Он заражает Web-сайты, используя для размножения уязвимость в приложении phpBB (версий, более ранних, чем 2.0.11), предназначенном для организации форумов, групп новостей, дневников и т. п*.
В настоящее время распространение данной программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети. К счастью, данная эпидемия не затрагивает пользователей персональных компьютеров — поражая Web-сайты, червь не представляет опасности для посетителей зараженных ресурсов.
Для своего распространения через Интернет червь использует достаточно необычный метод: он формирует специальный запрос для поисковой системы Google, в результате чего находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую процедуру активизации уязвимости. В результате обработки данной процедуры атакуемым сервером, червь проникает на сайт и получает управление над ресурсом, после чего процесс повторяется.
Получив управление, Net-Worm.Perl.Santy.a последовательно проверяет все каталоги на зараженном сайте и замещает содержимое найденных там файлов (с расширениями .htm, .php, .asp, .shtm, .jsp, .phtm) следующим текстом: “This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation”.
Помимо замещения содержимого атакованного сайта вредоносный код не содержит иной деструктивной функциональности и не заражает персональные компьютеры при посещении пораженных им ресурсов Интернета. Во избежание опасности атаки червем Net-Worm.Perl.Santy.a всем пользователям системы phpBB рекомендуется произвести обновление этого продукта до версии 2.0.11. Заплатку, закрывающую данную уязвимость можно скачать с сайта: www.phpbb.com/phpBB/viewtopic.php?t=240513.
*Данная уязвимость была обнаружена 15 ноября.
В. М.