Benchmark Redakcija
SINGI Inzenjering, kao regionalni centar antivirusne zaštite,
obavešten je od strane svog partnera, kompanije Kaspersky Labs, o njihovom jučerašnjem
otkriću novog internet crva koji je poneo ime Net-Worm.Perl.Santy.a.
Ovaj crv je pisan u PERL jeziku i ima veličinu od samo 4966 bajta, a koristi
ranjivost u popularnom phpBB paketu za kreiranje Internet foruma. Santy.a se
širi ogromnom brzinom i zaraza je već dobila dimenzije epidemije. Srećna okolnost
je da ovaj crv ne napada krajnje korisnike i njihove mašine, već samo web stranice,
a korisnik koji gleda zarazenu web stranicu neće biti inficiran ovim crvom.
Santy.a je doneo sa sobom i jednu novinu u odnosu na dosadašnje crve – on kreira
specijalno formulisan
Google zahtev za pretragom, nakon čega dobija listu sajtova koji koriste ranjivu
verziju phpBB. Nakon toga, na te sajtove šalje zahtev koji u sebi ima specijalni
protokol koji iskorišćava otkrivenu ranjivost na tim sajtovima i tako preuzima
kontrolu nad resursima servera. Procedura se zatim ponavlja, tako da se crv
širi eksponencijalnom brzinom na ranjive servere. Pored toga, kada crv preuzme
kontrolu nad sajtom, on vrši skeniranje direktorijuma zarazenog sajta i u sve
fajlove sa ekstenzijama .htm, .php, .asp, .shtm, .jsp i phtm upisuje sledeći
tekst: "This site is defaced!!! This site is defaced!!! NeverEverNoSanity
WebWormgeneration". Osim što na taj način čini forume neupotrebljivim,
crv ne vrši nikakvu dodatnu štetnu aktivnost.
Zbog svega ovoga, SINGI svim korisnicima phpBB-a predlaze prelazak na verziju
2.0.11 kako bi bili zaštićeni od ovog crva.Pored toga, Kaspersky Labs je još
juče odmah po otkriću ovog crva napravio vanredni hitni apdejt baza, tako da
su korisnici Kaspersky Antivirus paketa koji su osvezili svoje baze definicija
virusa bezbedni.
Izvor: Singi Inženjering
