Santi (gusano)

Santy  es un gusano de red escrito en  el lenguaje de secuencias de comandos Perl y utiliza una vulnerabilidad presente en  las versiones del foro de Internet phpBB anteriores a la 2.0.11.

El virus formó una consulta para el motor de búsqueda de Google que contenía la cadena "Powered by phpBB" y así recibió las direcciones de los foros atacados . Luego, habiendo formado una solicitud incorrecta al archivo viewtopic.php, pudo ejecutar código arbitrario en el servidor y reemplazó el contenido de todos los archivos con la extensión asp , htm , jsp , php , phtm , shtm con “¡Este sitio está desfigurado! ! ¡¡¡Este sitio está desfigurado!!! NeverEverNoSanity WebWorm generación X", donde X es un número que indica la generación del gusano.

Literalmente en un día desde su aparición el 20 de diciembre de 2004 , el gusano atacó con éxito una gran cantidad de sitios (según diversas estimaciones, de 30 a 40 mil). El segundo día , Google no buscó la frase "Powered by phpBB". Después de eso, aparecieron modificaciones del gusano, utilizando otros motores de búsqueda .

Cabe señalar que la vulnerabilidad se descubrió en noviembre de 2004, se lanzó una nueva versión con correcciones un mes antes del ataque, el 21 de noviembre de 2004 [1] , pero una gran cantidad de sitios permanecieron sin actualizaciones.

Después de este incidente , se agregó la verificación automática de nuevas versiones al panel de administración de phpBB .

También es interesante que se haya lanzado un gusano que, utilizando la misma vulnerabilidad, actualiza el código fuente de phpBB a una nueva versión y se deshace de él [2] .

Notas

1. ↑ Actualización de la versión phpBB 2.0.11 . Consultado el 17 de febrero de 2006. Archivado desde el original el 14 de febrero de 2006. (indefinido)
2. ↑ El gusano Anti-Santy se propaga . Consultado el 17 de febrero de 2006. Archivado desde el original el 13 de octubre de 2008. (indefinido)

Enlaces

• Descripción del gusano en el sitio web Securelist.com de Kaspersky Lab