 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 21 Dicembre 2004 |
| NOME: Santy |
| ALIAS: Net-Worm.Perl.Santy.a |
Descrizione Breve Santy è stato rilevato il 21 Dicembre 2004. Il Worm, per diffondersi, utilizza una vulnerabilità del popolare software phpBB e si avvale della ricerca di Google per trovare server vulnerabili. Il Worm infetta solo i Web Server e non i computer degli utenti finali. Google ha cominciato a filtrare le richieste fatte dal Worm in data 22 dicembre 2004, per arrestarne la rapida diffusione. Descrizione Dettagliata Il Worm è scritto in linguaggio Perl. Una volta eseguito, Santy utilizza Google per trovare host che utilizzano il software phpBB e cerca URL che contengono la stringa "viewtopic.php". Alla fine della ricerca il worm analizza le pagine trovate e sfrutta la vulnerabilità nel software phpBB. Questa vulnerabilità, conosciuta come Highlight Vulnerability, permette a Santy di eseguire sul Server infetto programmi arbitrari. Maggiori informazioni riguardo alla vulnerabilità sono disponibili presso il sito phpBB al seguente link: http://www.phpbb.com/phpBB/viewtopic.php?t=240513 Se il worm trova un host vulnerabile cerca di trasferirsi tramite pacchetti con dimensione 20-byte. Se alcuni pacchetti vengono persi, si avrà un malfunzionamento sull' host vittima. Santy viene copiato nel file "m1ho2of" del computer infetto. Una volta avvenuto il trasferimento il worm lancia l'exploit ed esegue il codice con l'interprete Perl di default. Santy contiene inoltre un contatore che si incrementa ogni volta che il codice viene eseguito. Se il numero di generazioni è superiore a tre il worm eseguirà il suo payload. Il payload tenta di sostituire tutti i file con le seguenti estensioni "htm", "php", "asp", "shtm", "jsp" e "phtm" con una pagina HTML contenente il seguente testo: This site is defaced!!! ...dove il valore della X aumenta ad ogni infezione Le pagine sostituite avranno il seguente aspetto: 
Rilevazione Santy.a viene rilevato con il seguente aggiornamento di F-Secure Anti-Virus: [FSAV_Database_Version] Version=2004-12-21_03 Dettagli Tecnici: Katrin Tocheva, Tzvetan Chaliavski, Sami Rautiainen, Ero Carrera 21 Dicembre 2004; Descrizione: Mikko Hypponen, 21-22 Dicembre 2004; F-Secure Corporation |