23 Декабря 2004 14:12 23 Дек 2004 14:12 |

Поделиться

Вирусная эпидемия пока приостановлена

Для своего распространения через интернет червь использует достаточно необычный метод. Вредоносная программа формирует специальный запрос для поисковой системы Google, в результате чего находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую процедуру активизации уязвимости. В результате обработки данной процедуры атакуемым сервером, червь проникает на сайт и получает управление над ресурсом, после чего процесс работы червя повторяется.

Получив управление, Santy последовательно проверяет все каталоги на зараженном сайте, и замещает найденные файлы с расширениями .htm, .php, .asp, .shtm, .jsp, .phtm, следующим текстом: «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X». В сообщении "X" варьируется в зависимости от количества заражений, который способен выполнить вирус.

Однако, помимо замещения содержимого атакованного сайта, червь не содержит иной деструктивной функциональности и не заражает персональные компьютеры при посещении пораженных ими ресурсов интернета. Во избежание опасности атаки специалисты порекомендовали всем пользователям системы phpBB произвести обновление продукта до версии 2.0.11.

Недавно были также выпущены два обновления интерпретатора языка серверных сценариев PHP — версии 4.3.10 и 5.0.3, заменяющие 4.3.9 и 5.0.2, в которых были найдены критические уязвимости. С их помощью злоумышленники могли захватить контроль над веб-сервером. Всего было найдено 7 ошибок, позволяющих «подвесить» сервер или выполнить на нем произвольный код: две ошибки переполнения целочисленной переменной в командах упаковки веб-страниц (pack и unpack), три уязвимости, связанные с неправильной обработкой путей в функциях «безопасного режима» (safe_mode_exec_dir, safe_mode и realpath), и две уязвимости в модуле работы с памятью (unserialize). Данные уязвимости ставили под угрозу безопасность множества популярных форумов, работающих не только на phpBB, но и на других движках, написанных на PHP: Invision Board, vBulletin и других.

Очередную атаку Santy быстро пресекли специалисты Google. Как только запросы, рассылаемые червем, были блокированы, эпидемия резко пошла на убыль. Стоит отметить, что эта работа была выполнена на редкость оперативно. Издание Silicon.com приводит сообщение специалистов Google, направленном финской компании F-Secure, в котором говорится: «Несмотря на то, что время реагирования на подобные ситуации, составляющее семь часов, не является чрезмерным, мы все-таки полагаем, что можем и должны работать еще лучше. Мы пересмотрим методики работы, чтобы еще более сократить время реагирования при возникновении подобных проблем в будущем».

Сергей Барбашин, Росбанк: Даже самая хорошо защищенная компания может стать жертвой разрушительной кибератаки

безопасность

По данным Silicon.com, поиск, проведенный утром 22 декабря, выдал только 1440 ссылок на сайты, в которых появилась злосчастная страница-объявление. Однако специалисты не считают, что в истории с Santy поставлена точка. "Я думаю, что это недостаточно полное решение проблемы, - заявил в интервью CNews ведущий вирусный аналитик "Лаборатории Касперского" Александр Гостев. - Что может помешать автору червя запустить в Сеть новую версию, которая будет использовать для поиска новых жертв не Google, а любой другой поисковый сервер? Например, MSN или Yahoo? Еще более тревожным является тот факт, что ночью нами был обнаружен новый вариант Santy. Возможно, что код червя попал в руки так называемых "script kiddies", которые будут вносить в него различные изменения - как это было, например, в случае с Lovesan. Мы все помним, что настоящий автор Lovesan так и не был арестован, зато были арестованы несколько "соавторов", которые просто изменили текстовые строки в оригинальном файле червя".

"Крайне сложно оценить реальное число сайтов, которые были заражены червем за последние 24 часа, - продолжает г-н Гостев. - Поисковые системы сообщают только о числе страниц, на которых были обнаружены тексты, создаваемые червем. Многие из сайтов были оперативно вылечены системными администраторами или просто временно отключены. По весьма предварительным оценкам, которые я пытался сделать - заражено червем могло быть несколько сотен сайтов по всему миру. Возможно, что в действительности счет шел на тысячи. Заявленная цифра в 40 тыс. зараженных сайтов взята кем-то с потолка и не соответствует действительности".

По данным экспертов, всего в мире у порядка 1 млн. веб-сайтов имеются дискуссионные форумы, выполненные на базе программного обеспечения с открытым кодом phpBB.

Вирус Santy стал уже не первой вредоносной программой, использующей для своего распространения поисковую систему Google. В июле 2004 года вирус MyDoom, «засыпавший» Google запросами на поиск новых адресов электронной почты, привел к существенному снижению скорости поиска.

Поделиться

Подписаться на новости Короткая ссылка