Santy.a用Google找目标 篡改网络公告网站
作者: ZDNet China
CNETNews.com.cn 2004-12-22 08:59 AM
CNET科技资讯网12月22日国际报道 太平洋标准时间本周二,安全专业人士表示,一种互联网蠕虫病毒正在使用了存在缺陷的phpBB 软件的网络公告板网站间传播。该蠕虫病毒利用Google搜索引擎发现可供感染的网站。
反病毒厂商Kaspersky 公司在一份声明中称,该蠕虫病毒利用了上周公布的PHP 软件中的一处缺陷。但它的攻击对象不是运行PHP 软件的网站,而是运行一种具体的PHP 软件━━phpBB 的网站,另外,它还利用Google搜索引擎发现存在缺陷的网站。
目前约有40000 个网站受到了感染。利用微软公司的搜索引擎搜索“NeverEverNoSanity ”,返回了近39000 个搜索结果。Kaspersky 在本周二发表的一份声明中说,Santy.a 正在迅速传播,已经成为一场瘟疫。但是,它对普通用户没有直接影响,尽管它会感染网络公告板网站,但不会感染访问这些网站的计算机。
Santy.a 向Google发送特定的搜索请求,从而获得一个可供感染网站的清单。然后,它利用一个经过特别设计的PHP 请求向这些网站传播。
Santy.a 是利用Google作为攻击工具的一种最新恶意代码,它可能还是第一种利用Google寻找攻击目标的恶意代码。通过使用Google对 “Powered by phpBB”进行搜索发现,约有600 万个网站在运行phpBB 软件。互联网风暴中心的技术总监约翰尼斯说,全球有大量的运行 PHP 软件的网络公告板。
在感染一个网站后,Santy.a 就会通过Google搜索其它运行phpBB 的网站,然后试图感染发现的网站。
据Kaspersky 称,感染网站后,Santy.a 会删除服务器上所有的HTML、PHP 、ASP 、JSP 、SHTM文件,并使用“This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X ”覆盖这些文件。其中的“X ”是一个数字,表示当前的Santy.a 实例与最初的Santy.a 相比属于第几代。利用MSN 的搜索引擎已经发现第24代的Santy.a。
Google 没有对Santy.a 发表评论,但该公司的一位发言人说,他们已经看到了相关资料,正在对这一问题进行调查。Google的态度令一些反病毒专家感到不满,他们认为,通过封杀Santy.a 对其搜索引擎的搜索,这一问题就能够得到解决。反病毒厂商F-Secure公司的调研主管米科表示,我们已经掌握了应当封杀的搜索关键词,封杀对该关键词的搜索不会有什么大的影响。
“phpBB 项目”组织在其网站上建议称,使用存在缺陷的PHP 软件的网站应当升级使用的软件。
作者: ZDNet China
CNETNews.com.cn 2004-12-22 08:59 AM
CNET科技资讯网12月22日国际报道 太平洋标准时间本周二,安全专业人士表示,一种互联网蠕虫病毒正在使用了存在缺陷的phpBB 软件的网络公告板网站间传播。该蠕虫病毒利用Google搜索引擎发现可供感染的网站。
反病毒厂商Kaspersky 公司在一份声明中称,该蠕虫病毒利用了上周公布的PHP 软件中的一处缺陷。但它的攻击对象不是运行PHP 软件的网站,而是运行一种具体的PHP 软件━━phpBB 的网站,另外,它还利用Google搜索引擎发现存在缺陷的网站。
目前约有40000 个网站受到了感染。利用微软公司的搜索引擎搜索“NeverEverNoSanity ”,返回了近39000 个搜索结果。Kaspersky 在本周二发表的一份声明中说,Santy.a 正在迅速传播,已经成为一场瘟疫。但是,它对普通用户没有直接影响,尽管它会感染网络公告板网站,但不会感染访问这些网站的计算机。
Santy.a 向Google发送特定的搜索请求,从而获得一个可供感染网站的清单。然后,它利用一个经过特别设计的PHP 请求向这些网站传播。
Santy.a 是利用Google作为攻击工具的一种最新恶意代码,它可能还是第一种利用Google寻找攻击目标的恶意代码。通过使用Google对 “Powered by phpBB”进行搜索发现,约有600 万个网站在运行phpBB 软件。互联网风暴中心的技术总监约翰尼斯说,全球有大量的运行 PHP 软件的网络公告板。
在感染一个网站后,Santy.a 就会通过Google搜索其它运行phpBB 的网站,然后试图感染发现的网站。
据Kaspersky 称,感染网站后,Santy.a 会删除服务器上所有的HTML、PHP 、ASP 、JSP 、SHTM文件,并使用“This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X ”覆盖这些文件。其中的“X ”是一个数字,表示当前的Santy.a 实例与最初的Santy.a 相比属于第几代。利用MSN 的搜索引擎已经发现第24代的Santy.a。
Google 没有对Santy.a 发表评论,但该公司的一位发言人说,他们已经看到了相关资料,正在对这一问题进行调查。Google的态度令一些反病毒专家感到不满,他们认为,通过封杀Santy.a 对其搜索引擎的搜索,这一问题就能够得到解决。反病毒厂商F-Secure公司的调研主管米科表示,我们已经掌握了应当封杀的搜索关键词,封杀对该关键词的搜索不会有什么大的影响。
“phpBB 项目”组织在其网站上建议称,使用存在缺陷的PHP 软件的网站应当升级使用的软件。
回复Comments
作者:
{commentrecontent}