Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Perl/Santy.C. Infecta sitios construidos con PhPBB
 
VSantivirus No. 1633 Año 8, domingo 26 de diciembre de 2004

Perl/Santy.C. Infecta sitios construidos con PhPBB
http://www.vsantivirus.com/santy-c.htm

Nombre: Perl/Santy.C
Nombre NOD32: Perl/Santy.C
Tipo: Gusano de PHP
Alias: Santy.C, Perl/Santy.C, Net-Worm.Perl.Santy.c, Perl.Santy, Perl/Santy.Worm, PERL/Santy.worm, PHP/Santy.worm, WORM_SANTY.C, Perl/Santy-C, Perl.Sanity, PHP/Santy.C.worm
Fecha: 25/dic/04
Plataforma: Unix, Linux, Windows
Tamaño: 4 Kbytes

Este gusano se propaga utilizando una vulnerabilidad en PhPBB, un conocido paquete PhP de código abierto, ampliamente utilizado para la creación de foros y sitios Web.

Son vulnerables todas las versiones PhPBB anteriores a la 2.0.11.

El gusano está escrito en Perl, y tiene un tamaño de 4 a 5 Kb.

Al ejecutarse, hace una búsqueda avanzada con varios parámetros, del siguiente archivo en Google, con lo que obtiene una lista de sitios que ejecutan versiones de PhPBB vulnerables:

"viewtopic.php"

El archivo "viewtopic.php" está relacionado con la vulnerabilidad explotada.

Luego, el gusano envía una solicitud a todos los sitios encontrados, la cuál contiene el exploit para esta vulnerabilidad.

Cuando el servidor bajo ataque procesa esta solicitud, se ejecuta el exploit y el gusano penetra en el sitio y toma el control. Este proceso es luego repetido en cada servidor infectado.

Posibles nombres de los scripts:

adfkgnnodfijg
bot
bot.txt
bot.txt.1
dry.scp
php.txt
spy.gif
spybot.txt
ssh.a
terrorbot.txt
terrorbot.txt.1
unbot.txt
unbot.txt.1
unbot.txt.2
unbot.txt.3
unworm.txt
unworm.txt.1
unworm.txt.2
unworm.txt.3
worm.txt
worm.txt.1
worm1.txt

El gusano descarga y ejecuta otro código desde Internet, posiblemente un IRC bot (un programa preparado para ejecutar ciertos comandos de forma remota).

El gusano no posee otra forma de propagación, y solo afecta a los sitios que se ejecutan con la versión de PhPBB vulnerable.

Los usuarios que visiten estos sitios, no sufren ninguna clase de daño en sus computadoras.

Los servidores de los sitios afectados, pueden sufrir una perdida de rendimiento.

Los administradores de los sitios vulnerables, deben descargar e instalar del siguiente enlace, la versión 2.0.11 de PhPBB, que no es afectada por el exploit que utiliza este gusano:

http://www.phpbb.com/downloads.php

Las páginas sobrescritas deben ser recuperadas desde un respaldo limpio.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS