Perl/Santy.A ist in der Scriptsprache Perl programmiert und hat eine Größe von rund 4 kBytes. Der Wurm tauchte zum ersten Mal am 21. Dezember auf und verbreitet sich über eine als „Highlight Vulnerability“ bekannte Sicherheitslücke in der phpBB Software. Der Wurm nutzt die Suchmaschine Google, um andere Server zu finden, welche diese phpBB-Software einsetzen.
Nähere Informationen zur Sicherheitslücke in der phpBB-Software erhalten Sie auf der Webseite des Herstellers:
http://www.phpbb.com/...
Ist der Wurm in der Lage, die Sicherheitslücke auszunutzen, sendet er seinen Code dem betroffenen Server in 20 Bytes großen Zeichenketten. Sollte einer dieser Zeichenketten unterwegs verloren gehen, ist der Wurm nicht mehr ausführbar. Der Wurm schreibt sich mit dem Dateinamen "m1ho2of" auf den betroffenen Server und führt seinen Code mit dem dort liegenden Standard Perl Interpreter aus.
Der Wurm Perl/Santy ersetzt alle Dateien mit den Dateierweiterungen .htm, .phtm, .shtm, .php, .asp, und .jsp mit folgendem Text:
This site is defaced!!!
NeverEverNoSanity WebWorm generation X
H+BEDV empfiehlt, die aktuelle VDF einzuspielen. Die Betreiber der Suchmaschine Google filtern bereits die von diesem Wurm ausgeführten Anfragen aus.
H+BEDV hat bereits reagiert und seit gestern, Donnerstag 21. Dezember, 20:00 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien „AntiVir Personal Edition“ gegen den ungebetenen Besucher über www.free-av.de schützen.
Nähere Informationen zur Sicherheitslücke in der phpBB-Software erhalten Sie auf der Webseite des Herstellers:
http://www.phpbb.com/...
Ist der Wurm in der Lage, die Sicherheitslücke auszunutzen, sendet er seinen Code dem betroffenen Server in 20 Bytes großen Zeichenketten. Sollte einer dieser Zeichenketten unterwegs verloren gehen, ist der Wurm nicht mehr ausführbar. Der Wurm schreibt sich mit dem Dateinamen "m1ho2of" auf den betroffenen Server und führt seinen Code mit dem dort liegenden Standard Perl Interpreter aus.
Der Wurm Perl/Santy ersetzt alle Dateien mit den Dateierweiterungen .htm, .phtm, .shtm, .php, .asp, und .jsp mit folgendem Text:
This site is defaced!!!
NeverEverNoSanity WebWorm generation X
H+BEDV empfiehlt, die aktuelle VDF einzuspielen. Die Betreiber der Suchmaschine Google filtern bereits die von diesem Wurm ausgeführten Anfragen aus.
H+BEDV hat bereits reagiert und seit gestern, Donnerstag 21. Dezember, 20:00 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien „AntiVir Personal Edition“ gegen den ungebetenen Besucher über www.free-av.de schützen.
