Santy-ellenes féregvírus terjed az interneten

Az F-Secure biztonsági cég közleménye szerint egy új féregvírus bukkant fel a világhálón, amelynek célja a Santy néven ismert hasonló kártevő továbbterjedésének megakadályozása, és a vírus működésének lehetetlenné tétele.

A Santy-ellenes féreg célpontjához hasonlóan a Google keresőjén keresztül kutatja fel a sebezhetőnek bizonyult PHP Bulletin Board (phpBB) oldalakat, de a vírus kizárólag azon oldalakat módosítja, amelyek már áldozatul estek a Santy féregnek. A vírus - a szakemberek meglepetésére - nemcsak egyszerűen módosítja a támadhatónak bizonyult weboldalakat, hanem egy biztonsági rés befoltozásával egészíti ki az oldalak védelmét, amely megakadályozza a Santy féreg tevékenységét.

A Santy az ünnepek előtti héten bukkant fel, és mindössze két nap alatt 40 ezer oldalt módosított. Bár a Google néhány nap elteltével kijavította a keresőmotor hibáját, a vírus terjedését nem tudták megakadályozni, mivel az új variánsok már az America Online és a Yahoo keresőjét használják.


Mikko Hyppönen, az F-Secure igazgatója azonban arra figyelmeztetett, hogy bár a vírus jótékony hatásúnak tűnik, nem kizárt, hogy a háttérben egyéb műveleteket is elvégez, amelyek tovább gyengíthetik az érintett weboldalakat, és utat nyithatnak egy új féregvírus elterjedésének. "Nem tudjuk megmondani, hogy az új féreg által alkalmazott javítás mennyire hatásos. Ha egy féreg megfertőz bizonyos weboldalakat, akaratlanul is óriási forgalmat okozhat, ezért nem hiszek abban, hogy bárki is képes lenne jótékony féregvírus megírására" - jelentette ki Hyppönen. Elmondása szerint az új féregvírus által módosított phpBB oldalakon a következő mondat jelenik meg: ""viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11."

A féreg tehát figyelmeztet a veszélyre, és felhívja a rendszeradminisztrátorok figyelmét a php szoftver frissítésére, a Santy ugyanis kizárólag a 2.0.11-es verziónál korábbi szoftvert használó weboldalak ellen hatásos. Hyppönen hozzátette, hogy a módosított weboldalak két fajtáját fedezték fel, amelyek két különböző IP-címre vezethetők vissza. Mindkét cím Argentínában használatos, így a féreg nagy valószínűséggel a dél-amerikai országból ered.