Orm brukte Google til å spre seg

Server-ormen Santy.A som brukte Google til å spre seg til titusener av servere, skal nå være stanset.

Santy.A-ormen ble oppdaget i går, og skal ha rukket å spre seg til 40.000 servere innen tirsdag kveld amerikansk tid. Ormen utnytter en sårbarhet i phpBB, et populært gratissystem for diskusjonsfora og nyhetsgrupper, som ble publisert og fikset 15. november. phpBB brukes av servere under både Windows, MacOS og Linux. Fiksen kan lastes ned her: Viewtopic.php.

Santy.A bruker søketjenesten Google for å finne fram til servere som ikke hadde installert fiksen. Infiserte servere sprer ormen videre, og får erstattet alle sine sider – asp, htm, isp, php, phtm og shtm – med meldingen «This site is defaced!!!». De får også installert en bakdør som lar uvedkommende kjøre vilkårlig kode.

Antivirusleverandørene pekte på at siden ormen er avhengig av å bruke Google for å finne sårbare servere å sende seg selv til, ville det være en smal sak for søketjenesten å blokkere den aktuelle søkestrengen. Dersom så ikke skjedde, fryktet de at ormen ville utløse en så kraftig trafikkøkning at vanlige internettbrukere ville merke nedsatt kapasitet på en rekke tjenester.

I natt norsk tid skal Google ha skjønt alvoret i situasjonen. En talsperson for søketjenesten sier til ZDNet at de er oppmerksomme på ormen som rammer servere med phpBB, og at de blokkerer forespørsler generert av Santy.A.

I mars i år advarte det israelske sikkerhetsselskapet Imperva at Google og andre søketjenester kunne misbrukes av ormer. I juli dukket det opp en variant av MyDoom som søkte etter e-postadresser på blant andre Google, Lycos og Altavista, og genererte så mange søk at tjenestene ble vanskelig tilgjengelige for vanlige brukere.

    Les også:

Til toppen