Søkeorm utvider jaktmarkene

Førjulsormen Santy er kommet i nye varianter rettet mot PHP-programmeringsfeil og flere søketjenester.

Før jul meldte digi.no om en ny type orm som utnyttet en sårbarhet i det populære gratissystemet phpBB for diskusjonsfora og nyhetsgrupper, og som fant fram til nettsteder med denne sårbarheten ved å søke på Google.

    Les også:

I går meldte IT-sikkerhetsselskapet Kaspersky Labs at det var kommet nye varianter av Santy, og at disse nye variantene utvidet ormen i så stor grad at det i praksis dreier seg om nye ormer. Derfor døpes Santy.d og Santy.e om til henholdsvis Spyki.a og Spyki.b, skriver Kaspersky.

Den viktigste forskjellen mellom Santy og Spyki er at Spyki ikke utnytter en dokumentert – og fikset – sårbarhet i phpBB. I stedet utnytter den en utbredt type sårbarhet døpt «Remote file inclusion». Denne typen sårbarhet skyldes ikke en feil i selve skriptspråket PHP, men viser til flere utbredte programmeringsfeil på servere som leverer PHP-sider.

Spyki utnytter den brasilianske Google-tjeneren for å prosessere sine søk, og har nedfelt varemerket til den brasilianske hackergruppen «Atrix Team». Kaspersky mener det er sannsynlig at nettopp Atrix skrev Spyki.

Når Spyki infiserer en server, laster den ned en bakdør kalt Backdoor.Perl.Shellbot.a. Denne bakdøren kopler seg til flere IRC-kanaler for å lytte etter kommandoer fra sin herre.

Kaspersky anbefaler alle å sjekke sine PHP-sider for programmeringsfeil, og viser til denne artikkelen: PHP Security Mistakes, av Dave Clark.

IT-sikkerhetsselskapet Symantec beskriver Santy.b som en orm som fortsatt infiserer gjennom sårbarheten i phpBB, men som i stedet for å bruke Google, finner sine ofre gjennom søketjenestene til henholdsvis AOL og Yahoo. AOL bruker Googles søkemotor og sier til ZDNet at de undersøker for å forsikre seg om at Googles vern mot Santy også virker hos dem. Yahoo bruker en annen søketeknologi, og var ikke tilgjengelig for kommentar.

Til toppen