Stadig nye ormer mot PHP-nettsider

Mens en anti-Santy-orm ser ut til å være død, angripes PHP-drevne nettsider av nye Spyki-ormer.

Rett før jul måtte søketjenesten Google ta tiltak mot en ny type skadeorm som angrep nettsider drevet av PHP-skripter. Santy brukte Google til å avsløre nettsteder med en bestemt svakhet i gratissystemet phpBB for diskusjonsfora og nyhetsgrupper.

Rett over jul kom en videreutvikling av Santy, døpt Spyki, som bruker Google og andre søketjenester til å avsløre nettsteder med typiske PHP-programmeringsfeil, øyensynlig med tanke på å utnytte dem til lugubre formål.

    Les også:

Nyttårsaften kom en ny vending i denne serien, i form av en anti-Santy-orm. Den bruker den samme metoden som Santy til å avsløre nettsteder som fortsatt kjører sårbare utgaver av phpBB, men i stedet for å installere en bakdør, installerer den en fiks som gjør nettstedet usårbart for Santy.

IT-sikkerhetsselskapet F-Secure som varslet om anti-Santy – også kalt Net-Worm.Perl.Asan.a – sa nyttårsaften at de hadde registrert sju tilfeller av nettsteder som var blitt «fikset» av anti-Santy. De advarte samtidig mot å tro at anti-Santy var en positiv sak.

I går meldte F-Secure at de ikke hadde fått flere meldinger om anti-Santy, og at man følgelig kunne anse anti-ormen som utdødd.

Derimot har selskapet registrert større aktivitet på Spyki-fronten.

– Igjen har en gruppe brasilianske botgjetere trådt til, denne gangen med en ny Spyki-variant (Net-Worm.Spyki.d). Denne skanner for nærmere 50 ulike kjente svakheter, sårbarheter eller typiske kodefeil i PHP-drevne nettsteder, heter det på F-Secures nettsted.

Spyki-infiserte maskiner får en IRC-agent slik at de kan motta ytterligere instrukser fra botgjeterne.

Til toppen