au sommaire
Les cadeaux de Noël du ver Santy
Rappelons que le ver Santy, apparu le 21 décembre, présente deux originalités : la première est de rechercher grâce à GoogleGoogle les forums utilisant l'applicationapplication phpBB ; la deuxième est de profiter d'une faille de sécurité dans les versions de phpBB non mises à jour pour détruire les sites correspondant et remplacer la page d'accueil par une page contenant:
This site is defaced!!!NeverEverNoSanity WebWorm generation X
où X est le numéro de la génération du ver ayant attaqué le site.
Bien entendu de nouvelles versions sont apparues. La version Santy.b, apparue le jour de Noël utilise les moteurs de recherche de Yahoo et AOL pour détecter les sites pouvant être attaqués. Quant à Santy.c (Santy.e pour Kaspersky Labs), apparu le même jour, il s'agirait d'après K-Otik d'un ver de nature différente. Il ne s'attaquerait pas à phpBB, mais chercherait grâce à Google les pages dont les scripts PHPPHP utilisent de manière non sécurisée les fonctions Include() et Require(). Ce type d'erreur de programmation étant relativement commun, ce ver pourrait constituer une menace sérieuse.
Le mode d'attaque étant assez différent de celui de Santy.a ou b, K-Otik estime qu'il n'appartient pas à la même famille et propose de l'appeler PhpInclude.Worm.