Google uccide il primo worm defacer

Il vermone colpiva i siti vittima di un celebre bug: li cercava via Google e li colpiva con un defacement. Ha colpito 40mila siti prima di essere schiacciato dalla grande G
Il vermone colpiva i siti vittima di un celebre bug: li cercava via Google e li colpiva con un defacement. Ha colpito 40mila siti prima di essere schiacciato dalla grande G

Mountain View (USA) – Google si è mosso con solo poche ore di ritardo sulla prima improvvisa e rapida diffusione di un wormino natalizio tutt’altro che simpatico, un cosino vivacissimo dal nome equivoco di “Santy”.

Molte le caratteristiche che rendono unico Santy, probabilmente il primo worm che è riuscito nell’intento di colpire migliaia di siti in poche ore provocando in automatico un defacement delle loro pagine, ossia una sostituzione dei contenuti. Le società antivirus che hanno seguito di ora in ora la moltiplicazione degli attacchi, affermano che sono almeno 40mila i siti colpiti dal worm.

Il worm è studiato per sfruttare il motore di ricerca di Google per andare a caccia di siti che utilizzano una versione del software per forum phpBB nota per una sua vulnerabilità. Scritto in Perl, il codicillo va a caccia delle versioni della phpBB 2 precedenti alla 2.0.11, di cui è nota la vulnerabilità “Remote URLDecode Input Validation”.

Ciò significa da un lato che sistemi diversi da questi non vengono aggrediti e dall’altro che se invece riesce nel suo intento, il worm si copia sul server vittima e riscrive una serie di file, tutti quelli con estensione.htm,.php,.asp e altre ancora. Tutte le pagine con quella estensione vengono rimpiazzate da una pagina nera con scritte rosse (vedi immagine qui sotto).

La frase “NeverEverNoSanity WebWorm generation 10” indica che il worm che ha colpito in questo caso è Santy alla decima generazione: ad ogni successiva infezione quel numero sale di 1. Va anche detto che il defacement è l’unico danno provocato dal worm.

Clicca per ingrandire Per bloccarne la diffusione, Google ha attivato il blocco delle query usate dal worm. Questo blocco, destinato a non influenzare l’uso del motore da parte degli utenti, secondo gli esperti antivirus limiterà enormemente la diffusione ulteriore di Santy.

Sebbene non sia la prima volta che un codice malevolo sfrutta la ricerca di Google, visto che lo faceva anche il worm MyDoom per trovare indirizzi email a cui autospedirsi, Santy è stato estremamente efficiente nella sua missione, aprendo anche degli squarci su nuove modalità di assalto che possono essere sfruttate da worm di nuova concezione.

Link copiato negli appunti

Ti potrebbe interessare

22 12 2004
Link copiato negli appunti