作者:友亚
【赛迪网讯】当地时间本周二,安全专家称,一种利用phpBB软件缺陷的互联网蠕虫病毒开始在网络公告板网站间传播。该蠕虫病毒利用Google搜索引擎来寻找供感染的网站。
反病毒厂商Kaspersky公司在一份声明中称,该蠕虫病毒利用的是上周公布的PHP软件中的一处缺陷,但其攻击对象不是运行PHP软件的网站,而是运行具体的PHP软件——phpBB的网站,另外,它还利用Google搜索引擎来寻找有缺陷的网站。
目前受感染的网站约有4万个。通过微软的搜索引擎搜索“NeverEverNoSanity”时,返回了近3.9万个搜索结果。当天,Kaspersky发表的一份声明称,Santy.a正在迅速传播、蔓延,已经成了一场瘟疫。但尽管它感染网络公告板网站,却不感染访问被感染网站的计算机,故不会对普通用户造成直接影响。
Santy.a主要是通过Google发送特定的搜索请求,获得一个可供感染网站的清单。此后再利用经过特别设计的PHP请求向这些网站传播恶意代码。
Santy.a是率先利用Google作为攻击工具,利用Google寻找攻击目标的一种最新恶意代码。通过Google对“Powered by phpBB”的搜索结果,发现约有600万个网站在运行phpBB软件。互联网风暴中心的技术总监约翰尼斯称,全球运行PHP软件的网络公告板数量众多。
Santy.a在感染一个网站后,会通过Google搜索其它运行phpBB的网站,并试图感染新发现的网站。
据Kaspersky称,Santy.a感染网站后,会删除服务器上所有的HTML、PHP、ASP、JSP、SHTM文件,并使用“This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X”覆盖上述文件。其中“X”是一个数字,表示与最初的Santy.a相比,当前的Santy.a实例属于第几代。利用MSN的搜索引擎,现在已经发现第24代的Santy.a。
Google对Santy.a恶意代码没有发表评论,但Google公司的一位发言人称已经看到了相关资料,并正在对这一问题展开调查。一些反病毒专家对Google的态度感到不满,他们认为,Google只要通过封杀Santy.a对其搜索引擎的搜索,就能解决这一问题。反病毒厂商F-Secure公司的调研主管米科称:“我们已经掌握了应当封杀的搜索关键词,封杀该关键词的搜索不会产生大的负面影响。”
“phpBB项目”组织在其网站上建议称,使用有缺陷的PHP软件的网站应尽快升级软件。(n101)
版权所有 新浪网