Net-Worm.Perl.Santy.a

Am 21. Dezember 2004 wurde ein Wurm entdeckt, der von einer im November bekannt gewordenen Sicherheitslücke in der Webforen-Software "phpBB" [1] Gebrauch macht. Dabei sucht der Wurm mit einem speziellen Suchschlüssel via Google nach bestimmten Dateien (z.B. viewtopic.php), die von dieser Webforen-Software benutzt werden. Wird er fündig, versucht der Wurm, den Webauftritt zu infizieren und Dateien zu löschen bzw. zu überschreiben.

Hierfür schickt der Wurm eine Zeichenfolge, welche die Aktivierungs-Prozedur des Schadprogramms enthält. Während der angegriffene Server den Vorgang verarbeitet, pflanzt sich der Wurm in den Webauftritt und verschafft sich Zugang zur Steuerung der Ressourcen. Von dort aus verbreitet sich der Wurm dann auf die gleiche Art weiter.

Die eigentliche Schadensfunktion des Wurms namens "Net-Worm.Perl.Santy.a" besteht darin, auf dem Webserver alle Dateien mit den Endungen .asp, .htm, .jsp, .phtm und .shtm durch seinen eigenen Text zu ersetzen. Die davon betroffenen Webseiten zeigen somit statt des gewohnten Inhalts einen schwarzen Hintergrund und in roter Schrift den Text "This site is defaced!!! NeverEverNoSanity WebWorm generation <nummer>.".

Laut Informationen des russischen Antivirus-Spezialisten Kaspersky Labs [2] bestehe für Heimanwender keine Gefahr, sich den Wurm beim Besuch einer infizierten Seite einzufangen. Wer aber auf einem Webserver selber die Webforen-Software phpBB einsetzt, sollte unbedingt sicherstellen, dass er deren Version 2.0.11 verwendet. Alle älteren Versionen sind von der Sicherheitslücke und von den drohenden "Defacements" (Veränderungen der Webseite) betroffen.

Ausser bei Kaspersky finden Sie Informationen und weitere Links auch z.B. bei F-Secure [3].