image

Google stopt verspreiding Santy worm

woensdag 22 december 2004, 10:09 door Redactie, 5 reacties

Door optreden van Google kan de Santy worm, die zich sinds gisteren verspreidde, geen webservers meer infecteren. De worm verspreidde zich via een lek in phpBB 2.x. Andere systemen hadden niets te vrezen. Het waren dan ook voornamelijk fora die dit script gebruikten die gevaar liepen om besmet te worden. Als de worm een kwetsbare host vond werden de .htm, .php, .asp, .shtm, .jsp en .phtm bestanden overschreven. Hosts werden gevonden door queries die Santy via Google uitvoerde. Google is daarom vannacht begonnen met het filteren van deze queries, waardoor de worm zich niet meer kan verspreiden. Hoeveel websites door de worm getroffen zijn is niet bekend. Volgens een zoekresultaat in Google zou het om 202 geinfecteerde websites gaan. Het Security Team van Google liet weten dat de zeven uur die men nodig had om actie te ondernemen niet slecht is, maar toch wil men in de toekomst sneller op dit soort situaties reageren.

De worm liet het onderstaande bericht op getroffen websites zien.

Inmiddels is er ook een nieuwe variant van de Santy worm aangetroffen, genaamd Santy.b. Volgens Kaspersky zou er nog geen oplossing voor het lek zijn, maar wel een work-around.

Reacties (5)
22-12-2004, 10:40 door Anoniem
Dank U google, en ook maar even mijn forum van 2.0.10 naar
2.0.11 getild :D
22-12-2004, 10:59 door MvE
Upgraden.

Dus PHPBB 2.0.11 installeren en je PHP versie 4 naar min.
4.3.10 brengen.
22-12-2004, 11:40 door Anoniem
200 maar? Geloof ik niets van alleen ons bedrijf heeft al
een stuk of 20 defacements gehad (allemaalr rond generatie
7-8). Maar wij hebben inmiddels onze filters ook aangepast.
22-12-2004, 12:17 door awesselius
Het is wel grappig dat enkele maanden geleden er sprake zou zijn van de
mogelijkheid om Google te gebruiken in wormen. Het zogenaamde
WarGoogling.

Volgens experts op bijv. de lijst van full-disclosure werd erg laconiek
gereageerd. Dat het niet nieuw zou zijn en eigenlijk ook onwaarschijnlijk
dat het op zo'n manier gebruikt zou gaan worden.

Tja, als er dan een mogelijkheid is om exploits op te sporen ( door het
vermeende obscurity probleem, het announcen van serie / versie
nummers.http://www.security.nl/article/9559/1 ) dan zullen mensen daar echt wel op reageren.

Zeker als er experts zeggen dat het niet zo'n vaart zal lopen, maar je kunt er
donder op zeggen dat het ooit WEL gebeurd. Ook dit is weer obscurity,
denken dat het niet zo'n vaart zal lopen.......

Ik ben dan ook van mening dat we nog meer WarGoogling wormen gaan
zien de komende jaren. Maar ook dat de mensen van Google hier snel
bovenop zullen duiken.

- Unomi -
22-12-2004, 23:36 door Anoniem
Heheh alles dat groot wordt, krijgt op den duur ook
maatschappelijke verantwoordelijkheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.