Kaspersky Lab annonce l'identification d'un nouveau ver, ' Net-Worm.Perl.Santy.a '. Ce code malicieux infecte certains sites Web en exploitant une faille dans phpBB, une offre très largement utilisée créer des forums Internet. Santy.a se propage rapidement et a provoqué une épidémie. Les utilisateurs finaux ne sont pas touchés puisque si ce ver infecte les sites web, il ne contamine pas les ordinateurs des utilisateurs qui s'y connectent.

Santy.a utilise une nouvelle méthode de propagation. Ce code malicieux formule une requête spécifique sur le moteur de recherche Google. Cette recherche aboutit à l'obtention d'une liste de sites fonctionnant sous phpBB. Le ver envoie sur les sites sélectionnés une requête qui va provoquer la vulnérabilité sur ces sites. Une fois que le serveur attaqué répond à la requête, le ver s'infiltre dans le site prenant le contrôle du code source. L'opération est répétée de façon continue.

Une fois le site sous contrôle, ' Net-Worm.Perl.Santy.a ' scanne tous les répertoires du site infecté. Tous les fichiers .htm, .php, .asp, .shtm, .jsp, .phtm trouvés seront subtilisés et réécrits avec le texte suivant : 'This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation 7'.

Ce ver dénature le contenu du site attaqué mais n'infecte pas les machines utilisées pour visiter les sites.

Kaspersky Lab recommandent à tous les utilisateurs de phpBB de procéder à une mise à niveau jusqu'à la version 2.0.11. La base Anti-Virus Kaspersky a été rapidement mise à jour et protège contre " Net-Worm.Perl.Santy.a ". Vous pouvez consulter une description plus détaillée en anglais sur l'encyclopédie virale de Kaspersky www.viruslist.com.