Un virus utiliza a Google para hacer búsquedas masivas de servidores

En las últimas horas, un nuevo gusano de red escrito en Perl ha aparecido en Internet y se ha comenzado a distribuir rápidamente: PHP/Santy.A.worm.

Este código malicioso utiliza Google para hacer búsquedas masivas de servidores web con phpBB, conocida aplicación de foros, grupos de noticias, blogs, etc., cuya versión sea anterior a la 2.0.11 y que no contenga el parche de la vulnerabilidad viewtopic.php descubierta el pasado 15 de noviembre.

El parche para corregir esta vulnerabilidad puede ser descargado desde: http://www.phpbb.com/phpBB/viewtopic.php?t=240513.

Una vez localiza dichos servidores, utiliza la vulnerabilidad PHPBB Remote URLDecode Input Validation Vulnerability para obtener acceso remoto al servidor web. Cuando lo obtiene, recorre los diferentes directorios y sobrescribe los ficheros con extensión .asp, .htm, .jsp, .php, .phtm y .shtm instalando una página que muestra el siguiente mensaje:

<<...OLE_Obj...>> En este mensaje, "x" va cambiando en función de las infecciones que el nuevo virus lleva a cabo.

Este gusano de Internet afecta únicamente a servidores y se distribuye entre ellos, por lo que un usuario doméstico no se va a ver afectado por él. Tampoco resultará infectado si visita las páginas que han resultado afectadas. Dada que la vulnerabilidad afecta a la aplicación, los servidores web pueden tener sistemas operativos tanto Windows como Linux.

Igualmente, es posible que, si se continúa distribuyendo masivamente, se ralenticen los servicios de Internet e incluso lleguen a colapsarse.

Ante la alta probabilidad de un encuentro con PHP/Santy.A.worm o con las nuevas variantes de PHP/Santy.A.worm, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.