米Googleの検索エンジンを利用して感染を広げようとするワーム「Santy」(「Santy.A」または「Perl.Santy」)の被害が急増している。アンチウイルス・ベンダーの米SymantecとフィンランドF-Secureがそれぞれ現地時間12月21日にセキュリティ情報を配信した。
SantyはPerlで記述されており,BBSソフトウエア「phpBB」が動作しているサーバーに攻撃を仕掛ける。phpBBは広く利用されている無償のBBSソフトウエア・パッケージ。Santyは同ソフトウエアのセキュリティ・ホールを突いて,インターネット経由で感染を広げる。オンライン掲示板をホスティングしているサーバーを乗っ取り,Webサイトを改ざんする。
ワームは,Google検索エンジンで「viewtopic.php」の文字列を含む条件で検索を行い,攻撃対象となるサーバーのリストを作成する。phpBBのセキュリティ・ホール「PHPBB Remote URLDecode Input Validation Vulnerability(URL文字列デコードの際の入力検証に起因する脆弱性)」を悪用して,サーバーへのリモート・アクセスを試みる。
同ワームは,感染するとサーバー上に自身の複製を作成し,「.asp」「.htm」「.jsp」「.php」「.phtm」「.shtm」の拡張子を持つファイルを上書きする。その結果,乗っ取られたWebサイトに「This site is defaced!!! NeverEverNoSanity WebWorm generation X」という文句が表示される(Xは数値:ワームのまん延に応じて増加する)。
Symantec社は同ワームの危険度評価を「中」としている。
◎関連記事
■PHPに深刻なセキュリティ・ホール,リモートからコードを実行される
■IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険
■Sambaにリモートからコードを実行されるセキュリティ・ホール
■EやFirefoxなどにポップアップ・ウインドウを“乗っ取られる”セキュリティ・ホール
■2004年のウイルス被害ワースト1は『Netsky-P』,Netsky亜種が全体の41.6%」,英調査
■「ウイルスは,忘れたころに“アウトブレーク”」――トレンドマイクロの上級コンサルタント
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
■「ウイルス作者の“プロ”化が進んでいる」――スペインPanda Software
[発表資料(Symantec社のセキュリティ情報)]
[発表資料(F-Secure社のセキュリティ情報)]
