0%
0%
Virenexperten warnen vor neuem Internet-Wurm
Die Virenexperten von Kaspersky Lab warnen vor dem neuen gefährlichen Internet-Wurm "Net-Worm.Perl.Santy.a". Gegenwärtig hat die Ausbreitung des Wurms schon die Epidemie-Schwelle erreicht, die Gefahr droht dem gesamten globalen Netz. Jedoch stellt die Epidemie keinerlei Gefahr für Heimanwender dar, der Wurm infiziert zwar die Webseiten, ist aber ungefährlich für die Besucher der infizierten Seiten.
Zu seiner Ausbreitung über das Internet nutzt der Wurm eine ziemlich ungewöhnliche Methode. Das Schadprogramm erstellt eine spezielle Anfrage an das Google-Suchsystem. Infolgedessen findet der Wurm Seiten, die unter der angreifbaren Version von phpBB (Forensystem) laufen. Auf die gefundenen Seiten schickt der Wurm eine Zeile, die wiederum die Aktivierungs-Prozedur des Schadprogramms enthält. Während der Bearbeitung dieses Vorgangs durch den attackierten Server, dringt der Wurm auf die Seite und verschafft sich Zugang zur Steuerung der Ressourcen. Anschließend wiederholt sich der Arbeitsprozess des Wurms.
Durch den Zugang zur Steuerung checkt "Net-Worm.Perl.Santy.a" sämtliche Verzeichnisse auf der infizierten Seite und tauscht die gefundenen Dateien mit den Erweiterungen .htm, .php, .asp, .shtm, .jsp, .phtm gegen Dateien mit dem folgenden Text aus: «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation». Außer der benannten Inhaltsveränderung der attackierten Seite hat der Wurm keine weiteren destruktiven Funktionen. Er infiziert nicht die Computer von Heimanwendern, die diese Internet-Ressourcen gerade besuchen.
Zu seiner Ausbreitung über das Internet nutzt der Wurm eine ziemlich ungewöhnliche Methode. Das Schadprogramm erstellt eine spezielle Anfrage an das Google-Suchsystem. Infolgedessen findet der Wurm Seiten, die unter der angreifbaren Version von phpBB (Forensystem) laufen. Auf die gefundenen Seiten schickt der Wurm eine Zeile, die wiederum die Aktivierungs-Prozedur des Schadprogramms enthält. Während der Bearbeitung dieses Vorgangs durch den attackierten Server, dringt der Wurm auf die Seite und verschafft sich Zugang zur Steuerung der Ressourcen. Anschließend wiederholt sich der Arbeitsprozess des Wurms.
Durch den Zugang zur Steuerung checkt "Net-Worm.Perl.Santy.a" sämtliche Verzeichnisse auf der infizierten Seite und tauscht die gefundenen Dateien mit den Erweiterungen .htm, .php, .asp, .shtm, .jsp, .phtm gegen Dateien mit dem folgenden Text aus: «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation». Außer der benannten Inhaltsveränderung der attackierten Seite hat der Wurm keine weiteren destruktiven Funktionen. Er infiziert nicht die Computer von Heimanwendern, die diese Internet-Ressourcen gerade besuchen.
