Net-Worm.Perl.Santy.A heißt der Schädling, der seit dem 21. Dezember im Netz unterwegs ist und Webseiten angreift, die eine bestimmte Version der Forensoftware phpBB benutzen. Diese Softwareversion besitzt eine bekannte Sicherheitslücke, die der Wurm ausnutzt, um sich in fremden Servern einzunisten. Das Wurmprogramm sucht per Suchmaschine Google nach Webseiten, die diese Software benutzen, und verändert die dort gespeicherten Webseiteninhalte. Surfern, die eine vom Wurmprogramm automatisch gehackte Webseite besuchen, droht keine Gefahr.
Perl.Santy.A hackt Webseiten automatisch
Die Zeiten, in denen sich Hacker in nächtelanger, mühevoller Kleinarbeit an fremden Servern und Webauftritten zu schaffen machten, um dort ihre „Duftmarken“ zu hinterlassen, gehören offenbar längst der Vergangenheit. Routinearbeiten, wie das Suchen von „passenden“ Webauftritten, werden heutzutage per Software automatisiert. Wozu haben wir denn Google? Ein Schadprogramm übernimmt den „Kleinkram“, hackt die Seiten automatisch, verändert ihre Inhalte und sorgt anschließend für die eigene Verbreitung. Die Arbeit des modernen Hackers reduziert sich auf das Schreiben, Testen und Aussetzen eines solchen Schadprogramms. Der Hacker wird zum Wurm- und Virenschreiber. Hat er sein Produkt in die freie Wildbahn des Internet entlassen, kann er die Hände in den Schoß legen und in aller Ruhe mitverfolgen, welche Arbeit sein Wurmgeschöpf im WWW verrichtet. Das eigentliche Hacken ist mit dem Aussetzen eines Schadprogramms wie Perl.Santy.A beendet.
Epidemie-Schwelle erreicht
Perl.Santy.A leistet offenbar ganze Arbeit. Antivirenfirmen wie Kaspersky Lab sprechen von einer ernsten Gefahr. Laut intern.de sind weltweit mittlerweile 40.000 Diskussionsforen betroffen. Experten der Antivirenfirma Kaspersky Lab meinen, die Ausbreitung des Wurmprogramms habe mittlerweile die „Epidemie-Schwelle“ erreicht. Dem „gesamten globalen Netz“ drohe Gefahr. Einziger Lichtblick: Surfer, die Webseiten von infizierten Servern aufrufen, drohe keine Gefahr. Perl.Santy.A ist so programmiert, dass er eine bekannte Sicherheitslücke in der Forensoftware phpBB ausnutzt, um in fremde Systeme einzudringen. Um Systeme zu finden, die diese Software benutzen, fragt er bei Google nach. Der Wurm schickt eine spezielle Anfrage an das Google-Suchsystem, und die gründliche Suchmaschine liefert ihm in bekannter Schnelligkeit eine lange Liste von Webseiten, die unter der angreifbaren Version der phpBB-Software laufen.
„This site is defaced!“
Hat der Wurm eine angreifbare Webseite gefunden, schickt das Schadprogramm eine Anfrage an den betroffenen Server, die die Sicherheitslücke in der phpBB-Software ausnutzt. Während der Server die Anfrage verarbeitet, übernimmt Perl.Santy.A bereits die Regie. Er durchsucht die Festplatten und überschreibt alle Dateien mit den Endungen .htm, .php., .asp, .shtm, .jsp sowie .phtm mit folgendem Text: „This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation“. Nach getaner Hackerarbeit geht das „Spielchen“ wieder von vorne los. Der Wurm ruft sich selbst auf, um sich per Google-Suchanfrage weiter zu verbreiten.
Google blockiert Suchanfragen
Soweit ersichtlich besitzt Perl.Santy.A bis auf die beschriebenen Inhaltsveränderungen keine weiteren Schadfunktionen. Da der Wurm eine bekannte und bereits geschlossene Sicherheitslücke in phpBB-Versionen unterhalb der Version 2.0.11 ausnutzt, ist jedem Nutzer ein Update auf phpBB 2.0.11 zu empfehlen. In dieser Version wurde die fragliche Sicherheitslücke geschlossen. Auch Suchmaschinenbetreiber Google hat Presseberichten zufolge mittlerweile auf den Wurm reagiert. Die ganz speziellen Suchanfragen, die von Perl.Santy.A ausgehen, werden inzwischen aktiv blockiert. Damit ist der weiteren Ausbreitung des Wurms vermutlich ein Riegel vorgeschoben worden.
Zurück zur News-Übersicht
