Moskau (pte, 22. Dez 2004 12:11) - Der russische Anti-Viren-Experte Kaspersky Lab http://www.kaspersky.com hat vor eines neuen Internetwurm gewarnt, dessen Ausbreitung bereits die Epidemie-Schwelle erreicht hat. Zu seiner Ausbreitung nutzt "Net-Worm.Perl.Santy.a" eine ziemlich ungewöhnliche Methode. Das Schadprogramm erstellt eine spezielle Anfrage an das Google-Suchsystem. Dadurch findet der Wurm Seiten, die unter der angreifbaren Version von "phpBB" laufen.
PhpBB ist ein auf PHP und MySQL (oder einem anderen Datenbank-Managementsystem) basierendes Open-Source-Forensystem. An diese gefundenen Seiten schickt der Wurm eine Zeile, die eine Aktivierungs-Prozedur des Schadprogramms enthält. Während der Bearbeitung dieses Vorgangs durch den attackierten Server dringt der Wurm in die Seite ein und verschafft sich Zugang zur Steuerung der Ressourcen. Anschließend wiederholt sich der Arbeitsprozess des Wurms. Die Epidemie stellt laut Kaspersky keine Gefahr für Heimanwender dar, da der Wurm zwar Webseiten infiziert, aber ungefährlich für die Besucher der infizierten Site ist.
Durch den Zugang zur Seiten-Steuerung checkt der Wurm sämtliche Verzeichnisse auf der infizierten Website und tauscht die gefundenen Dateien mit den Erweiterungen .htm, .php, .asp, .shtm, .jsp und .phtm gegen Dateien mit dem Titel "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation" aus. Außer der Inhaltsveränderung der Seite hat der Wurm jedoch keine weiteren destruktiven Funktionen. Für Heimanwender besteht deshalb laut Kaspersky keine Infektionsgefahr.
Um die Gefahr der Attacke durch "Net-Worm.Perl.Santy.a" zu verhindern, empfiehlt der russische Spezialist allen Anwendern des Systems "phpBB" eine Aktualisierung des Produktes bis zur Version 2.0.11. vorzunehmen. Schutz-Prozeduren gegen die Wurm-Epidemie sind bereits in die Anti-Viren-Dateien von Kaspersky aufgenommen worden, ein Update steht zum Herunterladen bereit.
