Le ver Santy.C attaque un plus large nombre de sites Internet

La nouvelle variante du ver Santy s'attaquerait désormais aux sites Web programmés en langage PHP. AOL et Yahoo permettraient de trouver les futures victimes. Santy continue à défigurer des sites avec le message: "This site is defaced!!! NeverEverNoSanity WebWorm generation". Il n'y a cependant rien à craindre pour les internautes.

Santy.A s'attaquait aux forums "phpBB". Le virus programmé en Perl profitait d'une faille pour défigurer le site. Plus de 40.000 sites auraient été touchés, il se propageait en recherchant des forums potentiellement contaminables par Google. Santy.B utilisait les moteurs de recherche de Yahoo et AOL pour trouver des sites à attaquer, au lieu de Google après que ce dernier ait interdit les requêtes en provenance de Santy.A.

Egalement programmé en Perl, Santy.C (appelé aussi Santy.E ou PhpInclude.Worm) s'attaquerait à tous les sites contenant des pages PHP vulnérables à la faille "/include/require" afin d'y installer un robot contrôlé par des pirates.

Ces fonctions permettent d'inclure des pages spécifiées en argument. La non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web.

Le ver recherche, via Google, Yahoo ou encore AOL des pages du type ".php?*=", puis tente d'y insérer différentes commandes afin de construire toute une armée de machines infestées capables de faire une plus grosse attaque.