Сетевой червь, использующий для своего размножения уязвимость в популярном форуме — phpBB, версий ниже 2.0.11. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной сети.
Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.
Червь последовательно проверяет все каталоги на зараженном сайте и перезаписывает своим текстом (см. ниже) файлы с расширениями:
asp htm jsp php phtm shtm
Записываемый в подобные файлы текст:
This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation
Этот текст выводится в браузере при посещении пораженного веб-сайта:
RewriteEngine On RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR] RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) RewriteRule ^.*$Ниже исходный код эксплоита, который использует червь для своего распостранения. Код может использоваться системными администраторами для проверки их систем на обнаруженную уязвимость.
Первое — находим постоянно, второе — ждем вас