年终的一场蠕虫“瘟疫”
不久前,就在大家喜迎圣诞和新年之际,著名反病毒厂商卡巴斯基实验室率先监测到一种名为Santy的蠕虫(为与和后继的变种相区别,也称作Santy.a)开始“搭乘”Google搜索引擎攻击运行phpBB并存在漏洞的论坛(主要针对2.0.11以前版本的phpBB)。
phpBB是一种免费的、公开源代码的论坛系统。未打补丁前,2.x版的viewtopic.php文件中的highlight参数值可能被注入恶意脚本执行。Santy蠕虫就利用了这个漏洞。从2004年12月21日开始,它首先向Google发送特定的搜索请求,从而获得一个可供感染网站的清单。然后,再通过漏洞感染网站,删除服务器上所有的HTML、PHP 、ASP 、JSP 、SHTM文件,并生成一个有“This site is defaced!!!NeverEverNoSanity WebWorm generation X”字样的页面(通常命名为about.php)。其中“X”是一个数字,表示当前的Santy.a 实例与最初的Santy.a 相比属于第几代。在感染一个网站后,蠕虫将继续通过Google搜索其他存在漏洞的phpBB网站……笔者利用MSN 搜索引擎粗略一找,已经发现第26代的Santy.a。
如果使用Google对关键字“Powered by phpBB”进行搜索,你会发现大约有600 万个网站在运行phpBB;而利用MSN搜索引擎对“NeverEverNoSanity”进行搜索的话,将返回至少1.5万个网站——其中的大部分是被这场突如其来的“瘟疫”击倒的“传染病人”。
标本兼治谈何容易
在掌握了病毒的传播机制之后,反病毒专家很快提出了解决之道——由Google封杀Santy.a进行的搜索。但是,就在Google采取封杀措施后仅仅过了几天,诸多变种就卷土而来,并且变本加厉——它们开始综合利用包括Google、AOL(使用Google引擎)、Yahoo在内的各大搜索引擎大肆传播。
赛门铁克公司在于2004年12月26日发布的一份安全公告中称监控到了采用Perl脚本,能够利用AOL或Yahoo的搜索引擎查找攻击目标的Perl.Santy.B。而卡巴斯基实验室也在2004年12月28日宣布将新发现的Santy.D与Santy.E重新命名为Spyki.A与Spyki.B,因为它们虽然在传播原理上与Santy.a近似,但基本结构已发生了重大变化,而且使用巴西语的Google(www.google.br)进行传播。
Santy.a被曝光后,phpBB官方站(www.phpbb.com)很快就发布了公告,督促phpBB论坛迅速升级来弥补已发现的漏洞。但法国网络安全公司K-OTik发出的最新警告称,Santy.C/D/E等新变种可对几乎所有使用不规范PHP脚本语言的网站构成威胁,而不再仅是针对论坛系统。据此K-OTik还将新变种干脆重新命名为“PhpInclude.Worm”。
敲响搜索引擎的警钟
尽管会“黑”掉论坛,但目前Santy.a及其变种并不会感染访问这些网站的计算机,也就是说对普通用户没有直接影响,因此在国内并没有引起太多的关注。但是,Santy.a首开借道搜索引擎传播的先河,对于反病毒专家们来说,这可是个极为可怕的苗头。
起初在看到有关Santy.a的新闻报道时,笔者就曾联想:现在搜索引擎在数据挖掘的广度和深度都取得了长足进展,开始从Web搜索向桌面搜索渗透并将两者融合;倘若有病毒利用桌面搜索工具,将来造成的危害简直是不可估量。
不幸的是,这样的危险现在就在眼前。美国赖斯大学的研究人员新近就发现了刚推出不久的Google桌面搜索工具存在一个严重的综合性漏洞——病毒完全可以据此截获搜索工具向外发送的信息,恣意“加工”搜索结果,然后将用户指向包含恶意脚本的网站。虽然Google称尚没有发现因桌面搜索工具漏洞而导致的案件,但包括Gartner在内的许多大企业,都开始警告业务部门慎用桌面搜索工具。
200万个Powered by phpBB站点
MSN搜索到的部分感染网站
一个尚未恢复的论坛,感染它的病毒已是第13代
phpBB项目网站
(n110)
