Santy.C s’attaque aux sites Web écrits en php. Après la version originale de Santy qui utilisait Google. La nouvelle variante du ver s’attaquerait désormais à tous les sites internet en php. Et ils sont nombreux. Après Google, il utilise désormais les moteurs d’AOL et de Yahoo pour trouver ses victimes. Selon Symantec, l’éditeur des produits Norton, Santy.B soumet automatiquement des requêtes à Yahoo et AOL pour trouver d’autres sites qui sont basés sur des versions vulnérables de phpBB. L’éditeur relève également une version C qui tenterait encore de se servir de Google.
Santy poursuit son offensive. L’objectif du ver est toujours le même: défigurer sites Web avec le message: « This site is defaced!!! NeverEverNoSanity WebWorm generation » (voir photo). Il n’a donc aucune incidence sur le poste de l’utilisateur.
Santy.A s’attaquait aux forums Internet utilisant « phpBB », une application open-source en ligne utilisée pour créer des forums. Le ver profitait d’une faille dans des anciennes versions non patchées du logiciel pour défigurer le site. 40.000 d’entre eux auraient été attaqués. Free aurait déjà été victime de cette variante, puisque une page de son site Web a été piratée à deux reprises vendredi et samedi.
Pourtant la faille a été corrigée depuis mi novembre.
La faille dans phpBB est corrigée depuis le 18 novembre mais bon nombre de serveurs étaient manifestement encore vulnérables; leur administrateur doivent donc installer la version 2.0.11 de phpBB. Un simple contre-temps pour les pirates. Puisque à peine deux jours après, une variante de Santy est découverte par les éditeurs de sécurité (F-Secure, Symantec). Et ce n’est pas un cadeau. L’épidémie est aujourd’hui enrayée. Google a bloqué le 22 décembre les requêtes lancées par le ver Santy.
Il exploite une palette plus large de failles dites « de programmation » selon K-Otik. Et d’expliquer: Ces fonctions sont normalement utilisées par les programmeurs afin d’inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l’inclusion et l’exécution de fichiers externes, et donc la compromission du serveur web.