| |
VSantivirus No. 1635 Año 8, martes 28 de diciembre de 2004
Perl/Spyki.A. Infecta sitios que utilizan scripts PHP
http://www.vsantivirus.com/perl-spyki-a.htm
Nombre: Perl/Spyki.A
Tipo: Gusano de PHP
Alias: Spyki, Net-Worm.Perl.Santy.d, Net-Worm.Perl.Santy.e, Perl.Lexac,
Perl.PhpInclude.Worm, Perl.Santy.C, Perl.Spyki, Perl:Santy-F, PhpInclude.Worm, Santy.c, Santy.d, Santy.e, Santy.e, Spyki.a, Spyki.b, Worm.Perl.SHS.A, Worm.Perl.SHS.B, Worm.Santy.B, WORM_SANTY.C, WORM_SANTY.F, Perl/Santy-Fam, Exploit-phpBB!hilight,
Perl/Spyski.worm
Fecha: 27/dic/04
Plataforma: Unix, Linux, Windows 32-bit
Gusano que se propaga por servidores web que ejecutan scripts PHP, y son vulnerables al error de inclusión de archivos externos mediante el uso de los parámetros "include()" y "require()", lo que permite la instalación de código.
No se trata de una vulnerabilidad propiamente dicha, sino de errores causados por una programación descuidada que no filtra adecuadamente el origen de los archivos utilizados. El problema no depende de la versión de PHP instalada, ya que todas pueden ser afectadas.
El gusano, primeramente detectado como una variante del Santy, posee algunas diferencias con éste, por lo que algunos fabricantes de antivirus lo consideran parte de una nueva familia de gusanos.
Sin embargo, posee similitudes con el Santy en el hecho de que utiliza buscadores como Google (en su versión brasilera), y Yahoo! para obtener la lista de servidores vulnerables.
A diferencia del Santy, no afecta solo al paquete PhPBB, sino a todos los sitios que estén construidos con PHP.
El gusano afecta a todas las plataformas que puedan ejecutar PHP, eso incluye a UNIX, Linux, Windows 2000, Windows NT, Windows Server 2003, Windows XP, etc.
Cuando se ejecuta en un servidor vulnerable, el gusano inicia la búsqueda de otros equipos con la misma debilidad, utilizando los motores de búsqueda de Google y Yahoo! mediante la cadena "*.php?*=". Luego graba el resultado de su búsqueda en un archivo con un nombre al azar formado por un número del 0 al 9999.
Intenta conectarse a un servidor remoto para descargar y ejecutar algunos de los siguientes archivos en los equipos vulnerables:
spy.gif
spybot.txt
worm1.txt
php.txt
ownz.txt
zone.txt
Algunos de esos archivos son bots de IRC (programas preparados para responder o actuar automáticamente ejecutando ciertos comandos de forma remota), otros son detectados por algunos antivirus como el propio gusano, o como alguna variante del Santy, todos escritos en Perl.
Actualmente el servidor original desde donde se descargaban dichos archivos no está disponible.
El gusano abre una puerta trasera en los equipos infectados, conectándose a un servidor IRC específico a través del puerto TCP/6667, desde donde un atacante remoto podrá obtener acceso a aquellos.
También puede enviar información al atacante remoto, a través de cualquiera de los siguientes puertos:
21
23
25
80
110
139
530
666
1234
1492
1524
1666
2222
2313
3333
3879
4444
5074
5252
5321
5678
6666
6682
6968
6969
6969
6970
7512
7788
8008
8975
9191
9988
9999
10000
12321
12345
12346
12666
13330
14589
16705
21317
24876
26092
26112
30464
30464
31337
33270
36864
36864
36864
40193
40193
41254
43690
44123
44464
45295
46256
50766
58821
65535
El código del gusano incluye la siguiente cadena:
Atrix Team
Al momento actual, los usuarios que visiten los sitios infectados, no sufren ninguna clase de daño en sus computadoras.
Los servidores de los sitios afectados, pueden sufrir una perdida de rendimiento.
Los administradores de los sitios vulnerables, deben asegurarse de que en la programación de las páginas PHP, se hayan aplicado las reglas básicas de seguridad al emplearse los parámetros "include()" y "require()", como se explica en sitios como los siguientes:
Secure Programming in PHP
http://www.zend.com/zend/art/art-oertli.php
PHP Security Mistakes
http://www.devshed.com/c/a/PHP/PHP-Security-Mistakes/
Actualizaciones:
30/12/04 - 00:16 -0200 (Alias: Perl/Spyski.worm)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
