News-hs.com

[Luder]

La fin 2004 et l'année 2005 risque d'être agitée sur le web. Depuis quelques jours, nous avons vu arriver un type de virus qui risque de se faire de plus en plus régulier : les web-worm, ou ver du web.

SANTY.A

Le premier, Santy.A s'attaque aux très répendus forums phpBB. Le ver a, dans un premier temps, utilisé Google pour rechercher les forums vulnérables à une faille découverte mi-novembre. Mais Google a très rapidement filtrés les recherches effectuées automatiquement par le virus, enrayant brièvement l'avancée du virus. Mais des variantes se sont vites propagées sur le réseau, utilisant d'autres moteurs de recherches, comme AOL ou Yahoo.

Pour les administrateurs de forums phpBB, il faut impérativement migrer votre forum vers la version 2.0.11, ou corriger manuellement la faille.

Si Santy a réussi sa mission, il va supprimer plusieurs types de fichiers sur le serveur et afficher un message pour marquer son passage : 'This site is defaced!!! NeverEverNoSanity WebWorm generation', suivi du numéro de la dite génération.

Par contre, pas de soucis pour les visiteurs. Les variantes actuelles de ce virus ne s'attaquent qu'au site web.

PHPINCLUDE.WORM

Le second vers n'a pas encore de nom bien précis. Certains y ont vu des similitudes avec Santy et ont prétendus qu'il s'agissait d'une variante de ce virus. D'autres non, comme l'équipe de K-OTik, qui a préféré surnommer la bestiole par PhpInclude.Worm. Le système utilisé pour attaquer est par contre identique aux deux virus, puisqu'ils utilisent Google, Yahoo et AOL pour trouver leurs victimes.

Ce ver exploite cette fois-ci les erreurs de programmation des webmasters et non plus une faille ou un bug d'un programme. Il est donc inutile d'installer la dernière version de PHP, qui n'a rien à voir là dedans. C'est à travers une mauvaise utilisation des fonctions include() ou require() que le virus va agir. La seule solution reste donc à vérifier vos pages web et d'y rechercher des vulnérabilités.

Et c'est là que ça devient inquiétant. Vérifier, voire corriger un site entier, surtout s'il est très gros, demande un travail énorme. De nombreux sites ne seront même jamais corrigés, sans parler des sites persos. En bref, ce virus à de quoi faire. Et contrairement à Santy.A, on ne sait pas encore ce que ce virus fera une fois qu'il aura infecté un serveur web. On peut imaginer le moins pire, comme la modification de la page d'acceuil du site, à la plus mauvais, comme une infection discrète avec une modification du code de toutes les pages du site pour cette fois s'attaquer aux visiteurs, comme cela c'est déjà vu récement.

Source : K-OTik
_________________

[Guigui le gentil :)]

AAAAh qu'est ce qu'il faut faire (moi l'anglais et le codage ça fait 3)!? Au secouuuur !!!

Au fait BONNE ANNEE ici
_________________

[Luder]

La solution la plus simple, reste la correction manuelle. Mais c'est en attendant d'avoir le temps de faire la mise à jour.

Sir_Ill m'a dit qu'il regarderait pour EpidermiQ. Faut voir avec lui.

Merci, bonne année à toi aussi

a++
Luder
_________________