Santy.a用Google找目标 篡改网络公告网站
(2004.12.22) 来自：ZDNET





太平洋标准时间本周二，安全专业人士表示，一种互联网蠕虫病毒正在使用了存在缺陷的phpBB软件的网络公告板网站间传播。该蠕虫病毒利用Google搜索引擎发现可供感染的网站。

反病毒厂商Kaspersky公司在一份声明中称，该蠕虫病毒利用了上周公布的PHP软件中的一处缺陷。但它的攻击对象不是运行PHP软件的网站，而是运行一种具体的PHP软件━━phpBB的网站，另外，它还利用Google搜索引擎发现存在缺陷的网站。

目前约有40000个网站受到了感染。利用微软公司的搜索引擎搜索“NeverEverNoSanity”，返回了近39000个搜索结果。Kaspersky在本周二发表的一份声明中说，Santy.a正在迅速传播，已经成为一场瘟疫。但是，它对普通用户没有直接影响，尽管它会感染网络公告板网站，但不会感染访问这些网站的计算机。

Santy.a向Google发送特定的搜索请求，从而获得一个可供感染网站的清单。然后，它利用一个经过特别设计的PHP请求向这些网站传播。

Santy.a是利用Google作为攻击工具的一种最新恶意代码，它可能还是第一种利用Google寻找攻击目标的恶意代码。通过使用Google对“PoweredbyphpBB”进行搜索发现，约有600万个网站在运行phpBB软件。互联网风暴中心的技术总监约翰尼斯说，全球有大量的运行PHP软件的网络公告板。

在感染一个网站后，Santy.a就会通过Google搜索其它运行phpBB的网站，然后试图感染发现的网站。

据Kaspersky称，感染网站后，Santy.a会删除服务器上所有的HTML、PHP、ASP、JSP、SHTM文件，并使用“This site is defaced！！！This site is defaced！！！Never Ever No Sanity Web Worm generation X”覆盖这些文件。其中的“X”是一个数字，表示当前的Santy.a实例与最初的Santy.a相比属于第几代。利用MSN的搜索引擎已经发现第24代的Santy.a。

Google没有对Santy.a发表评论，但该公司的一位发言人说，他们已经看到了相关资料，正在对这一问题进行调查。Google的态度令一些反病毒专家感到不满，他们认为，通过封杀Santy.a对其搜索引擎的搜索，这一问题就能够得到解决。反病毒厂商F-Secure公司的调研主管米科表示，我们已经掌握了应当封杀的搜索关键词，封杀对该关键词的搜索不会有什么大的影响。

“phpBB项目”组织在其网站上建议称，使用存在缺陷的PHP软件的网站应当升级使用的软件。