Existe um novo worm a circular entre sites phpBB que recorre aos motores de pesquisa para efectuar as suas buscas, tal como acontece com o Santy, detectado há cerca de duas semanas atrás, mas ao que tudo indica com o propósito de combater os efeitos desse mesmo código malicioso.



A F-Secure indica que detectou sete sites que foram "desfigurados" por este novo worm anti-Santy que procura por sites que utilizem software phpBB afectado pelo worm anterior através do Google, os infecta e tenta tornar esses mesmo sites mais seguros instalando um patch.



Apesar dos benefícios que este novo worm parece trazer, a F-Secure avisa que o mesmo poderá causar alguns problemas para os administradores de sistemas que terão que lidar com um aumento acentuado de tráfego. "Não sabemos dizer se é muito efectivo a reverter os malefícios do worm anterior", referiu Mikko Hyppönen, da F-Secure, citado pela C|Net.



O responsável explicou que quando este novo código malicioso infecta um site provoca uma acumulação enorme de tráfego, tornando a sua navegação mais lenta e acrescentou não acreditar ser provável escrever um worm benéfico.



A empresa de segurança salvaguarda ainda que existem duas versões de páginas desfiguradas que levam a endereços IP diferentes, embora ambos remetam para a Argentina, o que leva a considerar que seja esse o país de origem do anti-Santy.



Escrito em Pearl, o PHP/Santy.A.worm havia surgido a 21 de Dezembro e inicialmente usava o Google para efectuar buscas massivas de servidores Web que usassem phpBB - uma conhecida aplicação para fóruns e grupos de discussão -, tendo-se propagado a mais de 40 mil sites em 24 horas (ver Notícias Relacionadas).



Após esse espaço de tempo, o popular motor de busca afirmou ter conseguido deter o worm, mas poucos dias depois, o Santy reapareceu em novas versões que recorriam desta vez ao AOL e ao Yahoo e novamente ao Google para conseguir os seus propósitos.


Notícias Relacionadas:

2004-12-28 - Worm Santy alarga fontes de busca para atingir servidores com phpBB