Nouvelle variante de Santy ou nouveau ver ?

---

Le site de sécurité K-Otik l'appelle PhpInclude.Worm et certains logiciels antivirus le reconnaissance comme variante du ver Santy et l'appellent Santy.C ou E. Il n'attaque en tout cas pas les sites de la même manière que Santy.A et n'exploite pas les failles de phpBB.

Il exploite des failles de programmation et recherche via les moteurs de recherche des pages web programmées en php et contenant les fonctions "include()" et "require()". K-Otik explique que ces fonctions sont utilisées pour inclure des pages web qui sont spécifiées en arguments. Si ces derniers ne sont pas correctement vérifiés, il y a un risque de pouvoir exécuter des fichiers externes et donc mettre en danger l'intégrité du serveur.

Une fois les pages repérées, le ver injecte des commandes pour permettre l'installation de robots IRC et tente de mettre en place une armée de zombies, puisque c'est la finalité de la plupart de ces attaques.

Attention, les failles de ces pages PHP ne dépendent d'aucun système d'exploitation ou encore d'aucune version de PHP même. L'attaque est marquée au fer rouge par K-Otik qui juge le risque comme élevé. Vous pouvez vous rendre sur cette page (lien en rouge) pour y trouver plus de détails.