Ранее указывалось, что продолжающаяся эпидемия червя Santy, атакующего форумы под управлением популярного скрипта phpBB, не затрагивает крайнюю версию этого продукта - 2.0.11. Однако, как стало известно, форумы под управлением и этой версии также взламываются новой версией червя Santy (Sanity в некоторых интерпретациях) - Santy.C. Как указывают исследователи компьютерной безопасности и пострадавшие, анализирующие логи поражённых Вэб-серверов, новая версия загружает собственной тело (Перл-скрипт) с сайта www.visualcoders.net, используя утилиту wget, присутствующую на большинстве UNIX-серверов, после чего скачивает своё тело и код IRC-бота, для запуска на сервере. При этом сам Apache (/usr/local/apache/bin/httpd) запускается с поддержкой SSL-протокола (по-идимому, для шифрации передаваемого трафика). Для поиска уязвимых форумов, как указывалось ранее, используется бразильский сервер Google (www.google.com.br). Кстати, в коде самого червя и бота (в комментариях и названиях переменных) явно прослеживается бразильский след и указание на Atrix Team.
Коды червя и бота
Описание технологии распространения и работы