Nutzte Suchmaschine, um Sites mit angreifbarer PHP-Software zu finden
Der Suchanbieter Google hat auf die Warnungen von Anti-Virus-Anbietern reagiert und die weitere Verbreitung des Santy-Wurms gestoppt. Der Schädling nutzte die Suchmaschine, um Websites zu finden, auf denen eine angreifbare PHP-Bulletin Board-Software zum Einsatz kommt. Google-User waren nicht in Gefahr.
Die Lücke in der PHP-Software ermöglicht die Ausführung von schädlichem Code. Wird der Wurm auf einem angreifbaren Server mehrmals ausgeführt, ersetzt er Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp and .phtm. Zu sehen ist dann nur noch der Hinweis "This site is defaced!!! NeverEverNoSanity WebWorm generation X".
"Uns ist bekannt, dass ein Internet-Wurm eine Schwachstelle auf Web Servern ausnutzt, auf denen die PHP-Bulletin-Software zum Einsatz kommt. Zwar sind Google-User nicht durch den Wurm in Gefahr, wir helfen jedoch dabei, die Ausbreitung zu stoppen, indem wir Suchabfragen blocken, die von dem Wurm kommen", so ein Google-Sprecher gegenüber ZDNet Australien.
Google wurde in die Pflicht genommen, als Anti-Viren-Spezialisten wie F-Secure öffentlich die Ansicht vertraten, dass es für das Unternehmen kein Problem sei, die Ausbreitung des Wurms zu stoppen. Bereits im August hat eine Variante von MyDoom Google zur Suche nach E-Mail-Adressen genutzt. Dabei hat der Schädling so viele Anfragen generiert, dass Google zeitweise mit erheblichen Performance-Problemen zu kämpfen hatte.