• .asp
• .htm
• .jsp
• .php
• .phtm
• .shtml

ผลกระทบที่เกิดขึ้น

• มีการแสดงผลผิดพลาด : หนอนจะทำการเขียนทับไฟล์ที่มีนามสกุล .asp .htm .jsp .php .phtm และ .shtm

รายละเอียดทางเทคนิค

กระบวนการทำงานของหนอน Perl.Santy.A มีดังนี้

1. ค้นหาเว็บไซต์ที่มีหน้า viewtopic.php ด้วยGoogle ในการสร้างลิสต์ของเป้าหมายที่หนอนสามารถแพร่กระจายได้
2. พยายามโจมตีช่องโหว่ที่ชื่อ Exploitation of phpBB highlight parameter vulnerability เพื่อที่จะสามารถเข้าถึงเว็บเซิร์ฟเวอร์ผ่านระยะไกลได้
3. ถ้าหนอนสามารถเข้าถึงเว็บเซิร์ฟเวอร์เป้าหมายได้ จะคัดลอกตัวหนอนเองเป็นไฟล์ที่ชื่อ m1h020f
4. เขียนทับไฟล์ที่มีนามสกุลต่อไปนี้
   • .asp
   • .htm
   • .jsp
   • .php
   • .phtm
   • .shtml

   ด้วยข้อความว่า

   This site is defaced!!!
   NeverEverNoSanity WebWorm generation X

   โดยที่ X เป็นจำนวนของการแพร่กระจายของหนอนและเพิ่มขึ้นเรื่อยๆ ทุกครั้งที่มีการแพร่กระจาย

วิธีกำจัดหนอนชนิดนี้

• การกำจัดหนอนแบบอัตโนมัติ
  1. ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุงฐานข้อมูลให้เป็นตัวล่าสุด
  2. เรียกใช้งานโปรแกรมป้องกันไวรัส และลบทุกไฟล์ที่ถูกหนอนชนิดนี้แพร่กระจาย

• การกำจัดหนอนด้วยมือ
  1. ค้นหาและลบไฟล์ที่ชื่อ m1h020f ออกจากระบบ
  2. คืนไฟล์หน้าเว็บไซต์ที่ถูกเปลี่ยนไป

วิธีป้องกันตัวเองจากหนอนชนิดนี้

1. ติดตั้งโปรแกรมต่อต้านไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
2. เปลี่ยนไฟล์ที่มีชื่อว่า viewtopic.php เป็นไฟล์อื่นเพื่อลดความเสี่ยง
3. ติดตั้งโปรแกรมอุดช่องโหว่ของซอฟต์แวร์ phpBB ( ดาวน์โหลดจากลิงก์นี้ ) ให้กับระบบปฏิบัติการ
4. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
   
   โดย:katatummo
   ที่มา:www.thaicert.or.th