A féreg a szintén a közelmúltban felbukkanty Santy-hoz hasonlóan internetes keresők segítségével próbál a potenciálisan megtámadható oldalakat felkutatni, utóbbival szemben azonban nem csak a phpBB fórummotort, hanem minden más PHP-alapú weboldalt megpróbál megtámadni. A kártevő ráadásul a Google-on kívül a Yahoo keresőjét is fel tudja használni, így az előbbin a Santy kapcsán foganatosított védelem nem tud kifogni rajta.
A PhpInclude a behatolási kísérlet során az oldal összes szkriptjét és paraméterét végigpróbálja, így egyetlen egy nem megfelelően ellenőrzött kódrészlet vagy állomány is bejutásts biztosíthat számára. A próbálkozások egyébként a megtámadott szervereken jelentős forgalomnövekedést okoznak, amely már önmagában is működési zavarokhoz, vagy akár a kiszolgálás teljes leállásához vezethet.
Sikeres fertőzés esetén a kártevő a gépekre egy IRC csatornán keresztül vezérelhető hátsó kaput telepít, amely praktikusan bármilyen művelet elvégézésre lehetőséget adhat a támadók számára a webkiszolgáló jogosultságai mellett.
A PhpInclude.Worm-ról bővebb információk a K-otik oldalán olvashatók. A kártevő elleni védekezés egyetlen módja a hibás szkriptek kijavítása.
szerző: Sting
forrás: http://pcforum.hu/hirek/?qnid=9202
