Santy.A là một loại sâu máy tính có khả năng lây lan mạnh, được hãng bảo mật F-Secure phát hiện vào ngày 21-12. Nó nhiễm vào các máy chủ Web đặt các diễn đàn trực tuyến viết bằng ngôn ngữ PHP, đồng thời sử dụng website tìm kiếm Goolge để tìm ra những máy chủ có lỗ hổng để lây nhiễm. Santy cũng không lây nhiễm vào các máy tính cá nhân, trừ khi các máy tính này cũng đặt các diễn đàn viết bằng phần mềm phpBB.
Loại sâu máy tính này khai thác một lỗ hổng phần mềm nghiêm trọng trong phần mềm mã nguồn mở phpBB, được sử dụng rộng rãi để tạo ra và duy trì các diễn đàn trực tuyến. Một thành phần của phpBB có tên là viewtopic.php cho phép những tập lệnh có thể vượt qua và chạy trên máy chủ sử dụng phiên bản phần mềm phpBB chưa vá lỗi. Hãng bảo mật Secunia của Đan Mạch đã công bố về lỗ hổng này vào ngày 19-12. Trước đó một ngày (18-12), một phiên bản nâng cấp phần mềm phpBB vá lỗi này cũng đã được phát hành.
Kaspersky Labs cho biết, khi Santy lây nhiễm vào các máy chủ chạy phần mềm phpBB, nó sẽ quét các thư mục trên website bị lây nhiễm và ghi đè lên nội dung các file có phần mở rộng HTM, PHP, ASP, SHTM, JSP và PHTM bằng dòng văn bản: "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation". Sâu máy tính này cũng thực hiện một lệnh tìm kiếm qua website tìm kiếm Google để tìm ra các máy chủ web có lỗ hổng bảo mật để xâm nhập.
Hiện các ước tính về tác động của sâu máy tính Santy rất khác nhau. Website tìm kiếm thử nghiệm MSN Search của Microsoft tìm thấy khoảng 30.000 đoạn văn bản dùng để thay đổi giao diện của các website. Tuy nhiên, những tìm kiếm tương tự từ các website tìm kiếm khác bao gồm cả website tìm kiếm chính thức MSN Search, Yahoo và Google lại cho các kết quả ít hơn nhiều, từ 785 (MSN) tới 2.030 (Yahoo).
Tuy nhiên, ông Johannes Ullrich, một chuyên gia của viện Bảo mật SANS cho rằng việc sử dụng các website tìm kiếm để nhận biết các dấu hiệu bị lây nhiễm, thí dụ như các đoạn ký tự làm thay đổi giao diện, là một phương pháp không chính xác để tìm con số máy chủ thực bị lây nhiễm Santy. Ông nói: "Santy không chỉ thay đổi giao diện các website khi nó có thể ghi đè các file, và không phải lúc nào nó cũng làm được việc đó vì còn phải tùy thuộc vào cấu hình máy chủ web (chạy phần mềm phpBB)".
Các chuyên gia chống virus cũng cho rằng Santy.A không đặt các chương trình Trojan hoặc các chương trình phá hoại lên các hệ thống mà nó lây nhiễm. Việc phân tích mã nguồn của Santy cho thấy loại sâu này có giai đoạn lây lan một cách lặng lẽ, nhiễm vào các máy chủ chạy phpBB nhưng không ghi đè lên các file và cũng không thay đổi giao diện của diễn đàn.
Sâu máy tính Santy là virus đầu tiên có bao gồm các trang web tìm kiếm nổi tiếng trong cơ chế lây lan. Tuy nhiên, bài học rút ra từ sự lây lan của virus này không có gì mới: luôn cập nhật các phần mềm chống virus và siết chặt cấu hình các máy chủ để ngăn chặn người dùng có những hành vi không thiện chí, thí dụ như ghi đè các file.
