http://www.computerra.ru/think/sentinel/37208/
Детальный анализ вируса нарисовал следующую картину. Santy использует для проникновения на атакуемый узел "дыру" в phpBB. Этот форумный движок, разрабатываемый на принципах открытого кода, весьма популярен, но как и любой продукт не лишён уязвимостей. В начале ноября в его коде были найдены несколько серьёзных ошибок, опубликованы рецепты их применения и по миру прокатилась волна взломов. Вскоре "дыры" были устранены в новой версии продукта (2.0.11), но как это всегда бывает, многие администраторы поленились обновить форумы, находящиеся в их подчинении. Santy эксплуатирует как раз одну из этих ошибок. Передав некорректный запрос на атакуемую инсталляцию phpBB, он получает возможность выполнить на сервере произвольный код - после чего перекачивает на сайт свою копию и запускает её. Написан Santy на скриптовом языке Perl, так что для запуска ему требуется ещё и Perl-интерпретатор, но на большинстве серверов (вне зависимости от используемой операционной системы) он имеется. Так что после успешной атаки на phpBB, Santy крушил все HTML-странички (а также .php, .asp, .jsp и некоторых других типов) и приступал к поиску новой жертвы.
И вот здесь проявлялась его уникальная черта. Santy не содержит в своём теле поисковых алгоритмов. Вместо этого он пользуется услугами... поисковой машины Google. Червь формирует особого вида запрос, передаёт его поисковику и вычитывает результаты. С помощью Google Santy отыскивал сайты, использующие phpBB, и атаковал их.
