A la mi-décembre, une épidémie touchant les sites qui hébergent un forum "phpBB " s’est déclarée. Pour seul responsable jusque là, un vers dénommé Santi.A. Ce script utilisait le moteur de recherche de Google pour localiser les forums vulnérables sur la toile et en détruire purement et simplement le contenu.

Malheureusement, Santi.A n’est plus tout seul depuis Noël. Deux variantes ont fait leur apparition dès le 25 décembre : Santi.B et Santi.C.

La variante de type B est une extension de Santi.A, qui utilise désormais les moteur de recherche AOL et Yahoo pour infecter les forums « PHPBB », Google ayant interdit l'utilisation de son moteur à ce vers.

Santi.C Quand à lui, pose un peu plus problème dans le sens où les forums ne sont plus la cible principale. Cette version C dont une variante, Santi.E, ne s’est pas fait attendre, utilise comme faille les "include" et "require" vulnérables (auxquels une variable est passée en paramètre). Le mode d’action de ces deux vers consiste à installer un « IRC-Bot » pour prendre le contrôle du site.

Alors que plus de 40.000 sites ont été infectés en quelques heures, il existe des moyens simples pour se protéger contre Santi. Concernant les variantes C et E, bien que leurs requêtes aient été en grande partie bloquées, il est tout de même fortement conseillé d’éviter l’utilisation non protégée d’un include ou d’un require dans une page php. Pour cela, il est préférable, quand cela est possible, d’inscrire en dur le nom de la page à inclure.

Pour les version A et B, une mise à jours de « phpBB» est nécessaire, les versions 2.0.10 et inférieures étant à risque.

phpBB 2.0.11