Una vez localiza dichos servidores, utiliza la vulnerabilidad PHPBB Remote URLDecode Input Validation Vulnerability para obtener acceso remoto al servidor web. Cuando lo obtiene, recorre los diferentes directorios y sobrescribe los ficheros con extensión .asp, .htm, .jsp, .php, .phtm y .shtm instalando una página que muestra el siguiente mensaje: “This site is defaced!!! NeveEverNoSanity WebWorm generation X”. En este mensaje, “x” va cambiando en función de las infecciones que el nuevo virus lleva a cabo.
Este gusano de Internet afecta únicamente a servidores y se distribuye entre ellos, por lo que un usuario doméstico no se va a ver afectado por él. Tampoco resultará infectado si visita las páginas que han resultado afectadas. Dada que la vulnerabilidad afecta a la aplicación, los servidores web pueden tener sistemas operativos tanto Windows como Linux.
Igualmente, es posible que, si se continúa distribuyendo masivamente, se ralenticen los servicios de Internet e incluso lleguen a colapsarse.
Ante la alta probabilidad de un encuentro con PHP/Santy.A.worm o con las nuevas variantes de PHP/Santy.A.worm, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.
Asimismo, los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPrevent junto con su antivirus y estar, así, protegidos de forma preventiva frente a éstos u otros nuevos códigos maliciosos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPrevent Corporate, para servidores y estaciones, es la solución idónea, ya que es compatible y complementario a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados.