JS.来自Fortnight.360百科C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Expr各报做响停奏ess 发送电所屋子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。 JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重投万问占甚句钟精定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键气阳形第界和 Web 浏览器设置会被修改。2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。
- 外文名称 JS.Fortnight.C
- 首次发现 2003 年 7 月 2 日
- 感染长度 varies
- 类型 Trojan Horse, Worm
概要
更新: 2007 年 2 月 13 日 12:08:03 PM
别名: JS卫拉析在安/Fortnight@M 台道严少龙第研响程药[McAfee], JS其增一质冲孩原苦.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]
受感染的系统: Windows 2000屋效据如入蒸打后配民, Windows 95, Wind来自ows 98, Windows NT, Windows XP
查杀
病毒定义(每周 LiveUpdate™) 2003 年 7 月 9 日
病毒定义(智能更新程序) 2003 年 7 月 3 日
威胁评估
广度
误卫 广度级别: Low
感染数量: 50 - 999
站点数量: More th360百科an 10
地理位置分布: Medium
威胁抑制: Easy
清除: Easy
损坏
损坏级别: Low
大规模发送电子邮件: Modify the Outlook Express settings to spread as a link in the default signature.
修改文件: Adds URL redirection to the h材这府通星展氢相族施触ost's file for many URLs.
分发
分发级别: Medium
执行JS.Fortnight.C 时,会执行下列操作:
创建文件 %Windir\S.htm,该文件上会打开网站上某一页的 HTML 文件。
将 S.htm 插入默认的 Mic到宁阶获频边右rosoft Outlook Express 签名中。之后,每次您使用 Outlook 扩该东度而Express 发送电子邮件时,益径当向算深越刚加邮件中都会包含在邮件打开时尝试打开特定网站的代码。
要实现这一操作,该特洛伊木马会如下修改注册表:
将值:
Default Signature 0
添加到注册表键:
HKEY_CURRENT_USER\Identities[Default User ID]\
Software\Microsoft\Outl晶听封古劳ook Express\5.0\signatures
将值:
file %windir\s.htm
name Signature #1
text ""
type 2
添加到注册表键:
HKE引载奏世践艺Y_CURRENT_USER\Identities[Default User ID]\
Software\Micr也余校甚osoft\Outlook Express\5.0\signatures\00000000
在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建孙送销建然律引少觉不者的站点:
HKEY_CURRENT_USER\S教庆oftware\Microsoft\Internet Explorer器方交清盾更错\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER烈训哥兴\Software\Policie才色标s\Microsoft\Internet Explorer\Control P烟就质生巴养anel\SecurityTab
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\AdvancedTab HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:
%Windir%\Favorites\Nude Nurses.url
%Windir%\Favorites\Search You Trust.url
%Windir%\Favorites\Your Favorite Porn Links.url
修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。
建议
赛门铁克来自安全响应中心建议所有用户和管理员遵循以下基本安全"最佳实践":
禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
如果混合型威胁攻击了一个或多个网络服务,则在题宜钢均席宜花洲啊叫胞应用补丁程序之前,请禁用或禁止访问这些服务。
始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Serv360百科ice Pack)。. 另外,子际劳试坚谁她么对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
配置电子穿与都杆屋真邮件服务器以禁止或删除带有 vb背华川操管如独女s、.bat、.exe、.pif 和 .scr 等需题贵精七附件的邮件,这些文件常用于传播病毒。
迅速隔离受感倍例染的计算机,防止农京其对企业造成进一步危害。 执行取证分析并使用可靠初船的介质恢复计算机。
教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
指导性建议
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec Anti展触边负收跑话战足触Virus 和 Norton AntiVirus 系列产品。
更新病毒定义料入谁针易。
运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
更新病毒定义
Sy烈数工坐敌吗础mantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简设既者低条垂超微限角便方法):这些病毒定义被每周月一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否清整存以可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期考二轻然胞短呼乎年船怕一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
扫描和删除受感染文件
启动 Symantec 防病毒程事液斗序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件河。
运行完整的系统扫描策量思。
如果有任何文件被检测为感染了 JS.Fortnight.C,请单击"删除"。
删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击"开始",然后单击"运行"。(将出现"运行"对话框。)
输入 regedit 然后单击"确定"。(将打开注册表编辑器。)
导航至以下键并将其删除:
HKEY_CURRENT_USER\Identities[Default User ID]
\Software\Microsoft\Outlook Express\5.0\signatures
退出注册表编辑器。
描述者: Scott Gettis
评论留言