JS.Fortnight.C 是一個放置檔案的特洛伊木馬,隨後該檔案會插入 Microsoft Outlook Express 的默認簽名中。之後,每次您使用 Outlook Express 傳送電子郵件時,郵件中都會包含在收件人打開電子郵件時嘗試進入特定網站的代碼。 JS.Fortnight.C 利用使用 IFRAME 標記(通過設定為特洛伊木馬創建者的地址的 SRC 欄位)的 Microsoft VM 漏洞。在一系列重定向後,編碼的 JavaScript 將載入包含漏洞的小程式。在未打補丁的系統上,有各種註冊表鍵和 Web 瀏覽器設定會被修改。2003 年 7 月 3 日之前的病毒定義會將某些檔案檢測為 JS.Fortnight。
基本介紹
- 外文名:JS.Fortnight.C
- 首次發現:2003 年 7 月 2 日
- 感染長度: varies
- 類型:Trojan Horse, Worm
概要,查殺,建議,指導性建議,更新病毒定義,掃描和刪除受感染檔案,刪除對註冊表所做的更改,
概要
更新: 2007 年 2 月 13 日 12:08:03 PM
別名: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows NT, Windows XP
查殺
病毒定義(每周 LiveUpdate™) 2003 年 7 月 9 日
病毒定義(智慧型更新程式) 2003 年 7 月 3 日
威脅評估
廣度
廣度級別: Low
感染數量: 50 - 999
站點數量: More than 10
地理位置分布: Medium
威脅抑制: Easy
清除: Easy
損壞
損壞級別: Low
大規模傳送電子郵件: Modify the Outlook Express settings to spread as a link in the default signature.
修改檔案: Adds URL redirection to the host's file for many URLs.
分發
分發級別: Medium
執行JS.Fortnight.C 時,會執行下列操作:
創建檔案 %Windir\S.htm,該檔案上會打開網站上某一頁的 HTML 檔案。
將 S.htm 插入默認的 Microsoft Outlook Express 簽名中。之後,每次您使用 Outlook Express 傳送電子郵件時,郵件中都會包含在郵件打開時嘗試打開特定網站的代碼。
要實現這一操作,該特洛伊木馬會如下修改註冊表:
將值:
Default Signature 0
添加到註冊表鍵:
HKEY_CURRENT_USER\Identities[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures
將值:
file %windir\s.htm
name Signature #1
text ""
type 2
添加到註冊表鍵:
HKEY_CURRENT_USER\Identities[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures\00000000
在註冊表中更改以下 Internet Explorer 設定以將電子郵件收件人指向特洛伊木馬創建者的站點:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\SecurityTab
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\AdvancedTab HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
%Windir%\Favorites\Nude Nurses.url
%Windir%\Favorites\Search You Trust.url
%Windir%\Favorites\Your Favorite Porn Links.url
修改 Windows Host 檔案,將許多 URL 都重新定向為特洛伊木馬創建者的站點。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。 這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
指導性建議
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
更新病毒定義。
運行完整的系統掃描,並刪除所有被檢測為 JS.Fortnight.C 的檔案。
刪除添加到註冊表的值。
有關每個步驟的詳細信息,請閱讀以下指導。
更新病毒定義
Symantec 在將病毒定義發布到伺服器之前,會對所有病毒定義進行徹底測試,以確保其質量。可使用以下兩種方法獲取最新的病毒定義:
運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
掃描和刪除受感染檔案
啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
運行完整的系統掃描。
如果有任何檔案被檢測為感染了 JS.Fortnight.C,請單擊“刪除”。
刪除對註冊表所做的更改
警告:賽門鐵克強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表
單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
輸入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
導航至以下鍵並將其刪除:
HKEY_CURRENT_USER\Identities[Default User ID]
\Software\Microsoft\Outlook Express\5.0\signatures
退出註冊表編輯器。
描述者: Scott Gettis
