请输入您要查询的百科知识:

 

词条 JS.Fortnight.C
释义

JS.Fortnight.C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。 JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键和 Web 浏览器设置会被修改。2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。

JS.Fortnight.C病毒

首次发现: 2003 年 7 月 2 日

更新: 2007 年 2 月 13 日 12:08:03 PM

别名: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]

类型: Trojan Horse, Worm

感染长度: varies

受感染的系统: Windows 2000, Windows 95, Windows 98, Windows NT, Windows XP

JS.Fortnight.C查杀

病毒定义(每周 LiveUpdate™) 2003 年 7 月 9 日

病毒定义(智能更新程序) 2003 年 7 月 3 日

威胁评估

广度

广度级别: Low

感染数量: 50 - 999

站点数量: More than 10

地理位置分布: Medium

威胁抑制: Easy

清除: Easy

损坏

损坏级别: Low

大规模发送电子邮件: Modify the Outlook Express settings to spread as a link in the default signature.

修改文件: Adds URL redirection to the host's file for many URLs.

分发

分发级别: Medium

执行JS.Fortnight.C 时,会执行下列操作:

创建文件 %Windir\\S.htm,该文件上会打开网站上某一页的 HTML 文件。

将 S.htm 插入默认的 Microsoft Outlook Express 签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在邮件打开时尝试打开特定网站的代码。

要实现这一操作,该特洛伊木马会如下修改注册表:

将值:

Default Signature 0

添加到注册表键:

HKEY_CURRENT_USER\\Identities[Default User ID]\\

Software\\Microsoft\\Outlook Express\\5.0\\signatures

将值:

file %windir\\s.htm

name Signature #1

text ""

type 2

添加到注册表键:

HKEY_CURRENT_USER\\Identities[Default User ID]\\

Software\\Microsoft\\Outlook Express\\5.0\\signatures\\00000000

在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建者的站点:

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\SecurityTab

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\AdvancedTab HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\URL\\DefaultPrefix

在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:

%Windir%\\Favorites\ude Nurses.url

%Windir%\\Favorites\\Search You Trust.url

%Windir%\\Favorites\\Your Favorite Porn Links.url

修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。

JS.Fortnight.C防护建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

来源于杀毒软件的指导性建议

以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

更新病毒定义。

运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。

删除添加到注册表的值。

有关每个步骤的详细信息,请阅读以下指导。

1. 更新病毒定义

Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:

运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。

使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

2. 扫描和删除受感染文件

启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。

Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。

赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

运行完整的系统扫描。

如果有任何文件被检测为感染了 JS.Fortnight.C,请单击“删除”。

3. 删除对注册表所做的更改

警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表

单击“开始”,然后单击“运行”。(将出现“运行”对话框。)

输入 regedit 然后单击“确定”。(将打开注册表编辑器。)

导航至以下键并将其删除:

HKEY_CURRENT_USER\\Identities[Default User ID]

\\Software\\Microsoft\\Outlook Express\\5.0\\signatures

退出注册表编辑器。

描述者: Scott Gettis

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/4 8:28:37