情況
發現: 2001 年 8 月 16 日
更新: 2007 年 2 月 13 日 12:06:08 PM
類型: Trojan Horse
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2000-1061
JS.Exception.Exploit 是一個利用漏洞的病毒,該漏洞允許 Java 小程式在未安裝修補程式的 Microsoft Internet Explorer 版本中運行任意代碼。在很多情況下,小程式可能會執行類似更改 Internet Explorer 主頁這樣的簡單操作。然而,它也可以被編寫為執行類似群發郵件這樣的操作(如 VBS.Loding.A@mm),或者在您的計算機中創建可執行幾乎任何惡意操作的檔案。
有關詳細信息,請參閱本文檔結尾處的“其他信息”部分。
以下是一些有關 JS.Exception.Exploit 的常見問題:
從何處可以獲得 Microsoft 修補程式?
Microsoft 已經發布了用於消除此安全漏洞的修補程式。您可以從以下 Microsoft 站點下載此修補程式:
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-081.asp
有關漏洞的完整列表,請參閱以下 Microsoft 網頁:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/current.asp
什麼是利用漏洞的病毒,JS.Exception.Exploit 可以執行什麼操作?
利用漏洞的病毒是一種可以利用程式或作業系統中的安全漏洞的代碼。您可以將其看作可以開啟封閉大門的鑰匙。如果門被打開,那么幾乎任何事物都可進來。JS.Exception.Exploit 可以被編寫為在未安裝修補程式的系統中執行任何操作,如:
複製並運行病毒、蠕蟲或特洛伊木馬
創建並運行可以向黑客傳送信息的檔案。
更改 Internet Explorer 主頁(這是 JS.Exception.Exploit 最常見的用法,但攻擊者可以將其配置為執行任何操作。)
在我訪問某些網站時,Norton AntiVirus (NAV) 檢測到了 JS.Exception.Exploit,但不“刪除”它。為什麼?
當您訪問 JS.Exception.Exploit 網站時,NAV 通常會在臨時 Internet 檔案中檢測到該漏洞病毒。然後,NAV 會報告無法修復、隔離甚至刪除此檔案。這種情況可能會出現多次,直到您關閉此網站為止。此後如果使用 NAV 進行掃描,將不會發現任何感染。其原因如下:
NAV 檢測到的是漏洞病毒本身,當它被複製到 Temporary Internet Files 資料夾時,NAV 在自動防護掃描它時將它檢測出來。由於關閉網頁時會立即刪除這些臨時檔案,所以在常規掃描過程中將不會發現該漏洞病毒,因為它已不存在。同樣,由於檢測到的是漏洞病毒本身,因此,即使使用已安裝修補程式的系統,甚至使用其他 Web 瀏覽器,也還是會檢測到該病毒。
防護
病毒定義(每周 LiveUpdate™) 2001 年 8 月 20 日
病毒定義(智慧型更新程式) 2001 年 8 月 20 日
威脅評估
廣度
廣度級別: High
感染數量: More than 1000
站點數量: More than 10
地理位置分布: High
威脅抑制: Easy
清除: Easy
損壞
損壞級別: Low
分發
分發級別: Low
此代碼的結構特殊,涉及到對 <Applet> 標記的非法使用。至少已有一個安全論壇公布了此漏洞病毒。有關此漏洞病毒的詳細信息可從 Microsoft 的 Technet 站點獲得:
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-075.asp
建議
解決辦法
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。 這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
以下是殺除最常見的 JS.Exception.Exploit 變種的一般指導。如果 JS.Exception.Exploit 在未安裝修補程式的系統中運行,且該系統未安裝最新的病毒定義,則還可能會更改或添加其他註冊表值或註冊表鍵,並將其他檔案複製到該系統。以下指導將撤消最常見的更改。如果需要幫助,請從合格的防毒顧問或計算機顧問處獲得服務。
更新病毒定義。
運行完整的系統掃描,並刪除所有被檢測為 JS.Exception.Exploit 的檔案。
在註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MainDelete any value
中,檢查下列值的“數據”列中的文本:
Start Page
Search Page
Default_Page_URL
Default_Search_URL
如果其中任何值引用了可疑地址(如 http:/ /jethomepage.com),請清除值數據。
有關如何完成這些操作的詳細信息,請參閱下列指導。
更新病毒定義:
所有病毒定義在發布至我們的伺服器之前,都經過了 Symantec 安全回響中心的全面質量監控測試。可以通過兩種方式獲得最新的病毒定義:
運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未遇重大病毒爆發情況,這些病毒定義會每周在 LiveUpdate 伺服器上發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。必須從 Symantec 安全回響中心網站下載病毒定義,並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
掃描和刪除受感染檔案:
啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
賽門鐵克企業版防病毒產品:請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案”。
運行完整的系統掃描。
如果有任何檔案被檢測為感染了 JS.Exception.Exploit,請單擊“刪除”。
從註冊表刪除值:
警告:Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改,可能導致永久性數據丟失或檔案損壞。請僅修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
單擊“開始”,然後單擊“運行”。將出現“運行”對話框。
鍵入 regedit,然後單擊“確定”。“註冊表編輯器”打開。
導航至下列鍵:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MainDelete any value
在右窗格中,查找下列值:
Start Page
Search Page
Default_Page_URL
Default_Search_URL
雙擊找到的每個值。將出現“編輯字元串”對話框。
如果“數值數據”框中的文本指向可疑的網頁,如下圖中顯示的值 http:/ /jethomepage.com:
請刪除“數值數據”框中的所有文本,如下所示:
單擊“確定”。(不需要在此框中輸入任何內容。)
在對步驟 4 中提及的所有值都完成此操作後,單擊“註冊表”,然後單擊“退出”。
描述者: Patrick Nolan
