Virus.JS.Fortnight

Класс Virus
Платформа JS
Описание

Technical Details

JS.Forthnight — это интернет-червь, распространяющий в письмах ссылку на свое тело, размещенное на Web-сайте.

Зараженные сообщения содержат скрытый линк на Web-страницу с червем. Когда пользователь открывает сообщение, линк загружает код червя в скрытом фрейме.

Сам код червя использует уязвимость «Microsoft VM ActiveX vulnerability». Именно использование этой уязвимости позволяет запускаться удаленному коду червя на локальном компьютере.

(Подробности об этой уязвимости и патч доступны на
http://www.microsoft.com/technet/security/bulletin/ms00-075.asp)

Для пометки заражения компьютера червь использует cookie с именем «TF». Если эта cookie не обнаружена червем, он изменяет стартовую страницу Internet Explorer на страницу, содержащую порнографию.

Затем червь копирует стандартную подпись Outlook Express 5.0 в файл «C:Program Filessign.htm» и добавляет в нее ссылку на сайт со своим телом. После этого все письма, отправленные с зараженного компьютера, содержат данную ссылку.

Червь добавляет три линка в «Избранное» браузера:

«SEXXX. Totaly Teen»
«Make BIG Money»
«6544 Search Engines Submission»,

по окончании своей работы червь устанавливает два файла cookie для пометки заражения компьютера.

Сайт, содержащий код червя, был заблокирован сразу после появления червя и в данный момент не функционирует.