JS.Exception.Exploit_在线百科全书查询
JS.Exception.Exploit
JS.Exception.Exploit 是一个利用漏洞的病毒,该漏洞允许 Java 小程序在未安装修补程序的 Microsoft Internet Explorer 版本中运行任意代码。或者在您的计算机中创建可执行几乎任何恶意操作的文件。
基本信息
发现: 2001 年 8 月 16 日
更新: 2007 年 2 月 13 日 12:06:08 PM
类型: Trojan Horse
受感染的系统:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 参考:
CVE-2000-1061
在很多情况下,小程序可能会执行类似更改 Internet Explorer 主页这样的简单操作。然而,它也可以被编写为执行类似群发邮件这样的操作有关详细信息,请参阅本文档结尾处的“其他信息”部分。
以下是一些有关 JS.Exception.Exploit 的常见问题:
从何处可以获得 Microsoft 修补程序?
Microsoft 已经发布了用于消除此安全漏洞的修补程序。您可以从以下 Microsoft 站点下载此修补程序:
有关漏洞的完整列表
有关漏洞的完整列表,请参阅以下 Microsoft 网页:
什么是利用漏洞的病毒
什么是利用漏洞的病毒,JS.Exception.Exploit 可以执行什么操作?
利用漏洞的病毒是一种可以利用程序或操作系统中的安全漏洞的代码。您可以将其看作可以开启封闭大门的钥匙。如果门被打开,那么几乎任何事物都可进来。JS.Exception.Exploit 可以被编写为在未安装修补程序的系统中执行任何操作,如:
复制并运行病毒、蠕虫或特洛伊木马
创建并运行可以向黑客发送信息的文件。
更改 Internet Explorer 主页(这是 JS.Exception.Exploit 最常见的用法,但攻击者可以将其配置为执行任何操作。)
访问网站发现病毒不能删除的原因
在我访问某些网站时,Norton AntiVirus (NAV) 检测到了 JS.Exception.Exploit,但不“删除”它。为什么?
当您访问 JS.Exception.Exploit 网站时,NAV 通常会在临时 Internet 文件中检测到该漏洞病毒。然后,NAV 会报告无法修复、隔离甚至删除此文件。这种情况可能会出现多次,直到您关闭此网站为止。此后如果使用 NAV 进行扫描,将不会发现任何感染。其原因如下:
NAV 检测到的是漏洞病毒本身,当它被复制到 Temporary Internet Files 文件夹时,NAV 在自动防护扫描它时将它检测出来。由于关闭网页时会立即删除这些临时文件,所以在常规扫描过程中将不会发现该漏洞病毒,因为它已不存在。同样,由于检测到的是漏洞病毒本身,因此,即使使用已安装修补程序的系统,甚至使用其他 Web 浏览器,也还是会检测到该病毒。
防护
病毒定义(每周 LiveUpdate™) 2001 年 8 月 20 日
病毒定义(智能更新程序) 2001 年 8 月 20 日
威胁评估
广度
广度级别: High
感染数量: More than 1000
站点数量: More than 10
地理位置分布: High
威胁抑制: Easy
清除: Easy
损坏
损坏级别: Low
分发
分发级别: Low
此代码的结构特殊,涉及到对 <Applet> 标记的非法使用。至少已有一个安全论坛公布了此漏洞病毒。有关此漏洞病毒的详细信息可从 Microsoft 的 Technet 站点获得:
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。 这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
注意:
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
以下是杀除最常见的 JS.Exception.Exploit 变种的一般指导。如果 JS.Exception.Exploit 在未安装修补程序的系统中运行,且该系统未安装最新的病毒定义,则还可能会更改或添加其他注册表值或注册表键,并将其他文件复制到该系统。以下指导将撤消最常见的更改。如果需要帮助,请从合格的杀毒顾问或计算机顾问处获得服务。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 JS.Exception.Exploit 的文件。
在注册表键
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MainDelete any value
中,检查下列值的“数据”列中的文本:
Start Page
Search Page
Default_Page_URL
Default_Search_URL
如果其中任何值引用了可疑地址,请清除值数据。
有关如何完成这些操作的详细信息,请参阅下列指导。
更新病毒定义:
所有病毒定义在发布至我们的服务器之前,都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况,这些病毒定义会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日(周一至周五)发布。必须从 Symantec 安全响应中心网站下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义,请单击这里。
扫描和删除受感染文件:
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Exception.Exploit,请单击“删除”。
从注册表删除值:
警告:Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。将出现“运行”对话框。
键入 regedit,然后单击“确定”。“注册表编辑器”打开。
导航至下列键:
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MainDelete any value
在右窗格中,查找下列值:
Start Page
Search Page
Default_Page_URL
Default_Search_URL
双击找到的每个值。将出现“编辑字符串”对话框。
如果“数值数据”框中的文本指向可疑的网页,如下图中显示的值
请删除“数值数据”框中的所有文本,如下所示:
单击“确定”。(不需要在此框中输入任何内容。)
在对步骤 4 中提及的所有值都完成此操作后,单击“注册表”,然后单击“退出”。
描述者: Patrick Nolan
