製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
JS/Fortnight.c@M
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4269
対応定義ファイル
(現在必要とされるバージョン)
4306 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名JS_FORTNIGHT.E (Trend)
情報掲載日03/05/30
発見日(米国日付)03/05/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・JS/Fortnight.c@Mは、Microsoft Outlook Expressで送信されるすべての電子メールメッセージに短いHTMLコードを挿入して繁殖します。新しいHTMLファイルを作成して、Outlook Expressで使用されるデフォルトの署名ファイルに設定します。このウイルスは、Internet Explorerの脆弱性を悪用して繁殖します。この脆弱性についての詳細は、Exploit-ByteVerifyをご覧ください。

概要

・JS/Fortnight.c@Mは、すべての電子メールメッセージに挿入されたHTMLコードで届きます。このコードは、SRCを伴うIFRAMEタグを使用して、リモートのWebサイトを設定します。このメッセージにアクセスすると、リモートのWebサイトに接続します。このサイトはエンコードされたJavaScriptを含んでおり、脆弱性を悪用するAPPLETを読み込みます。パッチを適用していないシステムは、以下のように改変されます。

ワームのインストール

・WINDOWSディレクトリに、IFRAME署名を含むHTML署名ファイルs.htmが書き込まれます。このHTMLファイルをデフォルトの署名に設定するようにレジストリが改変されます。

  • HKEY_CURRENT_USER\Identities\%current user id%\Software\Microsoft\
    Outlook Express\5.0\signatures "Default Signature" = 0
  • HKEY_CURRENT_USER\Identities\%current user id%\Software\Microsoft\
    Outlook Express\5.0\signatures\00000000 "file" = C:\WINDOWS\s.htm
  • HKEY_CURRENT_USER\Identities\%current user id%\Software\Microsoft\
    Outlook Express\5.0\signatures\00000000 "name" = Signature #1
  • HKEY_CURRENT_USER\Identities\%current user id%\Software\Microsoft\
    Outlook Express\5.0\signatures\00000000 "text" = ""
  • HKEY_CURRENT_USER\Identities\%current user id%\Software\Microsoft\
    Outlook Express\5.0\signatures\00000000 "type" = 2

・上記のように改変されると、感染システムから送信されるすべての電子メールメッセージは、このワームに感染する署名を含むようになります。

Internet Explorerの改変

・JS/Fortnight.c@MはInternet Explorerの設定を改変し、ウイルスの作成者のWebサイトにアクセスさせます(広告目的と考えられます)。広告目的で使用されるこのようなプログラムは、“scumware”と呼ばれることがあります。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Search Bar"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search "CustomizeSearch"
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search "SearchAssistant"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main "Search Page"
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix "(デフォルト)"

・以下のレジストリを改変して、インターネットオプション設定の「詳細設定」と「セキュリティ」を表示しないようにします。

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel "AdvancedTab"
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel "SecurityTab"

システムの改変

・以下のHOSTSファイルが上書きされ、何百ものアドレスのうちの1つが入力されるとウイルスの作成者のWebサイトにリダイレクトします。

  • c:\WINDOWS\hosts(11,737バイト)

ショートカットの作成

・「お気に入り」のフォルダに、ウイルス作成者のWebサイトへのショートカットが作成されます。

  • c:\WINDOWS\Favorites\Nude Nurses.url
  • c:\WINDOWS\Favorites\Search You Trust.url
  • c:\WINDOWS\Favorites\Your Favorite Porn Links.url

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・感染システムから送信されるすべての電子メールメッセージに、通常とは異なる署名が挿入されます。

感染方法TOPへ戻る

・JS/Fortnight.c@Mは、電子メールで繁殖します。感染した電子メールメッセージが届くと、その他のコンポーネントがダウンロードされ、システムはウイルスのキャリアとなります。このウイルスには、破壊的な発病ルーチンはありません。

駆除方法TOPへ戻る

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足