JS.Exception.Exploit

发现时间： 2001.08.16

上次更新时间： 2003.06.03

JS.Exception.Exploit 是一个利用漏洞的病毒，该漏洞允许 Java 小程序在未安装修补程序的 Microsoft Internet Explorer 版本中运行任意代码。在很多情况下，小程序可能会执行类似更改 Internet Explorer 主页这样的简单操作。然而，它也可以被编写为执行类似群发邮件这样的操作（如 VBS.Loding.A@mm），或者在您的计算机中创建可执行几乎任何恶意操作的文件。

有关详细信息，请参阅本文档结尾处的“其他信息”部分。

类型: Trojan Horse

CVE 参考: CVE-2000-1061

病毒定义 (每周的LiveUpdate™)

2001.08.20

病毒定义 (Intelligent Updater)

2001.08.20

威胁评估

广度

感染数量: 大于 1000
站点数量: 大于 10
地理分布: 高度
威胁遏制: 容易
消除威胁能力: 容易

威胁度量

广度: 高度	损坏程度: 低度	分发: 低度

技术详细说明

此代码的结构特殊，涉及到对 <Applet> 标记的非法使用。至少已有一个安全论坛公布了此漏洞病毒。有关此漏洞病毒的详细信息可从 Microsoft 的 Technet 站点获得：
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-075.asp

赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。

注意：

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
以下是杀除最常见的 JS.Exception.Exploit 变种的一般指导。如果 JS.Exception.Exploit 在未安装修补程序的系统中运行，且该系统未安装最新的病毒定义，则还可能会更改或添加其他注册表值或注册表键，并将其他文件复制到该系统。以下指导将撤消最常见的更改。如果需要帮助，请从合格的杀毒顾问或计算机顾问处获得服务。

更新病毒定义。
运行完整的系统扫描，并删除所有被检测为 JS.Exception.Exploit 的文件。
在注册表键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MainDelete any value

中，检查下列值的“数据”列中的文本：
Start Page
Search Page
Default_Page_URL
Default_Search_URL
如果其中任何值引用了可疑地址（如 http:/ /jethomepage.com），请清除值数据。

有关如何完成这些操作的详细信息，请参阅下列指导。

更新病毒定义：
所有病毒定义在发布至我们的服务器之前，都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义：

运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。
使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。必须从 Symantec 安全响应中心网站下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

智能更新程序病毒定义可从

这里

获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击

这里

。

扫描和删除受感染文件：

启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。
- Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。
- 赛门铁克企业版防病毒产品：请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Exception.Exploit，请单击“删除”。

从注册表删除值：
警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

单击“开始”，然后单击“运行”。将出现“运行”对话框。
键入 regedit，然后单击“确定”。“注册表编辑器”打开。
导航至下列键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MainDelete any value
在右窗格中，查找下列值：
Start Page
Search Page
Default_Page_URL
Default_Search_URL
双击找到的每个值。将出现“编辑字符串”对话框。
如果“数值数据”框中的文本指向可疑的网页，如下图中显示的值 http:/ /jethomepage.com：

请删除“数值数据”框中的所有文本，如下所示：
单击“确定”。（不需要在此框中输入任何内容。）
在对步骤 4 中提及的所有值都完成此操作后，单击“注册表”，然后单击“退出”。
其它信息:

以下是一些有关 JS.Exception.Exploit 的常见问题：

从何处可以获得 Microsoft 修补程序？
Microsoft 已经发布了用于消除此安全漏洞的修补程序。您可以从以下 Microsoft 站点下载此修补程序：
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-081.asp

有关漏洞的完整列表，请参阅以下 Microsoft 网页：
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/current.asp

什么是利用漏洞的病毒，JS.Exception.Exploit 可以执行什么操作？
利用漏洞的病毒是一种可以利用程序或操作系统中的安全漏洞的代码。您可以将其看作可以开启封闭大门的钥匙。如果门被打开，那么几乎任何事物都可进来。JS.Exception.Exploit 可以被编写为在未安装修补程序的系统中执行任何操作，如：

复制并运行病毒、蠕虫或特洛伊木马
创建并运行可以向黑客发送信息的文件。
更改 Internet Explorer 主页（这是 JS.Exception.Exploit 最常见的用法，但攻击者可以将其配置为执行任何操作。）

在我访问某些网站时，Norton AntiVirus (NAV) 检测到了 JS.Exception.Exploit，但不“删除”它。为什么？
当您访问 JS.Exception.Exploit 网站时，NAV 通常会在临时 Internet 文件中检测到该漏洞病毒。然后，NAV 会报告无法修复、隔离甚至删除此文件。这种情况可能会出现多次，直到您关闭此网站为止。此后如果使用 NAV 进行扫描，将不会发现任何感染。其原因如下：

NAV 检测到的是漏洞病毒本身，当它被复制到 Temporary Internet Files 文件夹时，NAV 在自动防护扫描它时将它检测出来。由于关闭网页时会立即删除这些临时文件，所以在常规扫描过程中将不会发现该漏洞病毒，因为它已不存在。同样，由于检测到的是漏洞病毒本身，因此，即使使用已安装修补程序的系统，甚至使用其他 Web 浏览器，也还是会检测到该病毒。

修订记录:

2002 年 6 月 18 日，包括删除注册表值的新删除指导。

作者: Patrick Nolan