JS/Fortnight (alias SetPage, Forten)

Dieser Schädling verbreitet sich in E-Mails, die als HTML formatiert sind. Er missbraucht dabei eine Sicherheitslücke des Internet Explorers [1], die seit rund drei Jahren bekannt ist und via Windows-Update [2] gestopft werden kann.

Die Ur-Variante (JS/Fortnight.A):

Bei allen z.B. von F-Secure beschriebenen [3] Varianten des Fortnight-Scripts liegt der eigentliche Wurmcode auf einer Webseite und wird von dort ausgeführt, sobald der Inhaber eines ungepatchten PCs eine infizierte Mail mit einem anfälligen Mailprogramm (z.B. Outlook, Outlook Express) öffnet.

Das schädliche Script nimmt Änderungen in der Windows-Registry vor, ändert die Startseite des Internet Explorers und fügt unerwünschte Links in die Favoriten des Internet Explorers ein.

Für seine Verbreitung sorgt der Wurm, indem er im Ordner "C:\Programme\" oder "C:\Program Files\" eine Datei namens "sign.htm" ablegt und diese bei Outlook Express 5.0 als Standard-Signatur einträgt. Ab diesem Zeitpunkt enthält jede Mail, die mit dem Mailprogramm verschickt wird, eine Signatur mit dem schädlichen Link.

Die Webseite, auf welcher diese Wurm-Variante lag, ist inzwischen abgeschaltet.

Die Variante B:

Diese verbreitet sich mit derselben Masche, speichert aber die schädliche Outlook-Express-Signatur unter dem Dateinamen "s.htm" in den Windows-Ordner.

Zusätzlich erstellt das Fortnight.B-Script im Windows-Ordner eine Datei namens "hosts" (ohne Endung) und füllt diese mit falschen Einträgen. Dies bewirkt auf PCs mit Windows 95/98/ME, dass die in der Hosts-Datei eingetragenen Webseiten auf eine falsche IP-Adresse umgeleitet werden.

Die Variante.C:

Auch JS/Fortnight.C ähnelt seinen Vorgängern sehr, missbraucht aber eine neuere Sicherheitslücke [4]. Auch diese kann via Windows-Update geschlossen werden.

Eine per Outlook-Express-Signatur automatisch von der Virenschreiber-Webseite heruntergeladene JAR-Datei legt ebenfalls drei unerwünschte Favoriten an, ändert die Standard-Suchseite des Internet Explorers und deaktiviert im Internet Explorer im Menü "Extras/Optionen" die beiden Register "Sicherheit" und "Erweitert".

Zusätzlich zum hosts-File mit den falschen Einträgen verändert das Fortnight.C-Script die Einstellungen des Internet Explorers, sodass der Benutzer erst auf eine falsche und erst anschliessend auf die richtige Webadresse geleitet wird, wenn er das "http://" bei der Webadresse nicht mit eintippt.

Es sind noch mehr ähnliche Varianten von Fortnight aufgetaucht. Was die durch den Fortnight-Wurm geänderten Registry-Einstellungen betrifft, könnten (diesmal gemäss Sophos [5]) diese Registry-Einträge betroffen sein:

In diese Registry-Zweige trägt der Wurm seine Webseite ein:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Er ändert die Werte der Einträge "Search Bar" und "Search Page"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

Er ändert die Werte der Einträge "CustomizeSearch" und "SearchAssistant"

In diesem Registry-Zweig

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\

ändert oder erstellt er Einträge "SecurityTab" und "AdvancedTab", damit die Register "Sicherheit" und "Erweitert" in den Internet-Explorer-Optionen nicht mehr angezeigt werden.

Und hier

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

ändert er den Eintrag "Standard", damit statt "http://" seine Webseite drinsteht.

Gemäss Symantec [6] ändert der Wurm auch die Startseite des allenfalls installierten Netscape-Browsers, indem er seine Webseite in diesem Registry-Zweig einträgt:

HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Main\

Und für die Änderung der Standard-Signatur von Outlook Express missbraucht der Wurm diese Registry-Einträge (gemäss NAI [7]):

HKEY_CURRENT_USER\Identities\(User-ID)\Software\Microsoft\

Outlook Express\5.0\signatures:

"Default Signature" = 0

HKEY_CURRENT_USER\Identities\(User-ID)\Software\Microsoft\

Outlook Express\5.0\signatures\00000000:

"file" = C:\WINDOWS\s.htm

HKEY_CURRENT_USER\Identities\(User-ID)\Software\Microsoft\

Outlook Express\5.0\signatures\00000000:

"name" = Signature #1

HKEY_CURRENT_USER\Identities\(User-ID)\Software\Microsoft\

Outlook Express\5.0\signatures\00000000:

"text" = (leer)

HKEY_CURRENT_USER\Identities\(User-ID)\Software\Microsoft\

Outlook Express\5.0\signatures\00000000:

"type" = 2

Um diesen garstigen Fortnight-Wurm wieder loszuwerden, installieren Sie einen Virenscanner, aktualisieren Sie diesen via Internet und stellen Sie ihn so ein, dass er alle Dateien scannt. Scannen Sie Ihre Festplatte und lassen Sie die Wurm-Dateien entfernen. Nun ist etwas Handarbeit im Registry-Editor angesagt. Sie müssen sämtliche in dieser Wurm-Beschreibung erwähnten Registry-Zweige und Einträge prüfen und die vom Wurm getätigten Einstellungen rückgängig machen. Falls Sie Windows 95/98 oder ME haben, suchen Sie im Windows-Ordner auch nach der Datei "hosts". Öffnen Sie diese im Editor (Notepad). Wenn sie Einträge zu Webseiten enthält, die Ihnen unbekannt sind, können Sie sie löschen (die hosts-Datei ist nur in Ausnahmefällen erforderlich).

Sie sehen, dass das Entfernen des Wurms bzw. seiner unerwünschten Änderungen einigen Aufwand bedeutet. Am besten halten Sie Ihr System per Windows-Update aktuell, um die Sicherheitslücken zu stopfen, die nicht nur von Fortnight, sondern auch von anderen Würmern und Viren missbraucht werden.