|||
Symantec.com > Security Response > JS.Exception.Exploit
IMPRIMIR ESTA PÁGINA

JS.Exception.Exploit

Nível do risco 2: Baixo

Versão para impressão

Descoberto: 16 de Agosto de 2001
Atualizado: 13 de Fevereiro de 2007 12:05:37 PM
Tipo: Cavalo de Tróia
Sistemas afetados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Referências CVE: CVE-2000-1061


A estrutura do código é específica e envolve o uso ilegal da tag <Applet>. Essa ameaça foi publicada em, no mínimo, um fórum de segurança. É possível encontrar mais informações sobre isso no site Technet da Microsoft em:

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-075.asp

Embora o JS.Exception.Exploit execute ações simples, como alterar a página principal do Internet Explorer, também é possível programá-lo para executar ações como enviar e-mails em grande escala, como no caso do VBS.Loding.A@mm, ou criar um arquivo no computador que execute praticamente qualquer ação maliciosa.

Detectando o JS.Exception.Exploit ao visitar um website
Ao visitar um website com o JS.Exception.Exploit, a exploração é detectada pelos produtos antivírus da Symantec, geralmente em um arquivo temporário de Internet. O programa antivírus informa que não é possível reparar, enviar para quarentena ou até mesmo apagar o arquivo. Isso pode ocorrer mais de uma vez até fechar o website. Se executar uma verificação, é provável que não sejam encontradas ocorrências do JS.Exception.Exploit.

Isso ocorre porque o produto antivírus da Symantec está detectando a própria exploração. O produto antivírus da Symantec detecta a exploração ao executar uma verificação através do Auto-Protect conforme a exploração é copiada para a pasta Temporary Internet Files (Arquivos Temporários de Internet). Como esses arquivos temporários podem ser apagados assim que o navegador for fechado, a exploração não será detectada durante uma verificação normal porque não está mais lá. Pelo fato de que é a própria exploração que está sendo detectada, essa também poderá ser detectada mesmo se estiver utilizando um sistema corrigido ou um outro navegador de Internet.

NOTA: Como os arquivos temporários de Internet nem sempre são apagados após fechar um website (isso vai depender das configurações do navegador da web), recomendamos que feche todos os websites antes de executar uma verificação completa do sistema. Isso evita a utilização de arquivos temporários de Internet pelo Windows no caso de um deles ser detectado como infectado ao executar a verificação.

Correção da Microsoft
A Microsoft lançou uma correção que remove a vulnerabilidade de segurança. É possível obter a correção a partir do seguinte site da Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-081.asp

O que é uma exploração e o que o JS.Exception.Exploit pode fazer?
Uma exploração é um código que se aproveita de uma falha de segurança de um programa ou do sistema operacional. É possível pensar nela como uma chave para uma porta fechada. Se a porta estiver aberta, quase tudo pode entrar. A programação do JS.Exception.Exploit pode permitir que se faça quase tudo em um sistema sem correção, como:
  • Copiar e executar um vírus, worm ou cavalo de Tróia
  • Criar e executar um arquivo que envia informações para um invasor
  • Alterar a página principal do Internet Explorer (Essa é a utilização mais comum do JS.Exception.Exploit).


Recomendações

O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:

  • Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
  • Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
  • Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
  • Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
  • Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
  • Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
  • Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.

Elaborado por: Patrick Nolan
Oferta Especial
©1995 - 2009 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais|
Contratos de licença