Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Los efectos de Fortnight son:
- Modifica la autofirma de los mensajes de correo de Outlook.
- Trata de conectarse a una página Web de contenido pornográfico.
Metodo de Infección
Para realizar sus acciones, Fortnight llega incluido en un fichero de tipo HTML. Cuando se carga esta página HTML, el troyano crea los siguientes ficheros:
SIGN.HTM. Este fichero se crea en el directorio
c:\program files\. Posteriormente, el gusano lo añade a la autofirma de los mensajes del programa de correo Outlook. De este modo, el virus consigue aduntarse a todos los mensajes que se envíen a partir de ese momento. Este fichero contiene un enlace a una página de contenido pornográfico (página que contiene el
troyano).
TF. Este fichero es una
cookie. Si es la primera vez que se ejecuta el troyano, modificará las páginas de inicio de Internet Explorer y Nescape Navigator para que apunten a una página Web de contenido pornográfico en
rawtocash.net/adv.
Por otra parte, Fortnight modifica la autofirma del programa de correo Outlook para que apunte al contenido del fichero localizado en el directorio: c:\Program Files\sign.htm. Este fichero contiene un bloque de código HTML desde el que se abre, de manera oculta, una página con el troyano.
Finalmente, Fortnight modifica el Registro de Windows introduciendo las siguientes entradas:
HKCU\ Software\ Microsoft\ Internet Explorer\ Main\ Start Page http:// www.rawtocash.net/ adv/ sex.htm
HKCU\ Software\ Netscape\ Netscape Navigator\ Main\ Home Page http:// www.rawtocash.net/ adv/ sex.htm
HKCU\ Identities\ <defuser>\ Software\ Microsoft\ Outlook Express\ 5.0\ signatures\ Default Signature "10101010"
HKCU\ Identities\ <defuser>\ Software\ Microsoft\ Outlook Express\ 5.0\ signatures\ 10101010\ file "c:\ Program Files\ sign.htm"
HKCU\ Identities\ <defuser>\ Software\ Microsoft\ Outlook Express\ 5.0\ signatures\ 10101010\ name "signature"
HKCU\ Identities\ <defuser>\ Software\ Microsoft\ Outlook Express\ 5.0\ signatures\ 10101010\ type "2"
HKCU\ Identities\ <defuser>\ Software\ Microsoft\ Outlook Express\ 5.0\ Signature Flags "3"
De este modo, el gusano logra modificar la autofirma de los mensajes, y cambiar la página de inicio del navegador instalado.
Método de Propagación
Fortnight se propaga a través del correo electrónico incluyéndose en la autofirma de los mensajes que se envíen. De esta forma, la autofirma de todos estos mensajes contendrá un enlace a una página pornográfica.
Para propagarse de este modo, el gusano se aprovecha de una vulnerabilidad de los componentes Active X.
Otros Detalles
El componente que incluye el troyano de Fortnight presenta un tamaño de 2375 Bytes, mientras que el tamaño del componente que incluye al gusano es de 206 Bytes.