一、事件分析:
近日,超级巡警团队捕获到了一些新的网页木马,该网页木马利用UUSee网络电视2008中的漏洞在后台下载木马并运行。当电脑中安装有UUSee网络电视2008的用户浏览到挂马网页时将在后台下载大量病毒木马并运行。目前国内已经发现一些利用该漏洞的挂马行为,因此我们建议安装了UUSee网络电视2008的用户暂时卸载UUSee网络电视2008或者禁用存在漏洞的ActiveX控件。
影响版本:UUSee网络电视2008 4.0.0.32 (UUUpgrade.ocx 3.0.2.12)
漏洞分析:UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件,其中一个控件用来UUSee自身的升级。该控件clssid为:{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}
,对应dll:C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证,导致恶意攻击者可以通过构造假的升级文件来让UUSee网络电视来下
载攻击者指定的文件并运行。
解密后的网页木马截图:
[img]http://bbs.sucop.com/attachments/20080616_84bb7f71f1c7bf686e8egdt6byN6ksNu.jpg[/img]
恶意构造的升级文件截图:
[img]http://bbs.sucop.com/attachments/20080616_ee49fdd2e7a498dd327buSbjxjtTnAML.jpg[/img]
畅游巡警用户不受到此漏洞的影响:
[img]http://bbs.sucop.com/attachments/20080616_94492a1a48f55699d4671HWCflWV9W92.jpg[/img]
二、解决方案
1、目前官方尚未提供升级补丁,我们建议用户暂时卸载UUSee网络电视2008或者使用临时解决方案:将下面内容保存为.reg文件,双击导入注册表:
--------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}]
"Compatibility Flags"=dword:00000400
--------------------------------------------------------------
2、安装畅游巡警拦截此类挂马攻击。
3、超级巡警已经紧急升级第三方漏洞补丁库,添加此漏洞并提供临时解决方案,用户可通过补丁检查中的第三方应用程序漏洞检查来检查并修补该漏洞。
4、超级巡警已通知UUSee网络电视2008官方。
关于UUSee网络电视2008: 悠视网打造的一款全新网络电视收看软件,用户使用这款软件可以免费收看500多路新颖频道,共计1000多个精彩节目。
