一、事件分析:
近日,超級巡警團隊捕獲到了一些新的網頁木馬,該網頁木馬利用UUSee網絡電視2008中的漏洞在后臺下載木馬并運行。當電腦中安裝有UUSee網絡電視2008的用戶瀏覽到掛馬網頁時將在后臺下載大量病毒木馬并運行。目前國內已經發現一些利用該漏洞的掛馬行為,因此我們建議安裝了UUSee網絡電視2008的用戶暫時卸載UUSee網絡電視2008或者禁用存在漏洞的ActiveX控件。
影響版本:UUSee網絡電視2008 4.0.0.32 (UUUpgrade.ocx 3.0.2.12)
漏洞分析:UUSee網絡電視2008在安裝的時候注冊了幾個ActiveX控件控件,其中一個控件用來UUSee自身的升級。該控件clssid為:{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}
,對應dll:C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx沒有對升級文件的來源進行驗證,導致惡意攻擊者可以通過構造假的升級文件來讓UUSee網絡電視來下
載攻擊者指定的文件并運行。
解密后的網頁木馬截圖:
[img]http://bbs.sucop.com/attachments/20080616_84bb7f71f1c7bf686e8egdt6byN6ksNu.jpg[/img]
惡意構造的升級文件截圖:
[img]http://bbs.sucop.com/attachments/20080616_ee49fdd2e7a498dd327buSbjxjtTnAML.jpg[/img]
暢游巡警用戶不受到此漏洞的影響:
[img]http://bbs.sucop.com/attachments/20080616_94492a1a48f55699d4671HWCflWV9W92.jpg[/img]
二、解決方案
1、目前官方尚未提供升級補丁,我們建議用戶暫時卸載UUSee網絡電視2008或者使用臨時解決方案:將下面內容保存為.reg文件,雙擊導入注冊表:
--------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}]
"Compatibility Flags"=dword:00000400
--------------------------------------------------------------
2、安裝暢游巡警攔截此類掛馬攻擊。
3、超級巡警已經緊急升級第三方漏洞補丁庫,添加此漏洞并提供臨時解決方案,用戶可通過補丁檢查中的第三方應用程序漏洞檢查來檢查并修補該漏洞。
4、超級巡警已通知UUSee網絡電視2008官方。
關于UUSee網絡電視2008: 悠視網打造的一款全新網絡電視收看軟件,用戶使用這款軟件可以免費收看500多路新穎頻道,共計1000多個精彩節目。
