一、事件分析：

近日，超级巡警团队捕获到了一些新的网页木马，该网页木马利用UUSee网络电视2008中的漏洞在后台下载木马并运行。当电脑中安装有UUSee网络电视2008的用户浏览到挂马网页时将在后台下载大量病毒木马并运行。目前国内已经发现一些利用该漏洞的挂马行为，因此我们建议安装了UUSee网络电视2008的用户暂时卸载UUSee网络电视2008或者禁用存在漏洞的ActiveX控件。V9n霏凡软件站> 资讯中心
V9n霏凡软件站> 资讯中心
影响版本：UUSee网络电视2008 4.0.0.32 （UUUpgrade.ocx 3.0.2.12） V9n霏凡软件站> 资讯中心
V9n霏凡软件站> 资讯中心
漏洞分析：UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件，其中一个控件用来UUSee自身的升级。该控件clssid为：{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}，对应dll:C:\PROGRA~1\COMMON~1\uusee\UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证，导致恶意攻击者可以通过构造假的升级文件来让UUSee网络电视来下载攻击者指定的文件并运行。V9n霏凡软件站> 资讯中心
V9n霏凡软件站> 资讯中心
解密后的网页木马截图：

 

恶意构造的升级文件截图：

 

畅游巡警用户不受到此漏洞的影响：

 

二、解决方案

 

1、超级巡警已经紧急升级第三方漏洞补丁库，添加此漏洞并提供临时解决方案，用户可通过补丁检查中的第三方应用程序漏洞检查来检查并修补该漏洞。用户也可以将下面内容保存为.reg文件，双击导入注册表来禁用该控件：V9n霏凡软件站> 资讯中心
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－V9n霏凡软件站> 资讯中心
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{2CACD7BB-1C59-4BBB-8E81-6E83F82C813B}]V9n霏凡软件站> 资讯中心
"Compatibility Flags"=dword:00000400V9n霏凡软件站> 资讯中心
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－V9n霏凡软件站> 资讯中心
2、安装畅游巡警拦截此类挂马攻击。V9n霏凡软件站> 资讯中心
3、超级巡警已通知UUSee网络电视2008官方。 

 

关于UUSee网络电视2008： 悠视网打造的一款全新网络电视收看软件，用户使用这款软件可以免费收看500多路新颖频道，共计1000多个精彩节目。