近日,笔者的qq好友经常发来这个所谓的72ub病毒,百度了一下,发现这个病毒已经上了百度热榜了,可见
72ub病毒之猖獗,下面来分析一下这个72ub手机病毒的传播方式与预防机制.
今天上午,不少网友反应手机QQ中毒了,大量接收“上www 。72ub。cn有惊喜”这条垃圾信息。稍后金山毒霸安全实验室也监测到,大量qq_qun在发送几乎完全一样的消息,发送者均使用手机QQ。网友一旦点击该链接,就有可能掉入骗子精心设计好的陷阱,从而带来经济上的损失。
金山毒霸安全专家表示,“这是一段非常明显的垃圾消息,除此之外,类似的有多个版本。其目的为欺骗用户访问72ub.com网站,该网站号称测虎年运气,还声称拨打12590的某个电话可以获得200元话费。明显,这是个骗局,12590开关的电话多含骗钱陷阱。”
金山毒霸安全专家分析表示,类似现象突然爆发的原因有:1.疑似手机病毒或某些山寨机内置的陷阱程序(在联系若干用户后,这种可能性已被排除);2.QQ病毒,黑客先盗用户的QQ号,再利用手机QQ协议群发消息。这种可能性较大,但至少有一个是明确的,那就是这些发送垃圾消息的QQ号已经被盗。安全专家指出,金山网址云安全服务器已经将这几个恶意欺诈网址加入欺诈网站列表,安装了金山网盾的PC用户在访问这些欺诈站点时会被自动阻止。
同时,建议那些QQ号可能被盗的网民使用金山毒霸2011或金山网盾3.5检查自己的电脑是否存在未知病毒。如果证实QQ号已经被盗,建议在杀毒后登录QQ安全中心或尽快联系腾讯客服,以保护自己的帐号安全.
72U是恶意手机病毒!这个病毒是23日0:00以后爆发的,而且专门针对于手机QQ用户。
输入www。72ub。com网址,是一个号称测虎年运气的网站,并会自动转向新浪的一个名叫芟偙勒:fengyun的博客,页面上面列数了“用移动手机拨打125906586864参加身份验证,立马拿到二百圆话费,太棒了! ”的信息。
如果你出于好奇,点击此网站,那就是大大的杯具了!这个挂马网站会自动修改你的QQ签名成“测你的虎年运势www。72ub。com我试了太准了!”,并以近似疯狂的手段向QQ好友或qq_qun爆发性大量发送“上www 。72ub。cn有惊喜”的恶意消息。
据国外某网站称:此病毒主要通过低端品牌手机登陆的QQ传播,因为有些低端手机内置了自动发送程序,一旦用这种带有内置自动发送程序登陆QQ之后,即便以后你没有登陆你的QQ,手机也会自动以你QQ账号发送上述垃圾信息。零点提醒您:不要用没有安全保障的低端手机上网或者登陆聊天软件,只能这样了!
网友讲述手机中72ub病毒过程
一自称为Sudu的网友在网上详细讲述了手机QQ中毒过程:
输入www点72ub点com网址,是一个号称测虎年运气的网站,并会自动转向新浪的一个名叫芟偙勒:fengyun的博客,页面上面列数了“用移动手机拨打125906586864参加身份验证,立马拿到二百圆话费,太棒了!”的信息。
点击此网站后,这个挂马网站会自动修改你的QQ签名成“测你的虎年运势www点72ub点com我试了太准了!”,并以近似疯狂的手段向QQ好友或qq_qun爆发性大量发送“上www点72ub点com有惊喜”的恶意消息。
72ub手机病毒杀毒办法:重装QQ
据该网友表示,现有的杀毒软件或木马查杀软件虽能识别相关病毒,但尚不能完全清除该病毒,唯一处理办法似乎只有一个:重装QQ。
据了解,该病毒的传播速度和强度几乎超出了历史上所有的手机病毒,截止现在,几乎挂满了各大门户网站的博客网页。
友情提示:
1、请查看你的QQ签名,判断是否中毒,如果发现你的QQ好友给你或qq_qun发送此病毒信息,请及时间通知好友;
2、如果发现在本论坛出现此信息,请及时告知管理或版主进行清除;
3、加强防范,及时升级杀毒软件;
4、据说,NOD可以清除此病毒,未作验证;
5、如果哪位高人好的清除办法,请发上来共享!
下面是一位网友分析的该网站的网页页面,可以看出,该网站就是赤果果的抢*钱.
首先是广告进入页!
var urlVar = "http://u.52umi.com/peidui/pd.htm?id=1063";
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2(3.4){5.7(\'<1 8="9:a" b="c\\/d-e" f="g://6.h/i/j.k?\'+l+\'" m=0 n=0><\\/1>\')}',24,24,'|object|if|browser|msie|document||write|style|border|0px|type|text|x|scriptlet|data|http|cn|showmyweb|closepop2|html|urlVar|width|height'.split('|'),0,{}))
代码被加密了! 不过是很简单的现成的加密方式, 把eval改为 xxx.value= 就OK了
解密代码如下:
if(browser.msie){document.write('<object style="border:0px" type="text\/x-scriptlet" data="http://6.cn/showmyweb/closepop2.html?'+urlVar+'" width=0 height=0><\/object>')}
发现,这个页面竟然会调用6.cn的一个页面,惊奇!
难道6.cn没有发现这个页面的流量有异常么?而且还是这么好的接口!
。。建议6.cn 赶紧换页面地址吧! 不过话说回来,说不定6.cn 自己知道这个事情咧!
哎,怎么说 6.cn 也是个大网站,怎么还有这种强制弹窗的页面! !
打开 http://6.cn/showmyweb/closepop2.html ,看看里面的代码!
(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2 i=x;2 y=0;2 z=A;2 B=C;2 D=1;2 j="E:k; F:k; G:l; H:l; I:J; K:0; L:0; m:1; M:1; n:0";2 c="N=1,O=0,P=0,o=0,Q=0,n=0,m=1";2 5=d;2 e=d;2 f=9;a R(){4(5&&!f){5=9;3.p(6,"",c)}}2 7=9;2 u="S-T-U-V-W";2 8;8=3.o.X;a q(){4(5){5=9;4(!7&&!e){3.p(6,"",c)}g 4(!7&&e){h("3.Y(6,\'\',j)")}g{r.Z(6)}}}a s(){10.11.12+="<t 13=r 14=0 15=0 16=\'17:"+u+"\'></t>"}a v(){7=(3.18.19.b("1a")!=-1);4(7)s()}2 6=i;f=d;4(8.b("1b")!=-1||8.b("1c")!=-1||8.b("1d")!=-1){}g{h("3.w(\'1e\',v);");h("3.w(\'1f\',q);")}',62,78,'||var|window|if|doexit|popURL1|isXPSP2|str_url|false|function|indexOf|popWindowOptions|true|usePopDialog|isUsingSpecial|else|eval|url|popDialogOptions|200px|0px|resizable|status|location|open|ext|iie|brs|object||ver|attachEvent|varurl|nid|tid|431|mid|947|full|dialogWidth|dialogHeight|dialogTop|dialogLeft|edge|Raised|center|help|scroll|scrollbars|menubar|toolbar|personalbar|loadpopups|6BF52A52|394A|11D3|B153|00C04F79FAA6|search|showModalDialog|launchURL|document|body|innerHTML|id|width|height|classid|CLSID|navigator|userAgent|SV1|2005|2006|2007|onload|onunload'.split('|'),0,{}))
竟然也是加密的! 和上面加密方式一样,深切表示怀疑! 难道制作这些弹窗的人,是6.cn的?
当然这个只是怀疑,应该这种加密方式本来就是很流行的(-。- 准确说,是一种压缩,本身没起到加密效果)
不排除,页面制作者,看到6.cn这样加密,它们也用这种!
解密之!
var url=varurl;var nid=0;var tid=431;var mid=947;var full=1;var popDialogOptions="dialogWidth:200px; dialogHeight:200px; dialogTop:0px; dialogLeft:0px; edge:Raised; center:0; help:0; resizable:1; scroll:1; status:0";var popWindowOptions="scrollbars=1,menubar=0,toolbar=0,location=0,personalbar=0,status=0,resizable=1";var doexit=true;var usePopDialog=true;var isUsingSpecial=false;function loadpopups(){if(doexit&&!isUsingSpecial){doexit=false;window.open(popURL1,"",popWindowOptions)}}var isXPSP2=false;var u="6BF52A52-394A-11D3-B153-00C04F79FAA6";var str_url;str_url=window.location.search;function ext(){if(doexit){doexit=false;if(!isXPSP2&&!usePopDialog){window.open(popURL1,"",popWindowOptions)}else if(!isXPSP2&&usePopDialog){eval("window.showModalDialog(popURL1,'',popDialogOptions)")}else{iie.launchURL(popURL1)}}}function brs(){document.body.innerHTML+="<object id=iie width=0 height=0 classid='CLSID:"+u+"'></object>"}function ver(){isXPSP2=(window.navigator.userAgent.indexOf("SV1")!=-1);if(isXPSP2)brs()}var popURL1=url;isUsingSpecial=true;if(str_url.indexOf("2005")!=-1||str_url.indexOf("2006")!=-1||str_url.indexOf("2007")!=-1){}else{eval("window.attachEvent('onload',ver);");eval("window.attachEvent('onunload',ext);")}
上面这段代码呢?作用只有一个,弹出窗口,而且是有点强行的味道,因为如果不是强行的话,直接window.open即可,但是这种非常容易被浏览器所拦截,也就达不到它们的目的了,! 所以它们会考虑许多可能性,比如是否是XPSP2系统,甚至还调用Windows media player 的 launchURL 来实现弹窗目的! 哎!!
上面这些的作用,就是弹出页面制造者所指定的页面!
当然还有其它一些嵌入的 iframe 页面,全部都是广告!
一个广告是 viki8 的,叫 挖金网, 还有一个是 u.52umi.com ,也没去看了,反正是一个性质的!
也就是说,这个网站最终的目的,就是通过病毒传播所带来的巨大流量,来刷这些网赚!
从而获得利益!
至于这个网站首页有没有病毒,目前我还不能确认,说不定哪个页面里就夹杂着一个网马也不一定的!
所以大家还是要小心为好!
可以设置网站黑名单的朋友, 可以把上面提到的一些页面,加入黑名单,就可以防止这种情况了!
特别是电脑是家人公用的话, 父母对电脑不是很懂,可能就会不小心点到!
指望杀毒软件的话,不如自己动动手! 把这些网站屏蔽掉!
分享到:
相关推荐
【标题】"UB.rar_web日志_相似度" 指的是一种基于UB(Unsupervised Behavior)算法的Web日志分析程序,该程序的主要目的是在海量的Web日志数据中挖掘用户行为模式,通过计算不同访问记录之间的相似度来形成一个...
在这个"Ub.XMLRPC.rar_xmlrpc"压缩包中,我们很可能是找到了一个C#实现的XMLRPC接口开发示例,用于web开发,目的是与其他接口进行对接。 XMLRPC的核心概念包括以下几个方面: 1. **客户端**:客户端是发起RPC调用...
Gp5NvH8-uB.html
dac712ub.7z 是一个压缩包文件,通常包含与微控制器(单片机)相关的资源,可能包括驱动程序、固件、库文件、示例代码或文档等。根据提供的标签,我们可以推测这个文件可能与TM4C系列的微控制器以及电子设计竞赛...
《DS90UB953与DS90UB954:高速串行视频接口技术详解》 在当今的数字视频传输领域,DS90UB953和DS90UB954是两款非常重要的集成电路(IC),它们主要用于实现高速、高分辨率的串行视频接口。这两款芯片由知名半导体...
开发板验证的进行文件,可以用在zcu102上,支持PCIE,USB,CAN, 串口,以太网,ETHCAT
DS90UB921-Q1是一款由国家半导体公司(National Semiconductor)出品的高速串行器芯片,它具备24位彩色FPD-Link III串行器与双向控制通道功能。该芯片特别适用于汽车应用环境,并符合AEC-Q100汽车电子元件的品质认证...
标题中的“1.UB95驱动”可能是指一个特定的驱动程序版本,或者是一个针对多种无线网卡型号的集合包,包含有TL-WN721N、TL-WN722N和TL-WN821N/822N的驱动程序和应用软件。这些设备都是TP-LINK品牌的无线网络适配器,...
用于启动zedboard,结合uImage.ub文件和BOOT.BIN文件,放入格式化为FAT32的SD卡
课程辅助教学平台 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS)UB
标题 "UB.js: U2B 和 B2U 填充" 暗示这是一个JavaScript库,专注于在Unicode(U)和Base64(B)编码之间进行转换。描述中的 "utob" 和 "btou" 是两个关键函数,分别代表 Unicode 转 Base64 和 Base64 转 Unicode 的...
百灵达UB系列调音台,包括UB1202、UB1002、UB802和UB502,是音频处理设备中的重要工具,尤其适用于小型演出、录音室、教育环境以及家庭音乐制作。这些调音台以其高性价比和易用性在业内广受欢迎。本压缩包提供了这四...
"UB954和UB953同步通讯配置"是一个专有名词,涉及到特定的硬件组件以及它们之间的通信协议。UB954和UB953可能是某种特定的接口芯片或者控制器,用于数据传输和管理。以下是对这一主题的详细解释: UB954和UB953通常...
DS90UB927 928驱动,透传,包含设置Pattern Generator测试彩条的参数,等等等等
image.ub
标题中的"rq666.zip"是一个压缩文件的名称,暗示了这可能是一个包含特定程序或数据的归档。从描述来看,这个压缩包的内容与一个使用Matlab编写的图形用户界面(GUI)有关,该界面应用了拉亚普诺夫指数的公式来进行...
DS90UB964 和 DS90UB913 的开发笔记 DS90UB964 和 DS90UB913 是 TI 公司生产的高速串行解串器,广泛应用于图像处理和传输领域。本文档总结了在使用 DS90UB964 和 DS90UB913 开发过程中需要注意的问题,以及完整的...
### ds90ub960-q1 数据手册关键知识点解析 #### 一、产品概述 **DS90UB960-Q1** 是一款专为汽车应用设计的高度集成的四通道 4.16 Gbps FPD-Link III 解串器集线器,能够同时从最多四个传感器聚合数据。它符合 AEC-...
在Autosar Com组件中,Update Bit(UB)功能是一个关键特性,它对于实现车载软件的更新和诊断过程至关重要。以下是对Autosar Com Update Bit功能的详细解释。 Update Bit,简而言之,是用于指示软件组件(SWC,...
在安装这个驱动程序时,用户应先确认自己的操作系统是否兼容,然后运行"1200UB.exe"文件,按照屏幕上的指示进行操作。在安装过程中,可能需要断开扫描仪与电脑的连接,待安装完成后,再重新连接并启动设备。如果遇到...