72ub.com病毒横行 原是72ub手机病毒作祟

近日,笔者的qq好友经常发来这个所谓的72ub病毒,百度了一下,发现这个病毒已经上了百度热榜了,可见 72ub病毒之猖獗,下面来分析一下这个72ub手机病毒的传播方式与预防机制.
今天上午，不少网友反应手机QQ中毒了，大量接收“上www 。72ub。cn有惊喜”这条垃圾信息。稍后金山毒霸安全实验室也监测到，大量qq_qun在发送几乎完全一样的消息，发送者均使用手机QQ。网友一旦点击该链接，就有可能掉入骗子精心设计好的陷阱，从而带来经济上的损失。

    金山毒霸安全专家表示，“这是一段非常明显的垃圾消息，除此之外，类似的有多个版本。其目的为欺骗用户访问72ub.com网站，该网站号称测虎年运气，还声称拨打12590的某个电话可以获得200元话费。明显，这是个骗局，12590开关的电话多含骗钱陷阱。”

    金山毒霸安全专家分析表示，类似现象突然爆发的原因有：1.疑似手机病毒或某些山寨机内置的陷阱程序（在联系若干用户后，这种可能性已被排除）；2.QQ病毒，黑客先盗用户的QQ号，再利用手机QQ协议群发消息。这种可能性较大，但至少有一个是明确的，那就是这些发送垃圾消息的QQ号已经被盗。安全专家指出，金山网址云安全服务器已经将这几个恶意欺诈网址加入欺诈网站列表，安装了金山网盾的PC用户在访问这些欺诈站点时会被自动阻止。

同时，建议那些QQ号可能被盗的网民使用金山毒霸2011或金山网盾3.5检查自己的电脑是否存在未知病毒。如果证实QQ号已经被盗，建议在杀毒后登录QQ安全中心或尽快联系腾讯客服，以保护自己的帐号安全.

72U是恶意手机病毒！这个病毒是23日0:00以后爆发的，而且专门针对于手机QQ用户。

　　输入www。72ub。com网址，是一个号称测虎年运气的网站，并会自动转向新浪的一个名叫芟偙勒:fengyun的博客，页面上面列数了“用移动手机拨打125906586864参加身份验证，立马拿到二百圆话费，太棒了! ”的信息。

　　如果你出于好奇，点击此网站，那就是大大的杯具了！这个挂马网站会自动修改你的QQ签名成“测你的虎年运势www。72ub。com我试了太准了！”，并以近似疯狂的手段向QQ好友或qq_qun爆发性大量发送“上www 。72ub。cn有惊喜”的恶意消息。

据国外某网站称：此病毒主要通过低端品牌手机登陆的QQ传播，因为有些低端手机内置了自动发送程序，一旦用这种带有内置自动发送程序登陆QQ之后，即便以后你没有登陆你的QQ，手机也会自动以你QQ账号发送上述垃圾信息。零点提醒您：不要用没有安全保障的低端手机上网或者登陆聊天软件，只能这样了！

网友讲述手机中72ub病毒过程

　　一自称为Sudu的网友在网上详细讲述了手机QQ中毒过程：

　　输入www点72ub点com网址，是一个号称测虎年运气的网站，并会自动转向新浪的一个名叫芟偙勒：fengyun的博客，页面上面列数了“用移动手机拨打125906586864参加身份验证，立马拿到二百圆话费，太棒了！”的信息。

　　点击此网站后，这个挂马网站会自动修改你的QQ签名成“测你的虎年运势www点72ub点com我试了太准了！”，并以近似疯狂的手段向QQ好友或qq_qun爆发性大量发送“上www点72ub点com有惊喜”的恶意消息。

　　72ub手机病毒杀毒办法：重装QQ

　　据该网友表示，现有的杀毒软件或木马查杀软件虽能识别相关病毒，但尚不能完全清除该病毒，唯一处理办法似乎只有一个：重装QQ。

　　据了解，该病毒的传播速度和强度几乎超出了历史上所有的手机病毒，截止现在，几乎挂满了各大门户网站的博客网页。


友情提示：

　　1、请查看你的QQ签名，判断是否中毒，如果发现你的QQ好友给你或qq_qun发送此病毒信息，请及时间通知好友；

　　2、如果发现在本论坛出现此信息，请及时告知管理或版主进行清除；

　　3、加强防范，及时升级杀毒软件；

　　4、据说，NOD可以清除此病毒，未作验证；

　　5、如果哪位高人好的清除办法，请发上来共享！

下面是一位网友分析的该网站的网页页面,可以看出,该网站就是赤果果的抢*钱.
首先是广告进入页！

var urlVar = "http://u.52umi.com/peidui/pd.htm?id=1063";
    eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2(3.4){5.7(\'<1 8="9:a" b="c\\/d-e" f="g://6.h/i/j.k?\'+l+\'" m=0 n=0><\\/1>\')}',24,24,'|object|if|browser|msie|document||write|style|border|0px|type|text|x|scriptlet|data|http|cn|showmyweb|closepop2|html|urlVar|width|height'.split('|'),0,{}))

代码被加密了！ 不过是很简单的现成的加密方式， 把eval改为 xxx.value= 就OK了

解密代码如下：

if(browser.msie){document.write('<object style="border:0px" type="text\/x-scriptlet" data="http://6.cn/showmyweb/closepop2.html?'+urlVar+'" width=0 height=0><\/object>')}

发现，这个页面竟然会调用6.cn的一个页面，惊奇！

难道6.cn没有发现这个页面的流量有异常么？而且还是这么好的接口！

。。建议6.cn 赶紧换页面地址吧！ 不过话说回来，说不定6.cn 自己知道这个事情咧！

哎，怎么说 6.cn 也是个大网站，怎么还有这种强制弹窗的页面！ ！

打开 http://6.cn/showmyweb/closepop2.html ，看看里面的代码！

(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('2 i=x;2 y=0;2 z=A;2 B=C;2 D=1;2 j="E:k; F:k; G:l; H:l; I:J; K:0; L:0; m:1; M:1; n:0";2 c="N=1,O=0,P=0,o=0,Q=0,n=0,m=1";2 5=d;2 e=d;2 f=9;a R(){4(5&&!f){5=9;3.p(6,"",c)}}2 7=9;2 u="S-T-U-V-W";2 8;8=3.o.X;a q(){4(5){5=9;4(!7&&!e){3.p(6,"",c)}g 4(!7&&e){h("3.Y(6,\'\',j)")}g{r.Z(6)}}}a s(){10.11.12+="<t 13=r 14=0 15=0 16=\'17:"+u+"\'></t>"}a v(){7=(3.18.19.b("1a")!=-1);4(7)s()}2 6=i;f=d;4(8.b("1b")!=-1||8.b("1c")!=-1||8.b("1d")!=-1){}g{h("3.w(\'1e\',v);");h("3.w(\'1f\',q);")}',62,78,'||var|window|if|doexit|popURL1|isXPSP2|str_url|false|function|indexOf|popWindowOptions|true|usePopDialog|isUsingSpecial|else|eval|url|popDialogOptions|200px|0px|resizable|status|location|open|ext|iie|brs|object||ver|attachEvent|varurl|nid|tid|431|mid|947|full|dialogWidth|dialogHeight|dialogTop|dialogLeft|edge|Raised|center|help|scroll|scrollbars|menubar|toolbar|personalbar|loadpopups|6BF52A52|394A|11D3|B153|00C04F79FAA6|search|showModalDialog|launchURL|document|body|innerHTML|id|width|height|classid|CLSID|navigator|userAgent|SV1|2005|2006|2007|onload|onunload'.split('|'),0,{}))

竟然也是加密的！ 和上面加密方式一样，深切表示怀疑！ 难道制作这些弹窗的人，是6.cn的？

当然这个只是怀疑，应该这种加密方式本来就是很流行的（-。- 准确说，是一种压缩，本身没起到加密效果）

不排除，页面制作者，看到6.cn这样加密，它们也用这种！

解密之！

var url=varurl;var nid=0;var tid=431;var mid=947;var full=1;var popDialogOptions="dialogWidth:200px; dialogHeight:200px; dialogTop:0px; dialogLeft:0px; edge:Raised; center:0; help:0; resizable:1; scroll:1; status:0";var popWindowOptions="scrollbars=1,menubar=0,toolbar=0,location=0,personalbar=0,status=0,resizable=1";var doexit=true;var usePopDialog=true;var isUsingSpecial=false;function loadpopups(){if(doexit&&!isUsingSpecial){doexit=false;window.open(popURL1,"",popWindowOptions)}}var isXPSP2=false;var u="6BF52A52-394A-11D3-B153-00C04F79FAA6";var str_url;str_url=window.location.search;function ext(){if(doexit){doexit=false;if(!isXPSP2&&!usePopDialog){window.open(popURL1,"",popWindowOptions)}else if(!isXPSP2&&usePopDialog){eval("window.showModalDialog(popURL1,'',popDialogOptions)")}else{iie.launchURL(popURL1)}}}function brs(){document.body.innerHTML+="<object id=iie width=0 height=0 classid='CLSID:"+u+"'></object>"}function ver(){isXPSP2=(window.navigator.userAgent.indexOf("SV1")!=-1);if(isXPSP2)brs()}var popURL1=url;isUsingSpecial=true;if(str_url.indexOf("2005")!=-1||str_url.indexOf("2006")!=-1||str_url.indexOf("2007")!=-1){}else{eval("window.attachEvent('onload',ver);");eval("window.attachEvent('onunload',ext);")}

上面这段代码呢？作用只有一个，弹出窗口，而且是有点强行的味道，因为如果不是强行的话，直接window.open即可，但是这种非常容易被浏览器所拦截，也就达不到它们的目的了，！ 所以它们会考虑许多可能性，比如是否是XPSP2系统，甚至还调用Windows media player 的 launchURL 来实现弹窗目的! 哎！！

上面这些的作用，就是弹出页面制造者所指定的页面！

当然还有其它一些嵌入的 iframe 页面，全部都是广告！

一个广告是 viki8 的，叫 挖金网， 还有一个是 u.52umi.com  ，也没去看了，反正是一个性质的！

也就是说，这个网站最终的目的，就是通过病毒传播所带来的巨大流量，来刷这些网赚！

从而获得利益！

至于这个网站首页有没有病毒，目前我还不能确认，说不定哪个页面里就夹杂着一个网马也不一定的！

所以大家还是要小心为好！

可以设置网站黑名单的朋友， 可以把上面提到的一些页面，加入黑名单，就可以防止这种情况了！

特别是电脑是家人公用的话， 父母对电脑不是很懂，可能就会不小心点到！

指望杀毒软件的话，不如自己动动手！ 把这些网站屏蔽掉！