其实之前已经对打开IE浏览器提示下载火狐的现象原因描述很清楚了,是病毒写入了BHO导致。
最近发现网上依然有一些人在说浏览网页时会出现“IE版本过低,建议下载火狐浏览器”之类的提示。
根据小范围的跟踪,确认了两处“火狐尾巴”的新动向。
第一个案例:
Vista系统打开【我的电脑】和IE浏览器会提示程序停止工作的报错。只有关闭Vista系统的UAC功能后才能正常打开。如图所示:
IE浏览器停止工作
根据分析,该现象是由于“火狐”的dll在注入explorer.exe和IExplore.exe进程的操作不支持vista系统导致的程序异常。
病毒的主文件位置:
| %systemroot%\system32\gszlogfaunaur.dll |
成功加载后会在后台下载yeSetup.exe和my_70302.exe并联网更新替换一个或多个可导致“火狐”现象的dll文件,如yafbebubiq.dll。以防止反病毒厂商更新后的处理。
针对此类变种后台下载的预防:
开启毒霸2008的网页防挂马功能,对后台的恶意下载行为进行监控并适当设置阻止规则。如图所示:
清理专家拦截提示阻止列表 针对此类变种的处理方案:
对于写入BHO的“火狐”将毒霸2008升级到最新,之后打开清理专家扫描恶意软件会有如下提示:
清理恶意软件
根据提示清理“可疑的BHO”即可。
第二个案例:
打开搜狐新浪之类的网站没事,但是一打开百度和Google就会弹出安装火狐的提示,与之前不同的是这个“火狐”提示是可以关闭的。如图所示:
火狐搜索引擎
病毒释放在系统分区根目录 %systemdrive%\devices.dll 设置了只读、隐藏和系统属性。
与之前写入BHO的方式有所不同,此次写入了协议项目。如图所示:
病毒协议项目
该文件伪造了微软签名,并将修改时间调整到2004年。使其与大多数根目录下的系统文件的修改时间接近,所以总体上感觉伪装的还不错。
处理方法:
反注册这个dll文件即可。(或者下载文后“关于火狐耍流氓的处理思路”帖子中的批处理文件处理)
结束语:
不知道在2008年这个“火狐”以后还会还有多少条邪恶的尾巴;不知道它是否考虑在Vista与IE7面前张牙舞爪;不知道安装“火狐”的用户电脑是否真的安全。唯一知道的是毒霸2008会陪伴这只狐狸的变种一起走过新的一年
| 
