打印

[电脑] 国内出现附着于IE 推广FireFox的病毒

sarion

沙少

大都督

永不叛党

帖子: 93963
精华: 1
积分: 52515
激骚: 1214 度
爱车
主机
相机
手机
注册时间: 2002-12-29

TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆

发短消息
加为好友
当前离线

1^# 大中小发表于 2008-1-23 21:08 只看该作者

其实之前已经对打开IE浏览器提示下载火狐的现象原因描述很清楚了,是病毒写入了BHO导致.
最近发现网上依然有一些人在说浏览网页时会出现“IE版本过低,建议下载火狐浏览器”之类的提示.根据小范围的跟踪,确认了两处“火狐尾巴”的新动向.

第一个案例：

Vista系统打开【我的电脑】和IE浏览器会提示程序停止工作的报错。只有关闭Vista系统的UAC功能后才能正常打开。如图所示：

IE浏览器停止工作
根据分析，该现象是由于“火狐”的dll在注入explorer.exe和IExplore.exe进程的操作不支持vista系统导致的程序异常。

病毒的主文件位置：

%systemroot%\system32\gszlogfaunaur.dll

成功加载后会在后台下载yeSetup.exe和my_70302.exe并联网更新替换一个或多个可导致“火狐”现象的dll文件，如yafbebubiq.dll。以防止反病毒厂商更新后的处理。

针对此类变种后台下载的预防：

开启毒霸2008的网页防挂马功能，对后台的恶意下载行为进行监控并适当设置阻止规则。如图所示：

清理专家拦截提示
阻止列表
针对此类变种的处理方案：

对于写入BHO的“火狐”将毒霸2008升级到最新，之后打开清理专家扫描恶意软件会有如下提示：

清理恶意软件
根据提示清理“可疑的BHO”即可。第二个案例：

打开搜狐新浪之类的网站没事，但是一打开百度和Google就会弹出安装火狐的提示，与之前不同的是这个“火狐”提示是可以关闭的。如图所示：

火狐搜索引擎
病毒释放在系统分区根目录 %systemdrive%\devices.dll 设置了只读、隐藏和系统属性。与之前写入BHO的方式有所不同，此次写入了协议项目。如图所示：

病毒协议项目

该文件伪造了微软签名，并将修改时间调整到2004年。使其与大多数根目录下的系统文件的修改时间接近，所以总体上感觉伪装的还不错。

处理方法：

反注册这个dll文件即可。（或者下载文后“关于火狐耍流氓的处理思路”帖子中的批处理文件处理）

结束语：

不知道在2008年这个“火狐”以后还会还有多少条邪恶的尾巴；不知道它是否考虑在Vista与IE7面前张牙舞爪；不知道安装“火狐”的用户电脑是否真的安全。

文/李铁军