标题:
[电脑]
国内出现附着于IE 推广FireFox的病毒
[打印本页]
作者:
sarion
时间:
2008-1-23 21:08
标题:
国内出现附着于IE 推广FireFox的病毒
其实之前已经对打开IE浏览器提示下载火狐的现象原因描述很清楚了,是病毒写入了BHO导致.
最近发现网上依然有一些人在说浏览网页时会出现“IE版本过低,建议下载火狐浏览器”之类的提示.根据小范围的跟踪,确认了两处“火狐尾巴”的新动向.
第一个案例:
Vista系统打开【我的电脑】和IE浏览器会提示程序停止工作的报错。只有关闭Vista系统的UAC功能后才能正常打开。如图所示:
IE浏览器停止工作
根据分析,该现象是由于“火狐”的dll在注入explorer.exe和IExplore.exe进程的操作不支持vista系统导致的程序异常。
病毒的主文件位置:
%systemroot%\system32\gszlogfaunaur.dll
成功加载后会在后台下载yeSetup.exe和my_70302.exe并联网更新替换一个或多个可导致“火狐”现象的dll文件,如yafbebubiq.dll。以防止反病毒厂商更新后的处理。
针对此类变种后台下载的预防:
开启毒霸2008的网页防挂马功能,对后台的恶意下载行为进行监控并适当设置阻止规则。如图所示:
清理专家拦截提示
阻止列表
针对此类变种的处理方案:
对于写入BHO的“火狐”将毒霸2008升级到最新,之后打开清理专家扫描恶意软件会有如下提示:
清理恶意软件
根据提示清理“可疑的BHO”即可。 第二个案例:
打开搜狐新浪之类的网站没事,但是一打开百度和Google就会弹出安装火狐的提示,与之前不同的是这个“火狐”提示是可以关闭的。如图所示:
火狐搜索引擎
病毒释放在系统分区根目录 %systemdrive%\devices.dll 设置了只读、隐藏和系统属性。 与之前写入BHO的方式有所不同,此次写入了协议项目。如图所示:
病毒协议项目
该文件伪造了微软签名,并将修改时间调整到2004年。使其与大多数根目录下的系统文件的修改时间接近,所以总体上感觉伪装的还不错。
处理方法:
反注册这个dll文件即可。(或者下载文后“关于火狐耍流氓的处理思路”帖子中的批处理文件处理)
结束语:
不知道在2008年这个“火狐”以后还会还有多少条邪恶的尾巴;不知道它是否考虑在Vista与IE7面前张牙舞爪;不知道安装“火狐”的用户电脑是否真的安全。
文/李铁军
作者:
cc0128
时间:
2008-1-23 21:13
MB
作者:
隐的游戏
时间:
2008-1-23 22:30
书店里那台机器中了
状况是 “显示IE版本过低,要求装FIREFOX”
另外就是用IE浏览会出现错误。
作者:
rb
时间:
2008-1-23 23:02
现在推广的那帮人吧FF的名气都弄臭了
作者:
喜欢它likeit
时间:
2008-1-24 01:27
虽然这样有效,但方法是邪恶的,坚决抵制~
作者:
sonyi
时间:
2008-1-24 03:10
根源还在mozilla自己啊
作者:
天堂任鸟飞
时间:
2008-1-24 04:18
就因为这我把FF删了,什么草蛋玩意。。
作者:
Redofish
时间:
2008-1-24 14:44
够操蛋的。 写病毒的人功利心太重了
歪门邪道啊
作者:
voodoo
时间:
2008-1-24 14:58
google已经取消了国内的FF的推广计划,推广FF的人再也收不到GOOGLE的钱了
欢迎光临 TGFC Lifestyle (http://club.tgfcer.com/)
Powered by Discuz! 6.0.0
MB