IE惊现推广FireFox的病毒

其实之前已经对打开IE浏览器提示下载火狐的现象原因描述很清楚了,是病毒写入了BHO导致.最近发现网上依然有一些人在说浏览网页时会出现“IE版本过低,建议下载火狐浏览器”之类的提示.根据小范围的跟踪,确认了两处“火狐尾巴”的新动向.

　　第一个案例：

　　Vista系统打开【我的电脑】和IE浏览器会提示程序停止工作的报错。只有关闭Vista系统的UAC功能后才能正常打开。如图所示：


IE浏览器停止工作

根据分析，该现象是由于“火狐”的dll在注入explorer.exe和IExplore.exe进程的操作不支持vista系统导致的程序异常。

病毒的主文件位置： %systemroot%\system32\gszlogfaunaur.dll

成功加载后会在后台下载yeSetup.exe和my_70302.exe并联网更新替换一个或多个可导致“火狐”现象的dll文件，如yafbebubiq.dll。以防止反病毒厂商更新后的处理。

针对此类变种后台下载的预防：

开启毒霸2008的网页防挂马功能，对后台的恶意下载行为进行监控并适当设置阻止规则。如图所示：



清理专家拦截提示



阻止列表

　　针对此类变种的处理方案：

　　对于写入BHO的“火狐”将毒霸2008升级到最新，之后打开清理专家扫描恶意软件会有如下提示：