网络惊现附着于IE 推广FireFox的病毒

来源：赛迪网 作者：李铁军 编辑：CrazyBoy 日期：01-24 点击次数：

　　最近发现网上依然有一些人在说浏览网页时会出现“IE版本过低,建议下载火狐浏览器”之类的提示.根据小范围的跟踪,确认了两处“火狐尾巴”的新动向。>

　　第一个案例：

　　Vista系统打开【我的电脑】和IE浏览器会提示程序停止工作的报错。只有关闭Vista系统的UAC功能后才能正常打开。如图所示：

　　根据分析，该现象是由于“火狐”的dll在注入explorer.exe和IExplore.exe进程的操作不支持vista系统导致的程序异常。
　　病毒的主文件位置：

 

　　%systemroot%\system32\gszlogfaunaur.dll

 

　　成功加载后会在后台下载yeSetup.exe和my_70302.exe并联网更新替换一个或多个可导致“火狐”现象的dll文件，如yafbebubiq.dll。以防止反病毒厂商更新后的处理。

　　针对此类变种后台下载的预防：
　　开启毒霸2008的网页防挂马功能，对后台的恶意下载行为进行监控并适当设置阻止规则。如图所示：

　　针对此类变种的处理方案：
　　对于写入BHO的“火狐”将毒霸2008升级到最新，之后打开清理专家扫描恶意软件会有如下提示：

　　根据提示清理“可疑的BHO”即可。