反擊IE霸權更不需要firefox的病毒化推廣

　　其實之前已經對打開IE瀏覽器提示下載火狐的現象原因描述很清楚了，是病毒寫入了BHO導致。

　　最近發現網上依然有一些人在說瀏覽網頁時會出現『IE版本過低，建議下載火狐瀏覽器』之類的提示。

　　根據小范圍的跟蹤，確認了兩處『火狐尾巴』的新動向。

　　Vista系統打開【我的電腦】和IE瀏覽器會提示程序停止工作的報錯。只有關閉Vista系統的UAC功能後纔能正常打開。如圖所示：

　　根據分析，該現象是由於『火狐』的dll在注入explorer.exe和IExplore.exe進程的操作不支持vista系統導致的程序異常。

　　病毒的主文件位置：

%systemroot%\system32\gszlogfaunaur.dll 
 

　　成功加載後會在後臺下載yeSetup.exe和my_70302.exe並聯網更新替換一個或多個可導致『火狐』現象的dll文件，如yafbebubiq.dll。以防止反病毒廠商更新後的處理。

　　開啟毒霸2008的網頁防掛馬功能，對後臺的惡意下載行為進行監控並適當設置阻止規則。如圖所示：

　　對於寫入BHO的『火狐』將毒霸2008昇級到最新，之後打開清理專家掃描惡意軟件會有如下提示：

根據提示清理『可疑的BHO』即可。 　　

　　第二個案例：

　　打開搜狐新浪之類的網站沒事，但是一打開百度和Google就會彈出安裝火狐的提示，與之前不同的是這個『火狐』提示是可以關閉的。如圖所示：

　　與之前寫入BHO的方式有所不同，此次寫入了協議項目。如圖所示：

　　該文件偽造了微軟簽名，並將修改時間調整到2004年。使其與大多數根目錄下的系統文件的修改時間接近，所以總體上感覺偽裝的還不錯。

　　反注冊這個dll文件即可。(或者下載文後『關於火狐耍流氓的處理思路』帖子中的批處理文件處理)

　　不知道在2008年這個『火狐』以後還會還有多少條邪惡的尾巴；不知道它是否考慮在Vista與IE7面前張牙舞爪；不知道安裝『火狐』的用戶電腦是否真的安全。唯一知道的是毒霸2008會陪伴這只狐狸的變種一起走過新的一年