病毒大百科

这是一个利用 Firefox 浏览器漏洞进行攻击的病毒。安装了Firefox的机器，在调用特定的协议处理器时存在命令注入漏洞，此病毒通过这一漏洞运行起来，帮助远程攻击者在用户机器上执行任意命令。

1.释放病毒文件
%Temporary Internet Files%\Content.IE5\C4DGV5NI\17PHolmes[1].cmt
%WINDOWS%\mrofinu2000352.exe
文件名都是随机生成的

2.创建服务并开启来加载文件，使其随系统启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
runner1
"%WINDOWS%\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"

另外
HKEY_CLASSES_ROOT\WR
HKEY_CLASSES_ROOT\WR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_CLASSES_ROOT\WR version "83"
HKEY_CLASSES_ROOT\WR nextupdate dword:48438d27

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR cmd "61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR version "83"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR nextupdate dword:48438d27

3.病毒会用cmd命令删除自身

4.在Windows系统上，如果安装了Firefox的话，Firefox会安装一些Mozilla专用协议（如FirefoxURL和FirefoxHTML）的协议处理器.

如果Windows遇到了无法处理的URL协议，就会在Windows注册表中搜索适当的协议处理器，找到了正确的处理器后就会向其传送URL字

符串，但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器，通常这个协议处理器的的shell

open命令如下：

[HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]
C:\\PROGRA~1\\MOZILL~2\\FIREFOX.EXE -url “%1″ -requestPending

当Internet Explorer遇到了对FirefoxURL URL方案中内容的引用时，会以EXE镜像路径调用ShellExecute，并未经任何输入验证便

传送了整个请求URI。比方有以下请求：

FirefoxURL://Phol" –argument "my_value 会导致使用以下命令行启动Firefox：

“C:\PROGRA~1\MOZILL~2\FIREFOX.EXE” -url “firefoxurl://Phol" –argument "my_value/” –requestPending

因此可以对firefox.exe进程指定任意参数，这就等于获得了-chrome命令行参数，因为攻击者可以指定任意Javascript代码，然后以

可信任Chrome内容的权限执行。