攻击目标——FireFox：病毒搅局浏览器战争。

第二次浏览器战争正在如火如荼地进行着，除了微软的Internet Explorer一家独大，占有了七成多的浏览器市场之外，其他的诸如FireFox，Safari，Opera，Netscape，Chrome等也施展自己的各般武艺在浏览器市场一展身手。

图一 第一次浏览器战争

     Firefox      Safari      Opera      Netscape      Mozilla      Chrome      Other

图二 浏览器市场占有率走势（除微软IE）

通过上图可以发现，除了IE的其他浏览器中，Mozilla的FireFox“更加快速、更加安全”的理念赢得了众多拥趸，占有率持续上升，在2008年占领的两成多的市场，稳坐第二把交椅。

但是这款以安全性为特点的开源浏览器已经被病毒盯上了。这个病毒就是趋势科技近期发现的木马TROJ_DROP.BP（http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DROP.BP）。

TROJ_DROP.BP木马是少有的仅仅针对FireFox浏览器的病毒，他的针对性极强，仅在安装了FireFox的系统上发作，对于安装了其他浏览器的系统却不会造成任何危害。

这个木马伪装成FireFox的附加组件（Add-Ons）欺骗用户进行安装，一旦安装后，它会生成以下文件

%Program Files%\Mozilla Firefox\chrome\chrome\content\browser.js – 该文件被检测为JS_AGENT.ACVB
    %Program Files%\Mozilla Firefox\plugins\npbasic.dll – 该文件被检测为TSPY_AGENT.AYH
    %Program Files%\Mozilla Firefox\chrome\chrome\content\browser.xul – 非恶意文件
    %User Temp%\{随机16进制数}.tmp – 该文件被检测为TSPY_AGENT.AYH

该木马并不会影响在用户上网浏览网站，但是当用户打开某些特点站点，如银行网站，网络支付网站时，它就会悄悄的窃取卡号和密码并将窃取到的信息发送给病毒作者。

从这些行为上看，这个木马似乎和其他的窃取帐号的木马没有什么区别，但是别忘了，TROJ_DROP.BP仅仅针对Mozilla的FireFox浏览器。从之前的数据及此次事件中，我们可以预见，随着FireFox在浏览器市场上的表现日益优异，肯定会有更多的恶意程序盯上FireFox。

而病毒会在第二次浏览器之战中扮演一个什么药的角色，现在也不明朗，是一个举足轻重的搅局者，还是一个小插曲？只有时间会告诉我们答案。我们能确定的只有——病毒的触角正在越升越长，而FireFox也不如从前安全了。

我们不知道病毒作者为何在众多浏览器中唯独选择FireFox，因为它并不是使用最广泛的浏览器，也不是漏洞最多的浏览器。这有可能只是一个试水之作，也有可能是新一波病毒来袭的前奏，趋势科技会持续关注其后续发展，并且及时带来最新的消息。敬请持续关注http://blog.sina.com.cn/tmcrtl。

Peter Zang