近日，安全专家发现，有2款PUP(Potentially Unwanted Programs：潜在恶意程序)能够暗中关闭Firefox的安全浏览功能，以便能在浏览器中自动播放垃圾广告。

　　恶意广告软件的发现

这两款PUP分别为Shell&Services以及Mintcast 3.0.1。

经分析发现，Shell&Services以及Mintcast 3.0.1均来自于 Mintcast的变种，而它们一般同其他软件一起打包作为浏览器的插件进行安装，而这种安装浏览器插件的操作，无需用户允许确认便可执行。根据对其行为痕迹进行追踪，其能先静默关闭Firefox安全浏览功能，并在用户浏览其他合法网站时将垃圾广告注入到用户的浏览器中或者将用户重定向到恶意网页上。

　　安全浏览功能

安全浏览是Google首创的一种服务，目前也被应用于Safari和Firefox。而所谓的安全浏览功能，其中包含了一个黑名单的网站URL，这些网站URL都是来自于此前发现的恶意软件重定向的网址。据悉，目前这份黑名单是由 Google 和 Mozilla 的工程师进行实时更新，从而保障用户在浏览网站时的安全。

　　更改user.js文件，禁用Firefox安全浏览功能

因为Firefox允许用户创建一个user.js文件用以存储浏览器的各种设置，而Mintcast恶意广告软件正是利用这一特性进行对user.js进行篡改，最后实现关闭安全浏览功能。恶意广告软件的执行步骤如下。

1、如果在C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\{profile}.default文件夹中没发现 user.js文件，该恶意广告软件便会创建一个，里面只需写入三行代码，具体如下：

user_pref(“browser.safebrowsing.downloads.enabled”, false);

user_pref(“browser.safebrowsing.enabled”, false);

user_pref(“browser.safebrowsing.malware.enabled”, false);

2、上述 user.js中的代码执行的时候，将会告诉Firefox在用户浏览网页或者下载文件时停止与黑名单中网址进行比对，从而实现对安全浏览功能的禁用。在Firefox安全浏览功能关闭之后，恶意广告软件会将浏览网页重定向到恶意页面，这个时候，浏览器将不会对用户进行恶意网页的告警。

当开启浏览器的时候，user.js文件也将随之被执行，而就算用户发现这种情况，通过浏览器的设置选项重新开启安全浏览功能，也是无效的。除非将user.js文件从前面提到的存放目录下移除。

　　结语

而根据MalwareBytes的研究，目前这种禁用浏览器安全浏览功能的技术正在越来越多的恶意软件所利用，用户应该有所防范。

(责任编辑：安博涛)