【IT168 資訊】近日,Check Point Threat Intelligence和研究團隊最近發現了一個稱謂Fireball(火球)惡意軟體,其來自於北京的大型數字營銷機構Rafotech(卿燁科技http://www.rafotech.com/),其宣傳全球範圍達到了3億用戶,目前全球感染了超過2.5億臺電腦。惡意軟體Fireball接管目標瀏覽器並將其轉變為殭屍。
Fireball有兩個主要危害:
1、在受害計算機上運行任何代碼的能力 - 下載任何文件或惡意軟體,以及劫持和操縱受感染用戶的網絡流量以產生廣告收入。
2、Fireball來操縱受害者的瀏覽器,並將其默認的搜尋引擎和主頁轉換為假的搜尋引擎。這將查詢重定向到yahoo.com或Google.com。偽造的搜尋引擎包括用於收集用戶私人信息的跟蹤用戶行為。
主要調查結果
·Check Point分析師發現全球感染了超過2.5億臺計算機和全球20%的企業網絡。
·名為Fireball的惡意軟體作為瀏覽器劫持者,可以變成一個功能齊全的惡意軟體下載器,Fireball能夠在受害者機器上執行任何代碼,可以實現竊取數據到安裝其他惡意軟體的各種操作。
·火球大部分通過捆綁傳播,即安裝在受害者機器上以及想要的程序,通常未經用戶同意。
·由中國數字營銷機構經營Rafotech。
·受感染最多的國家是印度(10.1%)和巴西(9.6%)
▲Fireball感染流程
INDICATORS OF COMPROMISE
C&C addresses
雖然Rafotech不承認它會生產瀏覽器劫持和偽造搜尋引擎,但官方宣稱在全球範圍有三億用戶,這與Check Point預估的感染數量相似!
▲火球全球感染率(較暗的粉紅色=更多的感染)
如何刪除惡意軟體?
要刪除幾乎任何廣告軟體,請按照以下簡單步驟操作:
1、從Windows控制面板中的程序和功能列表中刪除應用程式,卸載廣告軟體;
對於Mac OS用戶,使用Finder找到應用程式,將可疑文件拖到垃圾桶,並清空垃圾。
注意 - 一個可用的程序並不總是安裝在機器上,因此在程序列表中可能找不到。
2、使用安全輔助軟體做整機掃描,通過防惡意軟體功能或廣告惡意軟體功能刪除
3、從瀏覽器中刪除惡意插件,擴展程序或插件:
3.1在Google Chrome上:點擊Chrome菜單圖標,然後選擇工具>擴展程序,找到並選擇任何可疑的加載項,點擊垃圾桶圖標刪除。
3.2 在Internet Explorer上,單擊設置圖標,然後選擇管理加載項, 找到並刪除任何惡意加載項。
3.3 在Safari上,打開瀏覽器 單擊Safari選項卡並選擇首選項,打開一個新窗口,選擇擴展選項卡,找到並卸載任何可疑擴展。
4、設置瀏覽器默認搜尋引擎設置。