近日, Check Point Threat Intelligence和研究團隊最近發現了一個稱謂Fireball(火球)惡意軟體, 其來自於北京的大型數字行銷機構Rafotech(卿燁科技http://www.rafotech.com/), 其宣傳全球範圍達到了3億用戶, 目前全球感染了超過2.5億台電腦。 惡意軟體Fireball接管目標流覽器並將其轉變為僵屍。
Fireball有兩個主要危害:
2、Fireball來操縱受害者的流覽器, 並將其默認的搜尋引擎和主頁轉換為假的搜尋引擎。 這將查詢重定向到yahoo.com或Google.com。 偽造的搜尋引擎包括用於收集使用者私人資訊的跟蹤使用者行為。
主要調查結果
·Check Point分析師發現全球感染了超過2.5億台電腦和全球20%的企業網路。
·火球大部分通過捆綁傳播, 即安裝在受害者機器上以及想要的程式, 通常未經使用者同意。
·由中國數字行銷機構經營Rafotech。
·受感染最多的國家是印度(10.1%)和巴西(9.6%)
Fireball感染流程
INDICATORS OF COMPROMISE
C&C addresses
雖然Rafotech不承認它會生產流覽器劫持和偽造搜尋引擎, 但官方宣稱在全球範圍有三億用戶, 這與Check Point預估的感染數量相似!
火球全球感染率(較暗的粉紅色=更多的感染)
如何刪除惡意軟體?
要刪除幾乎任何廣告軟體, 請按照以下簡單步驟操作:
1、從Windows控制台中的程式和功能清單中刪除應用程式, 卸載廣告軟體;
對於Mac OS使用者, 使用Finder找到應用程式, 將可疑檔拖到垃圾桶, 並清空垃圾。
注意 - 一個可用的程式並不總是安裝在機器上, 因此在程式清單中可能找不到。
2、使用安全輔助軟體做整機掃描, 通過防惡意軟體功能或廣告惡意軟體功能刪除
3、從流覽器中刪除惡意外掛程式, 擴展程式或外掛程式:
3.1在Google Chrome上:點擊Chrome功能表圖示, 然後選擇工具>擴展程式, 找到並選擇任何可疑的載入項, 點擊垃圾桶圖示刪除。
3.2 在Internet Explorer上, 按一下設置圖示, 然後選擇管理載入項, 找到並刪除任何惡意載入項。
3.3 在Safari上, 打開流覽器 按一下Safari選項卡並選擇首選項, 打開一個新視窗, 選擇擴展選項卡, 找到並卸載任何可疑擴展。
4、設置流覽器默認搜尋引擎設置。