Check Point：神秘中国公司制作恶意广告软件，感染全球超2.5亿台设备

近日，Check Point公司的安全研究人员发现了一个大规模的恶意软件运动，已经成功感染了全球超过2.5亿台计算机设备，其中包括Windows和macOS系统，完全有可能引发新一轮“全球性灾难”。

该恶意软件名为“FireBall”，是一个广告软件包，可以控制受害者的互联网浏览器，并将其转化为僵尸网络，此外还允许攻击者监视受害者的网络流量使用情况， 并悄悄地窃取受害者的个人数据。

据发现该恶意软件的Check Point研究人员表示，FireBall恶意软件与为3亿客户提供数字营销和游戏应用程序的中国公司Rafotech相关（该公司中文名疑似为卿烨科技）。

虽然该公司目前只是通过使用该恶意软件在浏览器上注入广告来获取收益，但是该恶意软件可以迅速将受控设备转化为僵尸网络，从而在全球范围内制造重大的网络安全事件。

Fireball与你从互联网下载的其他免费软件程序捆绑在一起。一旦安装完成，该恶意软件就会安装浏览器插件来操纵受害者的Web浏览器配置，使用伪造的搜索引擎（trotux.com）替换默认的搜索引擎和主页。

研究人员表示，

“此外，Rafotech公司很可能还在使用其他的传播方式，例如以虚假的名称、垃圾邮件甚至是从攻击者处购买安装等方式来传播免费软件。”

伪造的搜索引擎只需将受害者的查询重定向到Yahoo.com或Google.com，便可以跟踪收集受害者的个人信息。

Fireball不仅不具备任何合法的目的，它还可以侦测受害者的网络流量，在受感染的设备上运行任何恶意代码、安装插件、甚至可以充当高效的恶意软件下载器，从而在目标系统和网络中创建一个庞大的安全缺口。

研究人员表示，

“从技术角度来看，Fireball显示出了极高的复杂性和高质量的逃避技术，包括防侦测功能、多层结构，以及灵活的C＆C，并不逊色于典型的恶意软件。”

目前，Fireball广告软件正在劫持用户的网络流量，以提升其广告效益并获得收益，但与此同时，广告软件也可以分发其他恶意软件。

FireBall恶意软件已感染全球2.5亿台计算机

研究人员补充道，

“根据我们预估的感染率，在这种情况下，全球五分之一的企业将面临重大的安全威胁。”

根据研究人员所说，全球有超过2.5亿台计算机受到感染，其中20%是企业网络：

印度：2530万感染（10.1%）；

巴西：2410万感染（9.6%）；

墨西哥：1610万感染（6.4%）；

印度尼西亚：1310万感染（5.2%）；

美国：550万感染（2.2%）；

研究人员警告称，

“想知道它有多严重？试着想象一下装有核弹的杀虫剂，是的，它可以达到这种程度 而且它可能还可以做得更多。许多威胁行动者都希望拥有Rafotech权力的一小部分。”

截至目前，Rafotech公司尚未做出任何回应。

如何检查自己是否受到了感染？

如果以下问题的答案均为“否”，则表示你的计算机感染了Fireball或其他相似的广告软件。

首先, 打开你的互联网浏览器并检查：

你设置自己的主页了吗？

你是否可以修改自己的浏览器主页？

你熟悉自己的默认搜索引擎吗？可以进行修改吗？

你还记得安装的所有浏览器扩展程序吗？

记住，如果您无法进行修改, 这是一个证明自己已经感染广告软件的明显标志。

如何删除Fireball恶意软件？ 

想要删除广告软件，只需要从计算机中卸载相应的应用程序（或使用广告软件清理工具），然后将浏览器配置恢复／重置为默认设置即可。

防止这种感染最重要的方式就是你在同意安装时一定要保持谨慎。安装软件时一定要始终保持谨慎，因为软件安装程序通常会包含一些可选安装程序。选择自定义安装，然后取消选择任何不必要或不熟悉的内容。