【IT168 资讯】近日，Check Point Threat Intelligence和研究团队最近发现了一个称谓Fireball(火球)恶意软件，其来自于北京的大型数字营销机构Rafotech(卿烨科技http://www.rafotech.com/)，其宣传全球范围达到了3亿用户，目前全球感染了超过2.5亿台电脑。恶意软件Fireball接管目标浏览器并将其转变为僵尸。

　　Fireball有两个主要危害：

　　1、在受害计算机上运行任何代码的能力 - 下载任何文件或恶意软件，以及劫持和操纵受感染用户的网络流量以产生广告收入。

　　2、Fireball来操纵受害者的浏览器，并将其默认的搜索引擎和主页转换为假的搜索引擎。这将查询重定向到yahoo.com或Google.com。伪造的搜索引擎包括用于收集用户私人信息的跟踪用户行为。

　　主要调查结果

　　·Check Point分析师发现全球感染了超过2.5亿台计算机和全球20%的企业网络。

　　·名为Fireball的恶意软件作为浏览器劫持者，可以变成一个功能齐全的恶意软件下载器，Fireball能够在受害者机器上执行任何代码，可以实现窃取数据到安装其他恶意软件的各种操作。

　　·火球大部分通过捆绑传播，即安装在受害者机器上以及想要的程序，通常未经用户同意。

　　·由中国数字营销机构经营Rafotech。

　　·受感染最多的国家是印度(10.1%)和巴西(9.6%)

▲Fireball感染流程

　　INDICATORS OF COMPROMISE

　　C&C addresses

         虽然Rafotech不承认它会生产浏览器劫持和伪造搜索引擎，但官方宣称在全球范围有三亿用户，这与Check Point预估的感染数量相似！

▲火球全球感染率(较暗的粉红色=更多的感染)

　　如何删除恶意软件?

　　要删除几乎任何广告软件，请按照以下简单步骤操作：

　　1、从Windows控制面板中的程序和功能列表中删除应用程序，卸载广告软件;

　　对于Mac OS用户，使用Finder找到应用程序，将可疑文件拖到垃圾桶，并清空垃圾。

　　注意 - 一个可用的程序并不总是安装在机器上，因此在程序列表中可能找不到。

　　2、使用安全辅助软件做整机扫描，通过防恶意软件功能或广告恶意软件功能删除

　　3、从浏览器中删除恶意插件，扩展程序或插件：

　　3.1在Google Chrome上：点击Chrome菜单图标，然后选择工具>扩展程序，找到并选择任何可疑的加载项，点击垃圾桶图标删除。

　　3.2 在Internet Explorer上，单击设置图标，然后选择管理加载项， 找到并删除任何恶意加载项。

　　3.3 在Safari上，打开浏览器 单击Safari选项卡并选择首选项，打开一个新窗口，选择扩展选项卡，找到并卸载任何可疑扩展。

　　4、设置浏览器默认搜索引擎设置。