6月2日电知名安全公司CheckPoint发布报告称，发现一个由中国商业公司控制的FireBAll(火球)病毒，该病毒已感染全球约2.5亿部计算机。火球病毒通过捆绑正常软件传播，中毒电脑的浏览器主页、默认搜索页会被锁定且难以更改。感染最严重的国家是印度、巴西和墨西哥，国内安全厂商金山毒霸已全面查杀Fireball火球病毒。
 

　　Fireball火球病毒是什么

　　根据Check Point的报告，火球病毒感染后会劫持用户浏览器，中毒电脑成为僵尸网络的一部分。Fireball病毒也是一个功能完善的病毒下载器，可以在中毒电脑执行任何代码。其核心功能是控制用户浏览器点击谷歌、雅虎网站的广告牟利。

　　“火球”恶意软件出自中国一家名叫“Rafotech”的数字营销机构。恶意软件本身是一个浏览器劫持插件，但可经由攻击者控制向被感染的电脑下载恶意软件。

　　“火球”大致通过两种途径传播：与Rafotech公司其他软件产品或与网络免费软件捆绑分发。安全专家称很多用户在下载免费软件的同时被安装恶意软件，被后者利用而毫不自知。

　　恶意软件强行将浏览器主页改为自家网站和搜索引擎，并将搜索结果重定向到谷歌或雅虎。这些伪造的搜索引擎跟踪用户数据，暗中搜集用户信息。
 

　　火球病毒全球感染分布图(来自CheckPoint)

　　全球有超过2.5亿台电脑受到感染，其中受影响最大的国家分别是印度(10.1%)和巴西(9.6%)。美国有550万台电脑中招，占2.2%。受感染的企业网络中，印度和巴西分别占到43%和38%，美国则为10.7%。

　　安全人员对如此广的感染范围感到惊讶，猜测“火球”可能使用某种不同寻常的非法传播方式。

　　Check Point在报告中称：Rafotech从受感染电脑中收集敏感信息，并将这些数据出售给有需求的组织或商业竞争对手牟利。银行卡信息、医疗数据、专利和商业计划都有可能通过这种手段被窃取。

　　恶意软件还可控制用户浏览器点击谷歌、雅虎网站的广告牟利。这种机器驱动的虚假点击同样会为广告客户带来损失。

　　安全人员提及去年Mirai僵尸网络进行的DDoS攻击，指出类似攻击在未来仍有可能发生。每台被感染的电脑在平时相对独立，但可接受指令展开规模巨大的网络攻击或其他恶意事件。

　　安全自检

　　打开浏览器设置界面，检查主页是否为自己所设置，同时查看扩展列表中是否有莫名出现的插件。如果筛查出现异常，即意味着有可能被恶意软件劫持。

　　完整的技术报告可参考CheckPoint官方博客。

(责任编辑：宋编辑)