安天发布《Fireball家族样本分析报告》

近日,安天CERT(安全研究与应急处理中心)在梳理网络安全事件时注意到,一种名为Fireball的恶意代码家族正在世界范围内活跃。研究人员称,该恶意代码已经感染数量高达2.5亿和20%的企业网络,感染机器成为僵尸网络的一部分,能够控制感染机器的浏览器、监控流量、窃取数据,通过应用Deal Wifi和Mustang浏览器捆绑传播。安天分析人员分析判定后,该样本属于广告件,影响范围主要分布在印度和巴西。

Fireball使用捆绑的方式进行传播,用户从网上下载免费应用之后,捆绑的恶意软件就会安装恶意浏览器插件,控制受害者的浏览器配置,替换浏览器默认的主页和搜索引擎,该虚假搜索引擎为:trotux.com,该虚假搜索引擎将用户的搜索请求重定向到雅虎,但植入了追踪的像素,用来收集受害者的信息捆绑的软件中有一些是其他应用,比如Deal Wifi 和Mustang浏览器或者“Soso Desktop”、“FVP图片查看器”。

Fireball家族样本非常复杂,使用了一些反安全软件的技术,使用了多层架构和C&C服务器,它能够做的事情远远超出正常范围,它可以监控受害者的网络流量,在目标系统中执行恶意代码、安装插件,甚至直接安装恶意软件,这样可以在受害者系统和网络中留下后门。 研究人员称,全球范围内约有2.5亿台计算机受影响,其中20%处在企业网络中。受感染的机器遍布各个国家,包括印度、巴西、墨西哥、印尼、美国等。

安天CERT提醒广大网络使用者,要提高网络安全意识,不要通过非官方网站下载应用程序,不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的好习惯。目前,安天追影产品已经实现了对该类样本的检出。