Fireball（火球）病毒爆發，已感染2.5億台電腦（附詳細分析報告）

知名安全公司Check Point發布報告稱，發現一個由中國商業公司控制的Fireball(火球)病毒，該病毒已感染全球約2.5億部計算機。

火球病毒通過捆綁正常軟體傳播，中毒電腦的瀏覽器主頁、默認搜索頁會被鎖定且難以更改。

以下為相關程序樣本名稱及官網列表：

感染最嚴重的國家是印度、巴西和墨西哥，金山毒霸已全面查殺Fireball火球病毒。

根據Check Point的報告，火球病毒感染後會劫持用戶瀏覽器，中毒電腦成為殭屍網路的一部分。Fireball病毒也是一個功能完善的病毒下載器，可以在中毒電腦執行任何代碼。其核心功能是控制用戶瀏覽器點擊谷歌、雅虎網站的廣告牟利。

Check Point在分析中指出：「火球病毒是由中國數字營銷公司Rafotech 管理的」。全球有超過2.5億台電腦受到感染：印度2530萬(10.1%)，巴西2410萬(9.6%)，墨西哥1,610萬(6.4%)，印度尼西亞1310萬(5.2%)，美國有550萬感染(2.2%)。

火球病毒全球感染分布圖，顏色越深感染量越高（來自CheckPoint）

在此，強烈建議用戶使用殺毒軟體查殺，或者通過控制面板添加刪除程序，找到FireBall將其卸載。金山毒霸安全研究員對相關程序樣本做出了詳細的分析，發現它們具有以下特點：

1、核心攻擊目標均為主流瀏覽器；

2、攻擊人群均面向國外用戶；

3、其攻擊程序均採用「軟體加簽名方式」試圖逃避殺軟查殺，其中DealWifi就是利用了自己的數字簽名。而另一類攻擊方式更為簡單粗暴，直接使用某知名瀏覽器的白簽名程序進行「白加黑」。

首先，在DealWifi官網直接下載軟體進行安裝，可以發現在其安裝時會強制用戶勾選同意修改Chrome瀏覽器主頁和新標籤頁的選項（不勾選則無法繼續安裝）。

其次，軟體會向Chrome瀏覽器中添加相關的擴展程序。擴展程序會通過Manifest.json配置文件，修改Chrome瀏覽器的主頁、起始頁和新標籤頁。

manifest.json內容如下：

startup_pages為主頁設置欄位：

實際瀏覽器啟動時打開如下網址：

金山毒霸安全實驗室根據Check Point披露的數據反查追蹤發現，Fireball家族背後還有另外的小插件，疑似國內名為北京行雲網科技合肥有限公司所開發，而最早活躍跡象可以追溯到2015年。

該插件利用了某知名瀏覽器進行「白+黑」的手法躲避殺軟查殺。

文件和模塊功能說明如下：

運行後釋放文件如下：

整體執行流程如下：

1、寫Windows Defender的註冊表添加信任目錄和文件

樣本運行之後，ImSystem隨之啟動，首先會載入USE.dll模塊，該模塊主要負責向註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows DefenderExclusionsPaths寫入工作路徑，添加信任目錄和文件。

2、寫計劃任務從而維持許可權

執行完第一步，隨後調起QQBrowser.exe，在其啟動時載入QQBrowserFrame.dll以及Chrome_elf.dll。此時QQBrowser.exe的使命完成，剩下的工作在這兩個模塊中繼續進行。

添加的計劃任務如下：

3、解密DataBase

QQBrowserFrame.dll 將DataBase文件進行解密解壓縮操作，通過自行解析、重定位方式載入為DLL模塊，之後動態解析導出表，得到DoWork函數地址，轉入執行。

4、攻擊瀏覽器

DoWork的核心功能為篡改瀏覽器相關設置。攻擊目標包含IE 、firefox 、chrome、opera 等主流瀏覽器。

枚舉*.lnk文件，在枚舉文件的回調函數EnumCallBack_XX中進行快捷方式修改操作，判斷條件為：

快捷方式指向中是否包含列表中的瀏覽器主程序字元串

其啟動參數是否符合要求（判斷是否已經修改）

若指向為列表中的字元串，病毒會判斷當前瀏覽器的指向的主頁是否是自己的，如果不是，則修改。

列表如下：

IE瀏覽器：通過註冊表進行修改主頁、搜索頁、tab頁操作。

同時，對於其他瀏覽器，例如：Chrome瀏覽器，通過修改Secure Preferences文件，Firefox瀏覽器，通過修改prefs.js文件達到篡改瀏覽器主頁、搜索頁、新建tab頁的目的。

以chrome瀏覽器為例，修改Preferences中startup_urls欄位從而修改主頁。

同簽名文件列表：

（來源：https://www.herdprotect.com/signer-hefei-infinity-technology-co-ltd-490724fb4f978e2d51d3d4da84a86d0e.aspx）

========分割線========

我們持續關注和發布各類安全熱點事件報告

歡迎大家關注我們的知乎號

>>>點擊這裡關注我們<<<

O(∩_∩)O謝謝~~

想查看更多過往的報告？可以點擊下面的鏈接

我們的知乎文章匯總：點擊查看

我們的微博：漁村安全的微博

我們的微信公眾號：漁村安全