锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
背后推手一家中国电子营销机构,Fireball恶意程序已袭击全球将近2.5亿台PC

作者: 佚名  日期:2017-06-03 08:20:22   来源: 本站整理

 
Check Point研究人员最近发现了一款传播范围极广的恶意软件,感染的计算机数量高达2.5亿,包括Windows和macOS。这款恶意软件被命名为Fireball,它能够完全控制受害者的web浏览器,把他们变成“僵尸”,并让攻击者对受害者的流量进行监控,窃取数据。
研究人员发现它背后的公司叫卿烨科技(Rafotech)。这是一家提供电子营销和手机游戏的中国公司,客户多达3亿。这家公司目前用Fireball在用户浏览器中注入广告获利,但实际上Fireball的危害不仅限于此,它完全有能力被利用进行大规模的破坏。
Fireball从何而来

感染流程
Fireball的传播使用了一种中国网民喜闻乐见的方式——捆绑。用户从网上下载安装免费软件后,捆绑的恶意软件就会安装浏览器插件控制受害者的浏览器配置,替换浏览器默认搜索引擎和主页,将之替换成一个假的搜索引擎:trotux.com。

捆绑的软件中有一些是卿烨科技的其他产品,比如Deal Wifi 和野马浏览器或者“Soso Desktop”、“FVP图片查看器”。

“值得注意的是当用户安装免费软件的时候,捆绑软件不一定会同时安装。”研究人员称,“另外,很有可能卿烨科技使用了其他的传播手段,比如以假冒的名称来传播免费软件、使用垃圾邮件甚至是从黑客那里购买安装量。”
替换的假冒搜索引擎只是将用户的搜索请求重定向到雅虎或者google,但植入了追踪的像素,用来收集受害者的信息。
Fireball能够做的事情远远超出正常范围,它能够监控受害者的web流量,在目标系统执行恶意代码、安装插件,甚至直接安装恶意软件,这样就能够在目标系统和网络中留下了巨大的后门。
“从技术的角度来看,Fireball非常复杂精细,有一些绕过杀毒软件和防检测的手段,它使用了多层架构和C&C服务器,这不输任何真正的恶意软件。”研究人员称。
影响范围
 “根据我们估计的感染率,1/5的企业会受到大型数据泄露攻击。”
研究人员称,全球范围内有2.5亿台计算机受到影响,其中20%处在企业网络中。受感染的机器遍布各个国家:
印度:2530万 (10.1%)
巴西:2410万 (9.6%)
墨西哥:1610万 (6.4%)
印尼:1310万 (5.2%)
美国:550万 (2.2%)

全球感染率,颜色越深代表感染率越高
很显然,卿烨科技不会承认使用了浏览器劫持和假冒的搜索引擎,在其官网,卿烨科技称它是一家成功的数字媒体公司,在全球拥有3亿用户,讽刺的是这与Check Point所预估的2.5亿感染量不谋而合。

公司背景
基于Check Point的报告,小编也对这家名为“卿烨科技”的公司进行了微小的调查。

工商资料显示,卿烨科技成立于2015年2月,是“数字营销行业的领先跨国公司”。
根据卿烨科技官网的资料,公司的业务主要针对两类客户:出版商和广告商。对出版商提供广告,使媒体“在不新增广告位的前提下大幅增加收益”;针对广告商则是“以云平台和大数据技术做支撑,通过强大的数据挖掘技术快速识别用户,进行精准广告投放,支持多种形式的精准广告定向方式”。
另一块比较重要的板块是游戏,根据卿烨科技官网的介绍,公司旗下拥有四款游戏,并且在海外的应用市场颇受欢迎。

卿烨科技注重游戏的海外分发,往往与当地的公司寻求合作。去年10月,卿烨科技还与Taptica合作,后者帮助在英国推广Piggy Boom游戏。

检测防御
你可以尝试回答以下的这些问题,如果结果都是“不”,那很有可能中招了(即便不是Fireball,也应该是其他流氓软件)
打开浏览器检查
你有没有改过主页?
你能否更改主页?
你对默认的搜索引擎熟悉吗?可以更改吗?
浏览器插件你都认识吗?
要删除这款恶意软件,你只需要卸载相应程序,然后重置浏览器到初始状态。
要进行防范也很简单——安装软件时要格外小心,不要装上捆绑软件。
IoC
C&C地址
attirerpage[.]com
s2s[.]rafotech[.]com



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等