fireball病毒專殺工具v1.0 官方版

剛看到的新聞，沒想到fireball病毒是國內的公司控製的，不過金山毒霸已經做出了專殺工具，大家不用擔心，這裏分享給大家自行下載殺毒。

什麼是火球病毒

火球病毒感染後會劫持用戶瀏覽器，中毒電腦成為僵屍網絡的一部分。Fireball病毒也是一個功能完善的病毒下載器，可以在中毒電腦執行任何代碼。其核心功能是控製用戶瀏覽器點擊穀歌、雅虎網站的廣告牟利。

火球病毒是由中國數字營銷公司Rafotech 管理的。”全球有超過2.5億台電腦受到感染：印度2530萬(10.1%)，巴西2410萬(9.6%)，墨西哥1,610萬(6.4%)，印度尼西亞1310萬(5.2%)，美國有550萬感染(2.2%)。

傳播方式

“火球”大致通過以下兩種途徑進行傳播，一是與該營銷機構其他軟件產品捆綁，二是與網絡免費軟件捆綁。報告指出，“火球”已經通過這種方式，在全球範圍內感染了超過2.5億台電腦，20%企業。

安全自檢方法

打開瀏覽器設置界麵，檢查主頁是否為自己所設置，同時查看擴展列表中是否有莫名出現的插件。如果篩查出現異常，即意味著有可能被惡意軟件劫持。

防禦方法

用戶可以通過卸載這些流氓軟件恢複Chrome瀏覽器的設置。當然，另一種更省力的方法是開啟火絨安全軟件，火絨安全軟件已可全麵查殺“火球（Fireball）”事件涉及的流氓軟件，建議用戶下載安裝最新版火絨安全軟件。

火球病毒感染危害示範

近期火球（FireBall）事件中，涉事軟件存在劫持Chrome瀏覽器首頁及新標簽頁的惡意行為。經過火絨追查，發現更多軟件涉及此次事件，如下圖所示：

軟件列表

以“DealWiFi”軟件為例，安裝如下圖所示，如果用戶不勾選"Setmystart.dealwifi.comasyourchromehomepageandnewtab"，則無法繼續安裝。如下圖所示：

安裝

勾選後使用火絨劍監控“DealWiFi”安裝過程，可以看到程序在後台安裝了一個Chrome插件，如下圖所示：

安裝Chrome插件

該插件會“劫持”Chrome的設置界麵，如下圖所示：

劫持Chrome首頁及新標簽創建頁麵

Chrome瀏覽器的首頁被修改為hxxps://mystart.dealwifi.com/?type=apps，如下圖所示：

搜索劫持

這些流氓程序安裝流程一樣，都會強製安裝一個名稱和所裝軟件名稱一樣的Chrome插件。這些插件功能完全相同，都是鎖定首頁和新標簽頁的URL，其中名為"SosoDesktop"的流氓軟件還強製修改默認搜索引擎。
與國內一般的添加帶有首頁推廣號的鎖首方式不同，病毒插件鎖定的根據安裝的流氓軟件不同搜索頁麵也不相同如下表：

不同軟件劫持的網址

我們通過對比搜索結果可以發現，除Holainput鎖定的搜索頁麵最終結果會跳轉Google外，其餘搜索頁麵和hxxps://www.yahoo.com的搜索結果一致，後台疑似使用Yahoo的搜索結果。但是無論使用的是Google還是Yahoo，病毒服務器都可以記錄用戶的搜索內容，對用戶的搜索信息隱私安全造成威脅。