火球病毒

“火球”是一款恶意软件，出自中国一家名“Rafotech”的数字营销机构。恶意软件本身是一个浏览器劫持插件，但可经由攻击者控制向被感染的电脑下载恶意软件。

1、事件简介

2017年5月，网络安全公司CheckPoint发现，一个来自中国的名叫“火球”(Fireball)的病毒已经感染了2.5亿台电脑，全球20%的企业网络中招。

安全人员对如此广的感染范围感到惊讶，猜测“火球”可能使用某种不同寻常的非法传播方式。CheckPoint在报告中称：Rafotech从受感染电脑中收集敏感信息，并将这些数据出售给有需求的组织或商业竞争对手牟利。银行卡信息、医疗数据、专利和商业计划都有可能通过这种手段被窃取。

恶意软件还可控制用户浏览器点击谷歌、雅虎网站的广告牟利。这种机器驱动的虚假点击同样会为广告客户带来损失。安全人员提及去年Mirai僵尸网络进行的DDoS攻击，指出类似攻击在未来仍有可能发生。每台被感染的电脑在平时相对独立，但可接受指令展开规模巨大的网络攻击或其他恶意事件。

2、传播途径

“火球”大致通过两种途径传播：与Rafotech公司其他软件产品或与网络免费软件捆绑分发。很多用户在下载免费软件的同时被安装恶意软件，被后者利用而毫不自知。

3、目的

恶意软件强行将浏览器主页改为自家网站和搜索引擎，并将搜索结果重定向到谷歌或雅虎。这些伪造的搜索引擎跟踪用户数据，暗中搜集用户信息。

4、影响范围

全球有超过2.5亿台电脑受到感染，其中受影响最大的国家分别是印度(10.1%)和巴西(9.6%)。美国有550万台电脑中招，占2.2%。受感染的企业网络中，印度和巴西分别占到43%和38%，美国则为10.7%。

5、破案

与“朝阳群众”“西城大妈”齐名的“海淀网友”一出手，就制服了令世界头疼的“火球”黑客。

2017年6月1日，一名“海淀网友”发现一国外知名安全实验室报道了一起代号为“FIREBALL（火球）”的事件：该病毒已感染全球约2.5亿台计算机。

这位网友是网络安全公司的一名技术人员，职业敏感促他开始分析“火球”病毒的传播途径。

在“火球”事件中，“海淀网友”发现了野马浏览器、DealWifi软件等8款流氓软件，这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页，而用户无法更改。虽然页面各不相同，但搜索页均抓取雅虎和谷歌数据，“海淀网友”推测，流氓软件制造者以控制用户点击雅虎和谷歌的广告牟利。

经过进一步追踪，这些流氓软件均由同一作者制作。通过搜集的线索，“海淀网友”又找到了三家可疑公司，其中两家在上海，一家在北京，北京公司主要负责制作病毒。“海淀网友”还通过其他网上线索发现，在整个公司运营中，最主要的涉事人为马某和鲍某。

仅仅用了两天，“海淀网友”破解“火球”，将分析和找到的线索，移交给*机关。

6、非法获利

接到线索后，警方迅速成立专案组。民警从病毒程序的运行方式入手，通过模拟系统中毒过程结合实地调查追踪，准确掌握了犯罪嫌疑人制作病毒自行侵入用户电脑，强行修改系统配置，劫持用户流量，恶意植入广告牟利的犯罪事实。

检察机关也提前介入该案。通过监测，办案民警和检察官及时固定了整个犯罪行为过程的关键证据，同时摸清了该公司组织架构，发现该公司就隐藏在中关村。

2017年6月15日，专案组启动收网行动，在该公司所在地捣毁该犯罪团伙，抓获了以马某、鲍某、莫某为首的11名犯罪嫌疑人，他们均对自己的犯罪事实供认不讳。

经审查，马某、鲍某、莫某都一直从事IT行业，想到开发恶意插件捆绑正常软件可以劫持流量从而达到植入广告牟利的目的，2015年共同出资成立一家网络公司，对该病毒软件进行开发，马某任公司总裁，鲍某和莫某分别任公司技术总监和运营总监，在开发出“FIREBALL”恶意软件后，考虑到国内网络安全监管严厉，为了躲避监管，就在国外开通账户，然后将该恶意软件捆绑正常软件投放国外软件市场进行传播。该恶意软件感染电脑后，能够在受害者机器上执行任意代码，进行窃取凭据、劫持上网流量到删除其他恶意软件的各种操作等违法犯罪行为。然后，该公司在该恶意软件上植入广告向受害者电脑投放从而谋取暴利，该公司国外账户仅去年就非法获利近8000万元人民币。

7、获刑

承办该案的海淀检察院科技犯罪检察部检察官许丹介绍，目前检察机关以涉嫌破坏计算机系统罪批准逮捕了马某、鲍某等9人。

“2.5亿台电脑被感染，仅仅是国外机构发布的数字，并不能实际用于定罪的证据。”许丹表示，由于涉案电脑大部分在*，这给取证、固定证据带来一定困难，但按照我国刑法规定，除了破坏计算机的台数以外，犯罪金额也可以作为定罪量刑的依据，以目前证据来看，这起犯罪造成的后果特别严重，量刑应在5年以上。

目前，案件还在进一步审理中。