最近，Check Point威胁情报和研究团队发现了大量中国威胁操作，这些团队已经感染了全球超过2.5亿台计算机。据说这个新安装的中文恶意软件Fireball接管目标浏览器，然后将它们变成僵尸!此外，据说它有两个主要功能，即能够在受害者的计算机上运行任何代码或下载任何文件/恶意软件，然后劫持并最终操纵受感染用户的网络流量以产生广告收入。

　　火球恶意软件感染了2.5亿台计算机

　　目前，Fireball据说可以安装插件甚至其他配置，以增加其广告。但是，它可以很容易地成为任何其他恶意软件的主要分销商。Fireball可以监视受害者，在受感染的计算机中执行任何恶意代码，甚至可以执行有效的恶意软件删除。这一切都在目标机器和网络中造成了巨大的安全漏洞。

　　由Rafotech运营

　　据信，该操作由大型数字营销机构Rafotech运营。Rafotech总部设在北京，正在使用Fireball来操纵受害者的浏览器并将其默认搜索引擎甚至主页变为完全假冒的搜索引擎。因此，这最终会将用户的查询重定向到yahoo.com或Google.com。并且，虚假搜索引擎包括跟踪像素，其用于收集用户的私人信息。

　　全球有2.5亿台电脑被感染

　　此恶意软件分发的范围非常惊人。据报道，全球有超过2.5亿台计算机被感染。为了更具国家性，印度目睹了2530万例感染，约占10.1%; 紧随其后的是巴西，其感染率约为2410万(9.6%)。其他受感染最严重的国家包括墨西哥和印尼。

　　另有20%的企业网络已被感染。受影响最严重的国家包括印度尼西亚，其次是印度和巴西。具有讽刺意味的是，Rafotech不承认它会生产浏览器劫持者和虚假搜索引擎。

　　充当浏览器劫持者

　　虽然Fireball充当浏览器劫持者; 但是，它也可以变成一个功能齐全的恶意软件下载器。来到受害者机器上的执行部分，它能够执行任何代码，从而导致从窃取凭据到删除其他恶意软件的各种操作。

　　通过捆绑传播!

　　据说Fireball主要通过捆绑传播。这意味着它被安装在受害者的机器上，与想要的程序一起，更多时候未经用户同意!据称它与Rafotech产品捆绑销售，如Deal Wi-Fi和Mustang Browser。此外，它据说通过其他免费软件分销商捆绑，其中包括FVP图像查看器，Soso桌面等产品。

　　用户如何知道他的机器是否被感染?

　　检查您的机器是否被感染; 然后首先打开您的网络浏览器，现在回答这些简单的问题：主页是否由您设置?你能修改这个主页吗?你熟悉你的默认搜索引擎，你也可以修改它吗?你还记得安装所有的浏览器扩展吗?

　　因此，如果这些问题的答案都是“否”，则表明您的计算机感染了广告软件。