北京警方宣布抓获FireBall火球木马病毒的制作者
今年六月份国外安全公司CheckPoint发现了某个名为FireBall(火球)的病毒已在全球感染超过2.5亿台电脑。
FireBall主要藏匿在拥有正规数字签名的合法软件中进行传播,受感染的设备则会自动安装各种辅助木马病毒。
当用户感染FireBall病毒后浏览器会被强制安装恶意扩展程序用来劫持用户的搜索引擎甚至在网页添加广告等。
同时FireBall还会连接远程控制服务器加载其他辅助木马,这些木马病毒可以直接让攻击者完全控制整个电脑。
无利不起早:
除带有特定目的的攻击外其他病毒基本都是为了获利,这个感染规模极大的FireBall病毒的最终目的亦是如此。
FireBall病毒除了劫持用户搜索引擎和网页外还会自动点击病毒制作者指定的广告内容来获取广告联盟的分成。
借助病毒制作者自己公司的合法数字签名绝大多数安全软件都会对病毒传播的载体合法软件和病毒进行放行。
值得注意的是该公司为了躲避中国警方的追踪和打击, 他们选择了只感染海外电脑来组成僵尸网络进行获利。
警方联手研究人员追踪:
在国外安全公司披露FireBall病毒后有网友向北京市公安局海淀分局网安大队举报了由国内公司制作恶意软件。
据澎湃新闻网称该网友本身就是某网络安全公司的技术人员,在看到国外的分析报告后亦对FireBall进行分析。
同时协助民警对该网络公司推广的免费软件进行了样本固定,最终确定该公司的软件和FireBall存在相同代码。
在经过两周的详细调查后 6月15日 北京警方在海淀区卿烨科技(北京)有限责任公司成功抓获了11名嫌疑人。
合资成立网络公司开发病毒:
北京警方介绍马某和鲍某等本身从事 IT 行业,想到开发恶意插件劫持流量从而达到植入广告进行牟利的目的。
于是他们在2015年共同出资成立了网络公司进行开发病毒,马某担任总裁、鲍某和莫某担任技术和运营总监。
在开发FireBall病毒后考虑国内网络安全监管严厉,为了躲避监管就开设国外账户然后将病毒投放到国外市场。
该病毒感染电脑后能够在受害者电脑上执行任意代码, 包括窃取凭据及劫持流量来获利等各种违法犯罪活动。
据查该公司在国外的账户仅在去年就非法获利近 8000 万元人民币,受感染的电脑在全球总量超过了2.5亿台。
日前上述多名嫌疑人已经因涉嫌破坏计算机系统罪被海淀区检察院批准逮捕, 日前案件还在进一步的审理中。