6月1日，知名安全公司CheckPoint發(fā)布報告稱，發(fā)現了由中國公司控制的流氓軟件“火球（Fireball）”，因受害者眾多，已經引起國外安全機構的重視。
在“火球（Fireball）”事件中，火絨安全團隊發(fā)現了野馬瀏覽器、DealWifi軟件等8款流氓軟件，這些流氓軟件感染電腦后會將Chrome瀏覽器的首頁、TAB頁改為隨機生成的搜索頁，而用戶無法更改。雖然頁面各不相同，但搜索頁均抓取雅虎和谷歌數據，火絨安全團隊推測，流氓軟件制造者以控制用戶點擊雅虎和谷歌的廣告牟利。
流氓軟件在安裝時會檢測電腦是否有Chrome瀏覽器，若沒有則相安無事，若有則會提示用戶安裝一個Chrome插件，不安裝插件就不能安裝軟件。
雖然這些軟件來自國內卿燁科技、百盛達科技等多家公司，但是火絨安全團隊通過追蹤發(fā)現，其均由同一作者“baoyu430@gmail.com”制作。作者注冊不同網站，制作了一批流氓軟件。
這些軟件只攻擊Chrome瀏覽器，但考慮到Chrome瀏覽器在國外的市場占有率，“火球（Fireball）”事件可謂影響巨大，國內Chrome用戶也可能收到挾持。
用戶可以通過卸載這些流氓軟件恢復Chrome瀏覽器的設置。當然，另一種更省力的方法是開啟火絨安全軟件，火絨安全軟件已可全面查殺“火球（Fireball）”事件涉及的流氓軟件，建議用戶下載安裝最新版火絨安全軟件。
這次“火球（Fireball）”事件雖然在外國爆發(fā)，但其“作案手法”在國內早已屢見不鮮，可以看出國內的網絡犯罪手法正在向國際蔓延。 
事件分析
近期火球（FireBall）事件中，涉事軟件存在劫持Chrome瀏覽器首頁及新標簽頁的惡意行為。經過火絨追查，發(fā)現更多軟件涉及此次事件，如下圖所示：

軟件列表
以“DealWiFi”軟件為例，安裝如下圖所示，如果用戶不勾選”Setmystart.dealwifi.comasyourchromehomepageandnewtab”，則無法繼續(xù)安裝。如下圖所示：

安裝
勾選后使用火絨劍監(jiān)控“DealWiFi”安裝過程，可以看到程序在后臺安裝了一個Chrome插件，如下圖所示：

安裝Chrome插件
該插件會“劫持”Chrome的設置界面，如下圖所示：

劫持Chrome首頁及新標簽創(chuàng)建頁面
Chrome瀏覽器的首頁被修改為hxxps://mystart.dealwifi.com/?type=apps，如下圖所示：

搜索劫持
這些流氓程序安裝流程一樣，都會強制安裝一個名稱和所裝軟件名稱一樣的Chrome插件。這些插件功能完全相同，都是鎖定首頁和新標簽頁的URL，其中名為”SosoDesktop”的流氓軟件還強制修改默認搜索引擎。
與國內一般的添加帶有首頁推廣號的鎖首方式不同，病毒插件鎖定的根據安裝的流氓軟件不同搜索頁面也不相同如下表：

不同軟件劫持的網址
我們通過對比搜索結果可以發(fā)現，除Holainput鎖定的搜索頁面最終結果會跳轉Google外，其余搜索頁面和hxxps://www.yahoo.com的搜索結果一致，后臺疑似使用Yahoo的搜索結果。但是無論使用的是Google還是Yahoo，病毒服務器都可以記錄用戶的搜索內容，對用戶的搜索信息隱私安全造成威脅。
經過火絨追查，諸多上述惡意軟件的注冊信息中都出現了注冊人鮑雨與其注冊所使用電子郵箱“baoyu430@gmail.com”。通過搜索卿燁科技有限公司的工商信息，我們發(fā)現名為卿燁科技的公司共有五家，其中與病毒存在直接關系的公司共有三家，分別為卿燁科技（北京）有限責任公司（下文稱北京卿燁）、卿燁科技（上海）有限責任公司北京卿燁雨林分公司（下文稱上海卿燁北京分公司）和卿燁科技（上海）有限責任公司（上海卿燁）。經過我們對企業(yè)信息的梳理與篩查，我們初步理清了與病毒相關的公司運作關系，如下圖所示：

涉事公司關系圖
在整個公司運營中，最主要的涉事人為馬琳和鮑雨，馬琳為相關公司的最主要出資人，鮑雨為主要經理人。
北京朗基努斯投資中心股東信息中，只有馬琳和鮑雨，該公司以相對控股方式控制卿燁科技（上海）有限責任公司。該公司的主要職能為進行資本，進行對外投資整合資源。
上海卿燁主要負責開發(fā)進行流量劫持的瀏覽器插件和國內外相關網站服務的開發(fā)，并且通過對外投資以絕對控股方式控制著北京卿燁，同時設有下屬分支公司上海卿燁北京分公司。在該公司產權信息中，我們發(fā)現了傳播惡意插件的軟件，如下圖所示：
上海卿燁產權信息
我們還在招聘網站找到了該公司的招聘信息，如下圖所示：

上海卿燁招聘信息
北京卿燁主要負責軟件及游戲開發(fā)，其開發(fā)的軟件為劫持流量的傳播載體，軟件諸如：DealWiFi、SosoDesktop和FVPImageviewer等。在該公司產權信息中，我們發(fā)現了更多攜帶流氓推廣的軟件，如下圖所示：

北京卿燁產權信息
上海卿燁北京分公司主要負責流量劫持的瀏覽器開發(fā)。該公司公示的招聘信息，如下圖所示：

上海卿燁北京分公司招聘信息
附錄
樣本SHA1：
0f6df3d425c0f2e60eca1cd8a20106c305296f23
08731ac376f3d6af690d45214d4644f3c42930a1
2a8d9d7210f216f00aa9c7d301d7ceb95aa37fad
64c92cc638e3be9377d03209eda8b785ceb5de4e
ff22a77a03c10e2ad244923f4e94d64e00551a94
b7f4442990811a1c456bce83f403febefdac6cc6
9b78982db7520f226169cd1bb6a704a7dfac951c
23e2b70c2070e15e993bd00f3be8afb89111b92b
117d558fca1c7dcfff59702cb9393486ec368e47
ae76db7f24a111ca022b00d29fb08cc76cbab41b