전 세계적으로 2억 5천만 개 이상의 컴퓨터에 파이어볼에 감염됐으며, 특히 인도가 최악의 피해를 겪고 있다.
브라우저 하이재킹 유형의 악성 코드인 파이어볼(Fireball)은 역사상 가장 광범위한 감염으로 간주되며 희생자의 브라우저를 대신 사용하여 제작자를 위해 위조된 클릭 및 트래픽을 생성한다.
보안 회사인 체크포인트(Check Point)는 파이어볼이 "희생자를 감시하고 효율적으로 멀웨어를 퍼뜨려 감염된 시스템에서 악의적인 코드를 실행할 수있는 기능을 갖추고 있어 대상 시스템과 네트워크에 막대한 보안 결함을 발생시킨다."라고 밝혔다.
이번 감염은 베이징에 본사를 둔 디지털 마케팅 대행사인 라포텍(Rafotech)에서 시작됐으며 이들은 가짜 이름으로 확산되는 프리웨어, 스팸, 심지어는 위협 행위자로부터의 인스톨 구매 등 추가 배포 방법을 사용하고 있는 것으로 추정된다.
악성 코드는 두 가지 방법으로 확산된다. 첫째, Deal Wifi, Mustang Browser 등과 같은 다른 라포텍 프로그램에 악성 코드가 한 묶음이 되어 퍼진다. 둘째, SoSo Desktop, FVP Imageviewer 등과 같은 프리웨어 배포 프로그램에서 자동 다운로드 되어 퍼진다.
멀웨어가 확산되면 감염된 사용자의 브라우저를 조작할 수 있다. 검색 엔진과 홈페이지가 모든 검색 결과를 Google.com, Yahoo.com 등에서 라포텍 검색 엔진으로 자동으로 리디렉션한다.
그들의 가짜 검색 엔진은 픽셀을 추적하여 사용자의 개인 정보를 수집한다. 피해자의 컴퓨터는 타겟 광고나 검색 엔진에 대한 트래픽으로 사용될 수 있다.
하지만 PC사용자가 보안 배치를 설치하는 등 기본적인 수칙을 지키면 멀웨어 감염을 막을 수 있다. 또한 멀웨어를 방지하거나 삭제하는 방법도 있다.
먼저 홈페이지 또는 검색 엔진이 자동으로 변경된 경우 악성 코드 감염을 의심해야 한다. 윈도우 제어판으로 이동하여 프로그램 및 기능 목록을 선택한다. 의심되는 애드웨어를 검색하여 삭제한다.
다음으로 멀웨어 방지 소프트웨어 및 애드웨어 클리너 소프트웨어를 설치한다.
구글 크롬 사용자의 경우 도구> 확장 프로그램으로 이동하여 의심스러운 부분을 찾은 뒤 휴지통 아이콘을 클릭하여 삭제해야 한다.
모질라 파이어폭스 사용자의 경우 메뉴 아이콘을 클릭하고 도구 탭으로 이동한다. 부가 기능> 확장 프로그램을 선택하고 의심되는 부가 기능을 제거한 다음 애드온 관리자> 플러그인으로 이동하여 악의적인 플러그인을 찾아서 비활성화해야 한다.
또한 가능하면 인터넷 브라우저를 기본 설정으로 복원하는 것이 좋다.
