Fireball

O Fireball é uma infecção por adware que conseguiu infectar mais de 250 milhões de computadores em todo o mundo. Esse é um número enorme; um quarto de bilhão de computadores! O Fireball foi projetado para exibir pop-ups nos computadores das vítimas. Hoje, os pesquisadores de segurança do PC estimam que uma em cada cinco redes ao redor do mundo foi infectada pelo Fireball. Isso é especialmente doloroso quando se considera que o Fireball tem potencial para causar graves infecções por ameaças. Os analistas de malware alertam sobre a possibilidade de uma grave epidemia de ameaças como resultado da grande quantidade de computadores já enfraquecidos pelo Fireball.

Por Que os Fraudadores Criaram o Fireball?

Como a maioria dos adwares, o Fireball foi projetado para seqüestrar o navegador de Internet da vítima, alterando seu o mecanismo de pesquisa padrão e rastreando as atividades on-line da vítima. O Fireball está vinculado a uma empresa digital de marketing com sede em Pequim, que atende pelo nome de Rafotech. Um aspecto preocupante do Fireball é que ele tem a possibilidade de executar um código corrompido no computador da vítima ou permitir o download de outras ameaças no computador da vítima. Isso significa que o Fireball tem potencial para ser uma infecção bastante grave, apesar de estar sendo distribuído como algo muito menor. O Fireball tem a capacidade de instalar um backdoor, que pode ser explorado para realizar ataques devastadores de ameaças.

O Perigo em Potential do Fireball

Algumas das centenas de milhões de computadores afetados pelo Fireball foram infectados por uma técnica conhecida como agrupamento. Isso envolve incluir a instalação do Fireball junto com outros softwares, especialmente um software grátis baixado da Web. Alguns programas gratuitos que foram vinculados à distribuição do Fireball incluem o Soso Desktop e o FV Image Viewer. Esses dois programas, no entanto, não são populares nos Estados Unidos ou na Europa em particular. Por isso, é provável que o Fireball também seja entregue usando outras técnicas, que podem incluir kits de exploração ou ataques de e-mail. O número de infecções pelo Fireball em todo o mundo foi estimado através da análise dos domínios que foram associados aos redirecionamentos e conexões do Fireball, que podem ser mecanismos de busca de baixa qualidade que carregam resultados do Google e Yahoo enquanto monetizam o tráfego da vítima na Web e exibem anúncios. Devido ao uso dos resultados de pesquisa do Google e do Yahoo que estão sendo incluídos nos ataques do Fireball, é possível que essas empresas estejam lucrando indiretamente com Fireball, mas ainda é incerto se exixte alguma conexão com este esquema de adware.

Pode Haver Muito Mais Vítimas do Fireball do que Nós Sabemos

Ao analisar as estatísticas de tráfego dos mecanismos de busca associados ao Fireball, os pesquisadores de segurança do PC estimaram que um quarto de bilhão de computadores em todo o mundo foram comprometidos pelo Fireball. No entanto, como nem todos os domínios associados ao Fireball foram identificados, é possível que esse número seja ainda maior do que a figura real. A Rafotech, desenvolvedora do Fireball, afirma em seu site que atingiu mais de 300 milhões de usuários de computadores. Os países mais afetados pelo Fireball são o Brasil e a Índia, com cerca de 25 milhões de computadores infectados em cada um deles. As infecções nos Estados Unidos representam apenas uma pequena fração dos ataques atuais do Fireball; cerca de 5,5 milhões de computadores afetados.

Prevenindo Infecções pelo Fireball e Lidando com o Fireball

Não se sabe o grau de perigo apresentado pelo Fireball atualmente. Enquanto ele executa uma tática típica de um adware, exibindo anúncios nos computadores afetados e interferindo no computador da vítima ao navegar na Web, isso ainda é uma infecção de baixo nível. No entanto, a extensão do alcance do Fireball e o fato de que existe um componente de backdoor no Fireball torna o perigo e o potencial epidêmico do Fireball bastante assustador. Por isso, esses ataques devem ser respondidos imediatamente. Use um programa de segurança confiável que esteja totalmente atualizado e digitalize o seu computador regularmente.

Relatório de análise

Informação geral

Family Name:	Adware.Multiplug.A
Signature status:	No Signature

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: 405d3a9ad89a0504cbf9f359b57db976 SHA1: c7914663ae3cfaaf48901778f935740d7b581f85 SHA256: BFB0181B191C5ED528740899F4D7DF466D2A2AB73BF7E5EAF48E0170A2042B17 Tamanho do Arquivo: 299.52 KB, 299520 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have debug information
• File doesn't have exports table
• File doesn't have security information
• File is 32-bit executable
• File is either console or GUI application
• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
• File is Native application (NOT .NET application)
• File is not packed
• IMAGE_FILE_DLL is not set inside PE header (Executable)

Show More

• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

File Traits

• HighEntropy
• No Version Info
• x86

Block Information

i

Block Information

During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.

Total Blocks:	308
Potentially Malicious Blocks:	67
Whitelisted Blocks:	213
Unknown Blocks:	28

Visual Map

x ? ? x x x x 0 x x x x x 0 0 0 0 x x x ? 0 x 0 x x ? x 0 0 0 x ? ? ? x x 0 ? ? x 0 0 0 0 x ? x x x x x x x ? x ? x x ? 0 x 0 x ? ? ? x x x x ? ? x x x x 0 0 x 0 0 x x x x x ? x x x x x 0 x 0 0 0 0 0 x 0 0 0 0 0 0 0 x 0 x x ? ? ? x ? ? x x x x ? 0 x x x x 0 0 0 ? ? ? 0 2 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 2 3 0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 2 1 0 0 1 0 1 1 0 0 0 0 0 1 0 0 0 0 0 2 1 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block

Similar Families

i

Similar Families

This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.

• Multiplug.A

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
c:\programdata\{726cb2ac-2e2f-1810-726c-cb2ac2e2cab0}\c7914663ae3cfaaf48901778f935740d7b581f85_0000299520	Generic Write,Read Attributes
c:\programdata\{726cb2ac-2e2f-1810-726c-cb2ac2e2cab0}\c7914663ae3cfaaf48901778f935740d7b581f85_0000299520.dat	Generic Write,Read Attributes

Registry Modifications

i

Registry Modifications

This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.

Key::Value	Dados	API Name
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\content::cacheprefix		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\cookies::cacheprefix	Cookie:	RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\5.0\cache\history::cacheprefix	Visited:	RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname		RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet		RegNtPreCreateKey

Show More

HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect

RegNtPreCreateKey

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Network Info Queried	GetAdaptersInfo