Checkpoint skriver i ett pressmeddelande att över 250 miljoner datorer totalt beräknas ha drabbats.

Den skadliga koden, som kallas Fireball, kapar webbläsare för att stjäla data och ladda ned ytterligare skadlig kod. Dessutom kan koden manipulera användarens webbtrafik för att generera annonsintäkter.

Fireball sprids främst via ”bundling”, vilket innebär att koden laddas ned samtidigt som användaren laddar ned ett annat program.

Koden är alltså en hybrid där ena delen är en till synes legitim mjukvara, och den andra utgörs av en skadlig kod. Om man som användare inte betalar för en mjukvara, eller om betalningen inte sker med annonsintäkter, tjänar leverantören av mjukvaran förmodligen pengar på andra sätt. Tveksamma metoder som bundling har blivit en allt vanligare inkomstkälla för dessa företag.

Fireball drivs av en digital marknadsföringsbyrå i Kina som heter Rafotech.