了解网络安全威胁的变化，了解攻击的规模和范围，以及通过下一代技术破坏网络犯罪活动一直以来都是Microsoft Windows Defender Research日常工作的基础部分。

因此，当最近有关“Fireball”网络安全威胁操作的报道被提出作为一个新的发现时，我们团队认为需要对此情况作出一些分析说明，因为我们知道的与所报道的可能有所不同。事实上，我们自2015年以来一直在追踪这一威胁。虽然这一威胁是真实的，但我们认为报道可能将这一威胁有所夸大。

随着Fireball套件中的恶意软件和恶意软件家族群体的不断发展，我们的防护和防御也随之而来。通过Windows Defender Antivirus和Microsoft 恶意软件删除工具（MSRT）， Windows用户将会获得保护。作为另一个保护层，Windows 10只允许来自Windows Store的应用程序运行。商店中不存在这些恶意软件和不需要的软件，因此Windows 10 S用户可以进一步受到我们的保护。 

Fireball套件

一开始Fireball感染用户完全通过软件捆绑。他们都是通过浏览器下载的程序，并且通常是在寻找可疑的应用程序或媒体（盗版应用程序，游戏，音乐或视频，密钥或者破解等）时被感染。

Fireball套件一般带有干净的程序。该套件使用这些干净的程序作为主机进程来加载其恶意代码以试图逃避基于行为的检测。

在近三年的时间里，我们跟踪了这组威胁和他们安装的其他恶意软件，观察到该恶意软件的组件被设计为在受感染的机器上持续存在，然后通过广告获利，或者劫持浏览器搜索和主页设置。

Fireball套件中最流行的系列是BrowserModifier：Win32 / SupTab和BrowserModifier：Win32 / Sasquor。

以上关系图显示，软件捆绑器（如ICLoader）可以安装Sasquor，Sasquor安装了Xadupi，后者又安装了SupTab。Xadupi也可以由软件捆绑软件直接安装，如ICLoader。 

Fireball的主要payload是劫持浏览器的主页和默认的搜索设置。它可以通过直接修改浏览器的设置或绕过设置（例如，更改用于启动浏览器的快捷方式）来实现。

因此，即使未经您的同意，恶意软件的搜索页面仍会进行加载，而该恶意软件的创建者则会通过页面进行的搜索获得收入。

估计访问和实际感染之间的差异

在报道中所提的报告中，Check Point根据对搜索页面的访问次数估算出Fireball恶意软件的大小，而不是通过收集端点设备数据。但事实上，使用这种现场访问技术来估计受感染机器的数量可能存在一些棘手的问题： 

1、不是每个访问这些网站的机器都感染了恶意软件。无论用户到达该页面如何，搜索页都会获得收入。有些可能是由普通网页浏览中没有感染的用户加载。

2、这一估算是从分析Alexa排名数据而得出的，而这事实上是根据互联网用户的一小部分访问者人数来进行估计的。Alexa的数据计算是基于正常的网页浏览。它们不是由恶意软件感染产生的流量，比如Fireball威胁，仅针对Google Chrome和Mozilla Firefox。Alexa对Fireball域名的流量估计与Alexa的竞争对手SimilarWeb就完全不同。

目前，我们已经致信Check Point，并要求仔细观察他们的数据。

而在另一方面，自2015年以来，通过从3亿台Windows Defender AV客户端收集到的情报，再加上从2016年10月以来MSRT对5亿多台机器的月度扫描，我们现在已经完全可以看到Fireball威胁的实际规模。

2016年10月的高峰反映了当我们将SupTab家族添加到MSRT时的情况。

 

当Sasquor家庭被添加到MSRT时，2016年10月的飙升发生了。对于Sasquor，我们看到的并不像SupTab那样突出。在我们在MSRT中添加Sasquor检测之前，Sasquor不会被SupPab分发。

Fireball操作背后的一整套恶意软件家庭在三个版本的过程中被添加到MSRT：2016年9月，2016 年10月和2017年2月。

我们在2016年10月和2017年2月发布的MSRT博客文章介绍了恶意软件和不需要的软件系列及其关系的详细信息：

MSRT 2016年10月：添加更多不需要的软件检测

MSRT 2017年2月：Chuckenit检测完成了一个恶意软件套件的MSRT解决方案

下图表显示了MSRT在添加了四个最流行的Fireball家庭干净的机器数量以及Fireball套件的全球流行率：

关于Fireball感染的注意事项

了解感染链并了解Fireball套件的行为有助于我们解决问题并保证您的使用体验。目前我们还没有看到Fireball的策略有任何变化。以下Windows 10保护组件有助于解决这一威胁：

1、Microsoft Edge不受Fireball使用的浏览器劫持技术的影响。

2、通过Windows Defender AV和Microsoft 恶意软件删除工具（MSRT），我们通过以下方式清除了现有的感染并减少了威胁分布：

识别正在安装恶意软件的捆绑包
确保捆绑包停止包含捆绑中的威胁
封锁捆绑商自己

3、Windows 10 S专门针对来自Windows Store的应用程序。因此，本文中描述的特定威胁在Windows 10 S上不起作用，也不会依赖较不可信赖的软件分发机制提供不必要或意外功能的其他类似威胁。

然而，这些威胁今天仍然在积极发展和分配，我们将继续监测和提供保护。

预防、检测和恢复

1、Fireball的感染链包括恶意软件和软件捆绑软件，默默安装其他应用程序。您需要安全的解决方案来检测和删除此类感染的所有组件。

2、确保您获得最新的Microsoft保护。保持Windows操作系统和防病毒软件，如Windows Defender AV和Microsoft 恶意软件删除工具（MSRT），是最新的。如果还没有，请升级到Windows 10。

3、在Windows Defender Antivirus中，您可以检查您的排除设置，以查看恶意软件是否添加了一些条目以尝试排除文件夹被扫描。检查和删除排除的项目：导航到设置 > 更新和安全 > Windows Defender > Windows Defender安全中心 > 病毒和威胁防护 > 病毒和威胁防护设置。在排除项下，点击添加或删除排除。点击+查看选项列表，您可以在其中选择要删除的排除项目。

4、通过利用云的强大功能，实时获得最新的恶意软件威胁。Microsoft Security Essentials和Windows Defender for Windows 10默认情况下已启用。转到设置 > 更新和安全性 > Windows Defender > Windows Defender安全中心 > 病毒和威胁防护 > 病毒和威胁防护设置，并确保实时保护，基于云的保护并设置自动提交样本。

5、使用“设置”应用程序重置为Microsoft推荐的默认值，可能已被Fireball套件中的恶意软件更改。要配置，请转到设置 > 应用程序 > 默认应用程序，然后单击重置。

6、对于企业而言，使用Device Guard，可以锁定设备并提供基于内核级别的基于虚拟化的安全性，并且只允许可信应用程序运行。

7、使用Windows Defender高级威胁防护来获取有关可疑活动的警报，包括下载恶意软件，以便您可以检测，调查和响应企业网络中的攻击。同时免费评估 Windows Defender高级威胁防护。