Sei sulla pagina 1di 18

MSRT

Matthew Braverman Gerente de programa Equipe Antimalware da Microsoft

Progresso alcanado, tendncias observadas


Informe oficial da equipe Antimalware da Microsoft

Ferramenta de Remoo de Software Mal-Intencionado do Windows

Agradecimentos Gostaramos de agradecer s seguintes pessoas por sua contribuio para este informe: Mike Chan, Brendan Foley, Jason Garms, Robert Hensing, Ziv Mador, Mady Marinescu, Michael Mitchell, Adam Overton, Matt Thomlinson e Jeff Williams

As informaes contidas neste documento representam a viso atual da Microsoft Corporation em relao s questes discutidas na data de publicao. Como a Microsoft deve refletir as condies instveis do mercado, ele no deve ser interpretado como um compromisso por parte da Microsoft, e a Microsoft no pode garantir a veracidade de quaisquer informaes apresentadas aps a data da publicao. Este informe oficial serve apenas para fins informativos. A MICROSOFT NO CONCEDE GARANTIAS EXPRESSAS, IMPLCITAS OU LEGAIS NO QUE DIZ RESPEITO S INFORMAES NESTE DOCUMENTO. Obedecer s leis de copyright aplicveis responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico, de fotocpia, de gravao ou qualquer outro), ou para qualquer fim, sem a permisso expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. A posse deste documento no lhe confere nenhum direito sobre essas patentes, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licena, por escrito, da Microsoft. Copyright 2006 Microsoft Corporation. Todos os direitos reservados. Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live e Windows Vista so marcas registradas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases.

MSRT

Ferramenta de Remoo de Software Mal-Intencionado do Windows

Ferramenta de Remoo de Software Mal-Intencionado do Windows: Progresso alcanado, tendncias observadas Sinopse
A Microsoft fez investimentos significativos nos ltimos anos na pesquisa de software mal-intencionado (ou malware) e no desenvolvimento de tecnologia para ajudar os clientes a atenuar os riscos segurana que ele cria. Como parte desse investimento, a Microsoft montou uma equipe dedicada Antimalware, responsvel pela pesquisa de software malintencionado, spyware e outros programas potencialmente indesejados, assim como pelo lanamento e manuteno da Ferramenta de Remoo de Software Mal-Intencionado do Windows (MSRT) e do Windows Defender. A equipe tambm fornece a tecnologia central antimalware (inclusive o mecanismo de verificao e as atualizaes da definio de malware) para produtos como Microsoft Windows Live OneCare, Windows Live Safety Center Beta, Microsoft Antigen e o lanamento em breve do Microsoft Forefront Client Security.

A Microsoft lanou a primeira verso da MSRT em 13 de janeiro de 2005 em 24 idiomas para usurios de computadores com Microsoft Windows 2000, Windows XP e Windows Server 2003. A ferramenta foi projetada para ajudar a identificar e remover malware predominante de computadores de clientes e est disponvel gratuitamente para usurios licenciados do Windows. At a redao deste relatrio, a Microsoft forneceu 15 verses aprimoradas adicionais da ferramenta e continua a fornecer uma nova verso na segunda tera-feira de cada ms, cada uma delas acrescentando novos malwares predominantes para deteco e remoo. Desde o primeiro lanamento da MSRT, a ferramenta foi executada aproximadamente 2,7 bilhes de vezes por pelo menos 270 milhes de computadores diferentes. Este relatrio oferece uma perspectiva mais aprofundada do cenrio do malware, baseada nos dados coletados pela MSRT1 e destaca o valor da MSRT na reduo do impacto do malware para usurios do Windows. As principais concluses derivadas dos dados esto resumidas a seguir e so abordadas em maior detalhe no corpo do informe. A MSRT removeu 16 milhes de instncias de software mal-intencionado de 5,7 milhes de computadores diferentes com o Windows nos ltimos 15 meses. Em mdia, a ferramenta remove pelo menos uma ocorrncia de malware a cada 311 computadores em que executada. 41 das 61 famlias de malware objeto da MSRT entre janeiro de 2005 e fevereiro de 2006 foram detectadas com menor freqncia desde que foram adicionadas ferramenta, sendo que 21 das famlias apresentaram reduo superior a 75%. Os cavalos de Tria backdoor, que podem permitir a um invasor controlar um computador infectado e acessar informaes confidenciais, representam uma ameaa significativa e tangvel aos usurios do Windows. A MSRT removeu pelo menos um cavalo de Tria backdoor de aproximadamente 3,5 milhes de computadores diferentes. Assim, um cavalo de Tria backdoor estava presente em 62% dos 5,7 milhes de computadores diferentes dos quais a ferramenta removeu malware. Bots, uma subcategoria de cavalos de Tria backdoor que se comunica por meio da rede IRC (Internet Relay Chat), representam a maioria das remoes. Rootkits, que fazem alteraes ao sistema com a finalidade de ocultar ou proteger algum outro componente possivelmente mal-intencionado, representam uma ameaa potencial emergente, mas ainda no atingiram predominncia generalizada. Dos 5,7 milhes de computadores diferentes de que a ferramenta removeu malware, um rootkit estava presente em 14% dos casos. Esse valor cai para 9% se o WinNT/F4IRootkit, o rootkit distribudo em determinados CDs de msica da Sony, for excludo. Em 20% dos casos em que um rootkit foi encontrado em um computador, pelo menos um cavalo de Tria backdoor tambm foi encontrado. Ataques de engenharia social representam uma fonte significativa de infeces por malware. Worms que se espalham por email, redes ponto-a-ponto e clientes de mensagens instantneas representam 35% dos computadores limpos pela ferramenta. O problema de malware parece ter natureza migratria. A maioria dos computadores limpos com cada verso da MSRT so computadores dos quais a ferramenta nunca removeu malware. Na verso de maro de 2006 da MSRT, a ferramenta removeu malware de aproximadamente 150.000 computadores (20% de todos os computadores limpos) dos quais algum malware havia sido removido previamente por uma verso anterior da ferramenta. 

Viso geral da MSRT

A Ferramenta de Remoo de Software Mal-Intencionado do Windows (MSRT) foi projetada para ajudar a identificar e remover malware predominante de computadores de clientes e est disponvel gratuitamente para usurios licenciados do Windows. O principal mecanismo de lanamento da MSRT atravs do Windows Update (WU) / Microsoft Update (MU) / Atualizaes Automticas (AU). As verses da ferramenta tambm so disponibilizadas para download no Centro de Download da Microsoft e como um controle Microsoft ActiveX no site http://www.microsoft.com/malwareremove. A verso atual da ferramenta capaz de detectar e remover 61 famlias distintas de malware. So dois os objetivos da Microsoft ao lanar e manter a MSRT: 1. Reduzir o impacto de softwares mal-intencionados predominantes nos usurios do Windows. 2. Usar os dados coletados pela MSRT para reunir um conjunto confivel de tendncias dos softwares mal-intencionados que de fato afetam os clientes do Windows hoje. Esses dados foram usados pela equipe Antimalware da Microsoft para concentrar os esforos de desenvolvimento e para minimizar o tempo de resposta aos envios de malware. Alm disso, valendo-se de relatrios como este, outros pesquisadores de segurana podem usar esses dados para aumentar a compreenso sobre o cenrio de malware e concentrar seu foco na meta comum de reduzir o impacto do malware na base de usurios do Windows. A ferramenta no visa spyware e programas potencialmente indesejados. Os usurios do Windows devem baixar e instalar um aplicativo anti-spyware atualizado para detectar e remover spyware e programa potencialmente indesejado do computador. O Windows Defender, a soluo anti-spyware da Microsoft, na verso beta por ocasio deste relatrio, oferecido gratuitamente a usurios licenciados do Windows original no site http://www.microsoft.com/windowsdefender. A MSRT no substitui uma soluo antivrus atualizada, devido sua falta de proteo em tempo real e a seu uso somente da parte do banco de dados de assinaturas antivrus da Microsoft que permite a ela visar softwares mal-intencionados predominantes. Entretanto, recomendamos aos usurios com software antivrus atualizado instalado executar tambm a ferramenta como uma medida de defesa mais aprofundada. Tais usurios tambm se beneficiam indiretamente da MSRT, visto que usurios infectados podem causar um impacto negativo em recursos compartilhados, como a Internet ou uma rede local. altamente recomendvel que os usurios do Windows instalem e mantenham uma soluo antivrus atualizada que oferea proteo em tempo real e um banco de dados completo de assinaturas antivrus. O Windows Live OneCare da Microsoft atende a esses requisitos, assim como outros produtos oferecidos pelos parceiros de software antivrus da Microsoft, listados no site http://www.microsoft.com/security/partners/antivirus.asp.

Histrico do relatrio

Este relatrio fornece dados e discernimento ao descrever como a Microsoft, por meio do lanamento da MSRT, pde progredir com relao aos seus objetivos de lanamento nos ltimos 15 meses: reduzir a quantidade de softwares malintencionados predominantes que afetam os usurios e obter uma valiosa telemetria que funciona como um roteiro essencial do estado atual do malware do Windows. Relatrios adicionais que detalham a compreenso da Microsoft do cenrio de malware sero publicados no futuro, com maior freqncia, e com dados de outras fontes, alm da MSRT. Este relatrio inclui dados at a verso de maro de 2006 da MSRT, inclusive. Embora novas verses da MSRT tenham sido disponibilizadas desde a publicao deste relatrio, foi necessrio congelar os dados em um ponto anterior, o que possibilitou o processamento, a verificao e a anlise. Para obter uma descrio dos dados coletados pela MSRT, consulte o Apndice deste documento. Os dados usados neste relatrio foram derivados da medio de infeces em computadores de clientes, conforme relatada pela MSRT. H muitas outras tcnicas em uso hoje em dia para medir a predominncia de malwares. Algumas medem as solicitaes a uma rede, outras controlam o nmero de emails enviados por ameaas. Entretanto, esses tipos de tcnicas somente monitoram o nmero de cpias de ameaas que esto sendo distribudas por computadores infectados, e no o nmero de computadores infectados, j que uma infeco pode gerar muitas cpias de si mesma. Portanto, o controle de infeces especficas o mtodo mais preciso para se determinar a predominncia da infeco pelo malware. No caso da MSRT, a relevncia dos dados se torna especialmente significativa quando se considera a escala do nmero de execues. 5

Os perfis dos usurios da MSRT variam, mas provavelmente a maioria dos usurios, devido aos mecanismos de lanamento, composta de usurios residenciais e pequenas empresas. Portanto, a maior parte dos dados neste relatrio reflete esse pblico. Entretanto, as tendncias e orientaes fornecidas aplicam-se a todos os usurios do Windows. Este informe far referncia aos seguintes termos relacionados a malware: Famlia Um agrupamento de variantes semelhantes de softwares mal-intencionados. Por exemplo, Win32/Rbot uma famlia de malware que contm milhares de variantes distintas, ainda que semelhantes. Variante Um software mal-intencionado especfico. Por exemplo, Win32/Rbot.A uma variante que pertence famlia Win32/Rbot. Instncia ou infeco A identificao de uma variante de malware especfica em um computador. Observe que uma instncia inclui todos os componentes (arquivos, chaves de Registro, etc.) de uma nica variante e que cada vez que uma variante de malware removida de um computador, contada como uma instncia separada. Por exemplo, se a ferramenta remover o Win32/Rbot.A e o Win32/Rbot.B de um computador ao mesmo tempo, isso contado como duas infeces ou instncias. Se, trs meses depois, a ferramenta remover o Win32/Rbot.A novamente do mesmo computador, isso ser contado como uma infeco adicional.

Estatstica de verso

O principal veculo de fornecimento da Windows MSRT por meio do WU/MU/AU. Atravs desse mecanismo, a MSRT executada em centenas de milhes de computadores por ms em todo o mundo, fornecendo uma slida fonte de dados sobre ameaas para anlise. Figura 1. Execues da MSRT pelo WU/AU/MU A Figura 1 ilustra o nmero de execues da MSRT por diferentes computadores para cada uma das 15 verses mensais entre janeiro de 2005 e maro de 2006. Observe que, neste grfico, os valores listados como categorias para o eixo X refere-se a verses da MSRT, e no a meses do calendrio. Por exemplo, a verso de fevereiro de 2006 da MSRT foi lanada em 14 de fevereiro de 2006 e ento substituda pela verso de maro de 2006 em 14 de maro de 2006. Alm disso, observe que a verso extraordinria de agosto em resposta ao worm Zotob no est listada nesta figura, visto que foi lanada somente no Centro de Download da Microsoft e como um controle ActiveX no site http://www.microsoft.com/malwareremove, mas no foi lanada atravs do WU/MU/AU. Como ilustrado na Figura 1, com raras excees, as execues da MSRT aumentaram com cada verso. Especialmente notvel o nmero de execues entre a primeira verso da ferramenta e a verso mais recente. Entre essas verses, as execues por verso mais que dobraram de aproximadamente 125 milhes para 270 milhes de execues por computadores diferentes. A diferena se deve ao aumento da utilizao do WU e das AU pelos usurios do Windows, o que, por sua vez, provavelmente devido a iniciativas da Microsoft como o Windows XP Service Pack 2, que recomendou ativar as AU, e a iniciativa Proteja seu PC, assim como a parcerias com fornecedores de OEM para o fornecimento de novos computadores com o Windows XP SP2 pr-instalado. A soma das execues de cada verso produz um total de execues da MSRT pelo WU/AU/MU de aproximadamente 2,7 bilhes desde o seu lanamento. O nmero de execues tambm promissor com respeito tendncia de aumento e ao alto nmero de computadores que atualmente esto acessando o WU/AU regularmente. O uso aumentado e oportuno desses mecanismos de atualizao da Microsoft pode ajudar a reduzir o impacto das ameaas nos clientes. 6

Detalhes sobre o malware visado

A cada ms, os membros da equipe Antimalware da Microsoft pesquisa novas ameaas predominantes de malware para adicion-las nova verso da MSRT. O critrio de como nossa equipe escolhe as novas ameaas a serem adicionadas MSRT baseia-se em trs fatores: A ameaa precisa parecer ser predominante. A ameaa precisa ser mal-intencionada ou capaz de incitar um cenrio mal-intencionado. Deve ser provvel que a ameaa esteja sendo executada ativamente quando a MSRT for executada.

O primeiro dos requisitos principais para a adio de novos softwares mal-intencionados MSRT que a ameaa parea ser predominante. Para encontrar novas ameaas candidatas e determinar sua predominncia, a equipe usa um conjunto de mtricas internas e externas. As principais mtricas internas incluem dados reunidos pelo Windows Live Safety Center Beta (http://safety.live.com) e pelo Windows Live OneCare, sendo que ambos verificam os computadores quanto presena ou no de todo o conjunto de ameaas por malware conhecidas da Microsoft. A principal mtrica externa usada a WildList (http://www.wildlist.org), a verdadeira listagem padro do setor de programas antivrus de softwares mal-intencionados predominantes e a base para a maioria das certificaes de produtos antivrus, como a Certificao Antivrus ICSA e a Check-Mark, da West Coast Labs, ambas recentemente concedidas ao Windows Live OneCare. O segundo requisito para itens adicionados ferramenta que eles sejam software mal-intencionado (ex.: vrus, worms, cavalos de Tria, bots or rootkits). Na maioria dos casos, isso se refere a replicao de cdigo, cdigo que cause danos explcitos ou cdigo que possa comprometer um sistema afetado, alm de outros riscos segurana. A ferramenta no visa spyware e programas potencialmente indesejados. O terceiro requisito que seja provvel que o malware esteja sendo executado ativamente em um computador. Este requisito um subproduto da maneira como a ferramenta executada por meio do WU/MU/AU. Como, na maioria dos casos, a ferramenta executada uma vez por ms, procura malware que esteja sendo executado ativamente, entra em locais de inicializao automtica e ento sai, sem componentes residentes, ela ser eficaz somente se o malware estiver sendo executado no momento ou estiver vinculado a um local de inicializao automtica. Assim, a ferramenta no visa, por exemplo, ameaas que infectem arquivos de dados, inclusive vrus de macro do Microsoft Word e Microsoft Excel. Quando uma nova famlia de software mal-intencionado escolhida para ser adicionada ferramenta, todas as variantes dessa famlia so includas na verso. Com cada verso futura, quaisquer novas variantes dessa famlia so adicionadas ferramenta. Figura 2. Famlias de malware detectadas e removidas pela MSRT A Figura 2 lista, em ordem alfabtica, as 61 famlias de malware que a MSRT capaz de detectar at a verso de maro de 2006, classificadas em sete categorias que no so mutuamente exclusivas. Ainda que existam muitas maneiras diferentes de se classificar malware, com base nos recursos, no vetor de replicao, etc., as sete categorias mostradas na figura worm de email, worm ponto-a-ponto (P2P), worm de mensagens instantneas (IM), worm de explorao, cavalo de Tria backdoor, Rootkit e Vrus fornecem um sistema de classificao de alto nvel til que ser usado no restante deste documento. J que novas variantes de malware em algumas das famlias acima esto aparecendo diariamente, essas classificaes podem ser alteradas aps a publicao deste informe. Observe que, nesta figura, um worm de explorao definido como uma ameaa que explora pelo menos uma vulnerabilidade de software que permite a execuo de cdigo sem nenhuma ao do usurio. Malwares que exploram uma vulnerabilidade que requeira alguma ao do 7

usurio (ex.: exibir um email ou navegar para um site) no so includos nesta categoria. Para que uma famlia de malware seja associada a uma categoria, todas as variantes conhecidas devem, por padro, exibir o comportamento associado a essa categoria. Por exemplo, somente uma variante da famlia Bagle (Bagle.O) pode ser categorizada como vrus, porque infecta arquivos executveis. Assim, a famlia Bagle no categorizada como um vrus. Como outro exemplo, muitas variantes da famlia Rbot podem explorar vulnerabilidades de softwares. Entretanto, como na maioria dos casos necessria a interveno manual do proprietrio do bot para iniciar este tipo de replicao, o Rbot no classificado como um worm de explorao. Como mostrado acima, um pequeno nmero de famlias na Figura 2 no se encaixa em nenhuma das sete categorias. Observe que a MSRT capaz de detectar um pequeno nmero de variantes de malware especficas alm das famlias listadas acima. Essas variantes so disseminadas pelas famlias listadas acima e so detectadas pela ferramenta, a fim de proporcionar uma experincia total de desinfeco

Malware removido pela MSRT


O restante deste documento apresentar detalhes sobre os softwares mal-intencionados removidos pela MSRT nos ltimos 15 meses, incluindo as caractersticas de alto nvel (ex.: verses de sistema operacional, locais) dos computadores dos quais o software mal-intencionado foi removido.

Viso geral

Para comear, o informe ilustrar a magnitude das remoes realizadas pela MSRT. Figura 3. Malware removido e computadores limpos por verso da MSRT A Figura  fornece as seguintes informaes por meio das trs sries de dados no grfico: Malware removido: o nmero de malwares removidos pela MSRT por verso, desde janeiro de 2005 at maro de 2006. Entre todas as verses, a ferramenta removeu 16 milhes de instncias de software malintencionado. Computadores limpos: o nmero de computadores diferentes limpos pela MSRT, por verso, desde junho de 2005 at maro de 2006. O nmero de computadores diferentes limpos por verso ser sempre inferior ao nmero de instncias de malware removidas da mesma verso (vrias infeces podem ser removidas de um nico computador). Alm disso, observe que esta srie de dados comea em junho de 2005, visto que essa foi a primeira verso em que a ferramenta comeou a medir essa mtrica. Entre junho de 2005 e maro de 2006, a ferramenta removeu pelo menos uma instncia de software mal-intencionado de 5,7 milhes de computadores diferentes. O nmero total desde o lanamento inicial da ferramenta superior a esse valor, mas desconhecido, visto que os dados sobre essa medio no estavam disponveis antes de junho de 2005. Novos computadores: do total de computadores limpos por verso, o nmero de novos computadores diferentes dos quais a ferramenta removeu malware com cada verso. Aqui, novo se refere a um computador do qual a ferramenta nunca tenha removido malware, incluindo todas as verses anteriores da MSRT. Para cada verso, esse valor nunca ser superior ao nmero total de computadores limpos. Visto que esse valor est associado ao nmero de computadores limpos, a primeira verso que pode ser medida a de julho de 2005. Observe que se um usurio reinstalar o sistema operacional no computador, o sistema ser considerado novo em nossa telemetria. Para este relatrio, o vis introduzido por tal cenrio considerado de pequenas propores e, portanto, no levado em considerao. 

Vrias observaes podem ser feitas a partir dos dados mostrados na Figura 3: O aumento do malware removido e de computadores limpos se devem tanto ao aumento de execues da MSRT (como mostrado na Figura 1), quanto a um aumento no nmero de famlias de softwares mal-intencionados predominantes e variantes includas na ferramenta. Em especial, verses recentes, a partir de novembro de 2005, apresentam um aumento significativo no nmero de desinfeces. Cada um desses aumentos pode ser atribudo incluso de uma ou de um conjunto de famlias especficas de softwares mal-intencionados predominantes na ferramenta. Como algumas dessas famlias foram descobertas no passado e impossvel determinar quando um usurio foi infectado, no seria exato interpretar esses dados como um aumento no nmero de softwares mal-intencionados. Novembro de 2005: uma combinao de Win32/Mabutu, Win32/Codbot e Win32/Bugbear Dezembro de 2005: WinNT/F4IRootkit Janeiro de 2006: Win32/Parite Fevereiro de 2006: Win32/Alcan A combinao dos dados mostrados na Figura 1 com aqueles mostrados na Figura 3 nos permite determinar que, na verso mais recente da MSRT, de maro de 2006, a taxa de computadores infectados por execuo da ferramenta foi de 0,28%. Em outras palavras, a ferramenta removeu malware de aproximadamente um a cada 355 computadores em que foi executada. A taxa mdia entre todas as verses de junho de 2005 at maro de 2006 semelhante, a 0,32%, ou aproximadamente um a cada 311 computadores. Essa taxa de infeco manteve-se relativamente constante entre as verses mensurveis, com um valor mximo de 0,4% em agosto de 2005 e mnimo de 0,24% em setembro de 2005. Para cada verso, a maioria dos computadores dos quais a ferramenta remove malware so computadores dos quais a ferramenta est removendo malware pela primeira vez. Por outro lado, a cada verso, a ferramenta remove malware de um nmero comparativamente pequeno de computadores dos quais j havia removido algum malware. Por exemplo, na verso de maro de 2006 da ferramenta, aproximadamente 600.000 entre 750 mil (80%) computadores limpos com a ferramenta eram sistemas novos. Em 20% dos casos, a ferramenta havia removido algum malware dos mesmos computadores em uma verso anterior. Essas remoes representam o mesmo computador sendo infectado por uma variante ou famlia diferente de malware, assim como reinfeces da mesma variante do malware (provavelmente devido a um computador sem patches ou engenharia social eficaz).

Malware removido por computador

Outra mtrica interessante a ser examinada o nmero de variantes diferentes de malware removidas de cada computador. Na maioria dos casos, a ferramenta removeu somente uma nica variante de malware do computador. Entretanto, em alguns casos, a ferramenta removeu dezenas e at mesmo centenas de malware dos computadores. Figura 4. Diferentes variantes de malware removidas por computador A Figura 4 mostra o nmero de computadores dos quais um determinado nmero de variantes diferentes individuais de malware foram removidas em todas as execues da ferramenta em um computador. Por exemplo, se a ferramenta removeu a mesma variante de malware duas vezes de um computador, ele contado apenas uma vez na Figura 4. Usando os dados na Figura 4, podemos determinar que o nmero mdio de variantes de malwares exclusivas removidas por computador foi 1,59. Em outras palavras, ligeiramente mais provvel que a ferramenta remova mais de uma variante de malware por computador do que somente uma variante. Nos casos com um nmero significativo de remoes, normalmente os computadores esto infectados por diversas variantes de bots, provavelmente porque um 9

usurio se torna infectado por um nico bot e ento o proprietrio do bot usa essa primeira backdoor para instalar outros bots no computador. O Win32/Antinny, um worm ponto-a-ponto que quase que exclusivamente afeta computadores japoneses, tambm uma ameaa conhecida por ter um alto nmero de infeces por computador. O motivo que o Antinny usa diversos truques de engenharia social para convencer o usurio a baixar e executar o worm. Assim, um usurio que provavelmente executaria o worm uma vez e infectaria seu computador provavelmente o faria vrias vezes.

Detalhes do malware removido

Esta seo fornece mais detalhes sobre como os dados fornecidos nas sees anteriores se relacionam com as 61 famlias de malware que podem ser detectadas e removidas pela MSRT. Figura 5. Malware/Computadores limpos por famlia de malware

A Figura 5 lista todas as 61 famlias de malware que a MSRT capaz de detectar at a verso de maro de 2006, junto com as seguintes informaes: O nmero de vezes que a famlia de malware foi removida de um computador de janeiro de 2005 a maro de 2006. A lista classificada em ordem decrescente por esse valor. O nmero de computadores diferentes dos quais a famlia de malware foi removida de um computador entre junho de 2005 e maro de 2006. A verso da MSRT em que a deteco da famlia de malware foi introduzida na ferramenta. O ms e ano em que a primeira variante da famlia foi descoberta. 10

Alguns pontos interessantes a se realar sobre os dados na Figura 5 incluem: Remoes de Win32/Parite, Win32/Alcan e WinNT/F4IRootkit so as mais altas, ainda que a deteco dessas famlias s tenha sido adicionada ferramenta nas ltimas cinco verses. Parite, um vrus que infecta arquivos, especialmente interessante porque apareceu pela primeira vez em 2001 e continua a ser predominante. Isso provavelmente se deve dificuldade associada limpeza completa do Parite de um computador e sua rotina agressiva de infeco de arquivos. Na verdade, no h correlaes significativas entre o nmero de remoes e quando a famlia foi descoberta ou quando a deteco foi adicionada ferramenta. Bots (Rbot, Sdbot e Gaobot) so trs dos cinco principais em termos de nmero total de remoes. A predominncia dessas trs famlias de malware refora a afirmao feita na sinopse sobre a capacidade de difuso dos cavalos de Tria backdoor. O Win32/Antinny, em 12 lugar, espalha-se por meio de uma rede japonesa de compartilhamento de arquivos. O fato de o worm ser encontrado quase que exclusivamente em sistemas com idioma japons mas ainda ter uma classificao to alta aps seis verses significa que ele era consideravelmente predominante no Japo e ilustra o segmento de ameaas especficas a determinadas regies/idiomas. Win32/Alcan, um worm pouco conhecido que se replica em redes ponto-a-ponto j conta com um dos valores mais altos de remoes aps ter sido adicionado ferramenta somente em fevereiro de 2006. A predominncia do worm se deve, provavelmente, ao nmero de tcnicas razoavelmente eficazes de engenharia social de que ele se aproveita, inclusive fazerse passar por um aplicativo que encontra um erro durante a instalao aps ter sido executado. O Win32/Zotob, que explora uma vulnerabilidade discutida pelo Boletim de Segurana da Microsoft MS05-039, foi removido de somente 6.132 computadores, o que o torna o menos predominante de todos os worms de explorao listados. Isso faz sentido, dado que a vulnerabilidade afetava somente computadores com o Windows 2000. Ironicamente, o Win32/Esbot, em 30 lugar, que explora a mesma vulnerabilidade, foi removido de 10 vezes mais computadores quando comparado com o Win32/Zotob, mas recebeu muito menos ateno. O Win32/Msblast, em 10 lugar, continua sendo o worm de explorao com o maior nmero de remoes. Da mesma forma, enquanto a famlia do rootkit Hacker Defender geralmente recebe grande ateno como uma das famlias notveis de rootkits, na verdade um dos rootkits menos predominantes entre os visados pela ferramenta. O WinNT/FURootkit o rootkit mais removido pela ferramenta e geralmente usado para ocultar a presena de um cavalo de Tria backdoor instalado em um computador. Figura 6. Computadores limpos por tipo de malware A Figura 6 combina os dados mostrados na Figura 5 com as classificaes de malware estabelecidas na Figura 2. A MSRT removeu um cavalo de Tria backdoor de mais de 3,5 milhes (62%) dos 5,7 milhes de computadores limpos. Conforme documentado por vrios casos de alta significncia recentemente, os invasores com freqncia usam esses cavalos de Tria backdoor para obter ganhos financeiros estabelecendo redes de computadores infectados e os vendendo como pontos de transmisso e distribuio de spam, spyware e ataques de negao de servio (DoS). Alm de usar uma soluo antivrus atualizada, os clientes devem valer-se de firewalls bidirecionais para ajudar a evitar a divulgao no autorizada de informao e dos aspectos de monitoramento/controle remoto dessas ameaas.

Em comparao com os cavalos de Tria backdoor, os rootkits foram encontrados em um nmero muito menor de computadores: aproximadamente 780.000. Esse valor cai para cerca de 530.000, contudo, se as deteces do WinNT/F4IRootkit forem ignoradas. Esse caso destacado especificamente porque, ainda que subseqentemente tenham surgido softwares mal-intencionados que se aproveitaram do rootkit para ocultar-se em um computador, a Sony no o lanou como um pacote de software mal-intencionado, seno como uma funcionalidade antipirataria e, conseqentemente, ele apresentou caractersticas de distribuio no varejo em vez de caractersticas de distribuio viral. Naturalmente, como 11

ocorre com as outras categorias de malware discutidas neste relatrio, os dados fornecidos aqui so relevantes somente s famlias de malware que a ferramenta capaz de detectar. Ainda que haja tanto rootkits conhecidos que no so detectados pela ferramenta devido sua baixa predominncia e, provavelmente, rootkits desconhecidos no detectados pela ferramenta, os comentrios dos clientes e a telemetria de outros servios da Microsoft, como o Windows Live OneCare e o Windows Live Safety Center Beta, indicam que as cinco famlias de rootkit j visadas pela MSRT representam uma parte significativa dos rootkits que esto afetando ativamente um grande grupo de usurios hoje em dia. A tcnica mais eficaz contra os rootkits a preveno. Os clientes so aconselhados a manter suas assinaturas antivrus atualizadas, de forma que o mecanismo de proteo em tempo real do software possa detectar e bloquear o rootkit antes que ele possa se instalar no computador e, quando possvel, execut-lo com um usurio que no seja administrador. Os usurios que o executam como usurios normais no tero a capacidade de instalar a maioria dos rootkits nos computadores. O sistema operacional de nova gerao da Microsoft, o Microsoft Windows Vista, tambm inclui vrios recursos para ajudar a impedir que rootkits falsifiquem as principais estruturas internas do sistema operacional. Nos casos em que a preveno no for possvel e um computador j estiver afetada por um rootkit, os clientes devem usar um produto antivrus ou uma ferramenta de remoo capaz de detectar e remover o rootkit. Nesse caso, os usurios, especialmente usurios corporativos, devem ponderar as vantagens e desvantagens de se tomar medidas adicionais para resolver a situao. Em termos de ameaas de engenharia social, email a forma mais comum entre as tcnicas mostradas acima com cerca de 20% dos computadores limpos tendo sido infectados por pelo menos uma ameaa capaz de se espalhar atravs de email. Embora a MSRT seja capaz de detectar e remover trs dos principais worms de mensagens instantneas (Win32/Bropia, Win32/Kelvir e Win32/Mytob), essas ameaas foram encontradas em um nmero comparativamente pequeno de computadores: um pouco menos de 250.000. Compare esse valor com os aproximadamente 450.000 computadores dos quais o Win32/Alcan e o Win32/Antinny, que se espalham atravs de redes P2P, foram removidos. O malware que se espalha atravs de uma rede P2P tem a capacidade de detectar se aplicativos P2P conhecidos esto instalados em um computador. Se estiverem, eles criam cpias de si mesmos, geralmente usando nomes tentadores, nos diretrios usados pelos aplicativos P2P para compartilhar arquivos na rede. Ao fazer isso, o worm ento compartilhado na rede P2P. Alm de um software antivrus atualizado, as melhores tcnicas contra essas ameaas de engenharia social so a educao do usurio e a limitao do impacto da execuo de uma ameaa por meio da execuo como usurio que no seja administrador. Um dos motivos pelos quais recentes ameaas em mensagens instantneas vm tendo menos sucesso ao espalhar-se para um pblico abrangente em comparao com as ameaas P2P que os programas de mensagens instantneas esto comeando a incorporar recursos que ajudam a impedir que os usurios infectem seus computadores com malware. Por exemplo, o MSN Messenger verso 7 impede que os usurios enviem arquivos com determinados tipos de arquivo executvel, e clicar em links contidos em mensagens instantneas requer um consentimento adicional do usurio. Essas protees ainda no foram integradas a programas de cliente P2P. O outro motivo significativo dessa diferena que os aplicativos P2P, atuando como mecanismos para a troca de arquivos, so muito mais adequados difuso de arquivos mal-intencionados quando comparados com programas de IM, que se concentram mais em mensagens. Figura 7. Correlao de infeces por malware por tipo

A Figura 7 mostra a sobreposio entre as deteces dos tipos de malware acima em um computador. Em todos os computadores em que a MSRT detectou um worm de email, detectou tambm um worm P2P em 1,0% desses casos. Por outro lado, em 1,9% dos casos onde a ferramenta detectou um worm P2P, um worm de email tambm foi detectado. A maior correlao mostrada acima entre rootkits e cavalos de Tria backdoor. Em aproximadamente 20% dos casos em que um 12

rootkit foi encontrado em um computador, pelo menos um cavalo de Tria backdoor tambm foi encontrado. Isso enfatiza a tendncia de um grande nmero de rootkits ser distribudo ou aproveitado por cavalos de Tria backdoor. As porcentagens tambm so altas entre worms P2P e cavalos de Tria backdoor e entre worms IM e cavalos de Tria backdoor. Estes altos valores tambm so esperados, visto que muitos worms P2P e worms IM com freqncia disseminam bots no computador quando executados.

Alteraes na remoo de malware

O controle das alteraes nas remoes de famlias de malware pela ferramenta til por dois motivos. Primeiro, permite Microsoft monitorar a atividade e a predominncia de famlias especficas de malware. As famlias cujas remoes aumentam desde a sua adio verso, geralmente indicam casos em que variantes esto sendo lanadas ativamente e se replicando. O controle das alteraes nas remoes tambm til porque permite Microsoft monitorar o sucesso da MSRT, por certificarse de que as variantes das famlias de malware detectadas pela ferramenta estejam apresentando menor predominncia. Embora outros fatores possam decorrer da reduo, o fato de que a MSRT removeu um nmero significativo de instncias dessas famlias de malware de computadores significa que a verso pelo menos parcialmente responsvel pela diminuio da predominncia. Figura 8. Alterao em remoes de Win32/Rbot A Microsoft controla a alterao na remoo de malware pela MSRT com duas mtricas que so mapeadas devido aos motivos descritos acima. A Figura 8 fornece uma ilustrao dessas mtricas usando a famlia Win32/Rbot. Observe que o eixo X corresponde aos meses e anos do calendrio. O uso da data neste modelo importante para mostrar a progresso no tempo. Visto que os usurios podem executar verses antigas da MSRT (apesar de que uma tela de aviso mostrada 60 dias aps o lanamento). O uso do ms da verso da MSRT distorceria esta medida. Alterao na famlia (linha preta pontilhada): a alterao em remoes de uma famlia desde o momento da adio de sua deteco ferramenta at a verso mais recente. Embora isso fornea uma excelente percepo de como as remoes de uma famlia mudaram com o tempo, apresenta um vis no caso de famlias que estejam ativas e que, quando adicionadas ferramenta, encontraram um pequeno nmero de remoes. O grfico mostra o nmero total de remoes da famlia Win32/Rbot de abril de 2005 at maro de 2006. Usando esses dados, podemos calcular que o nmero de remoes dessa famlia sofreu um aumento de aproximadamente 16% nos ltimos 11 meses. Dadas essas informaes e os dados da Figura 5, podemos concluir que a Rbot uma famlia muito ativa e predominante. Observe que, graficamente, esta srie de dados representa a soma das linhas slidas sob ela. Alterao mdia por verso (linhas slidas): a alterao mdia entre todas as verses do nmero de remoes para um conjunto especfico de variantes adicionadas a uma nica verso, desde o momento da adio do conjunto ferramenta at a verso mais recente da ferramenta. Esta mtrica imune ao grande nmero de remoes produzido por famlias ativas de malware e , portanto, uma melhor medida para a determinao da eficcia da ferramenta para reduzir as instncias de uma famlia. No grfico, as linhas slidas representam a variao no tempo do nmero de remoes de um conjunto de variantes do Win32/Rbot adicionadas a uma verso especfica. O comprimento da linha indica o tempo em que as deteces estiveram presentes na ferramenta. Por exemplo, a linha azul-escura mais longa representa o primeiro conjunto de variantes de Rbot adicionado ferramenta. A observao geral aqui que quando a deteco de um conjunto de variantes de Rbot adicionado ferramenta, o nmero de remoes dessas variantes termina por diminuir. Se calcularmos a alterao nas remoes para cada um desses conjuntos de variantes com o tempo e ento calcularmos a mdia dessas mudanas, perceberemos que as remoes de variantes de Rbot diminuram em aproximadamente 79% desde a sua adio MSRT.

13

Figura 9. Alteraes na remoo de malware

A Figura 9 mostra a maioria das famlias de malware detectadas pela ferramenta, assim como as duas medidas de alteraes de remoo discutidas acima, em ordem crescente de porcentagem de alterao da famlia. Observe que as trs famlias adicionadas na verso de maro de 2006 da ferramenta (Win32/Atak, Win32/Torvil e Win32/Zlob) no esto includas nesta listagem, visto que ainda no foi possvel determinar uma alterao no nmero de remoes. Alm disso, Win32/Bofra, Win32/Gibe, Win32/Opaserv, Win32/Badtrans e Win32/Zotob so executados, j que no h remoes suficientes (pelo menos 1.000) para se gerar uma mtrica confivel da alterao. Como indicado pela figura, incentivador perceber que a maioria das famlias (41 de 53) diminuram em predominncia desde a sua adio ferramenta, com 33 das 41 famlias exibindo uma reduo de mais de 50% e 21 das 41, uma reduo de mais de 75%. Das 12 famlias cuja predominncia aumentou em geral, somente trs (Win32/Gael, Win32/Lovgate e Win32/Wukill) apresentaram, em mdia, um aumento consistente em cada conjunto de variantes adicionado ferramenta. Todas as nove famlias restantes (inclusive, como mostrado na Figura 8, o Win32/Rbot) apresentaram uma reduo lquida no nmero de remoes por verso. Outros destaques desses dados incluem: As remoes do WinNT/F4IRootkit, o rootkit First4Internet distribudo com determinados CDs de msica da Sony, reduziram-se rapidamente desde que a deteco foi adicionada verso de dezembro de 2005. Isso provavelmente indica que poucos usurios instalaram/reinstalaram o software de CDs afetados aps esta questo ter chamado a ateno da mdia. O rpido crescimento em remoes de Mywife deve-se incluso do Win32/Mywife.E na ferramenta. O Mywife.E apareceu no final de janeiro de 2006 e tambm foi denominado CME-24 e worm Kama Sutra pela mdia. O worm se espalhou principalmente por email e era capaz de danificar os principais arquivos de dados no terceiro dia de cada ms. Neste caso, as remoes aumentaram drasticamente de cerca de 700 remoes em janeiro de 2006 para cerca de 92.000 em fevereiro de 2006. O aumento no nmero de remoes do Win32/Rbot deve-se ao fato de um grande nmero de variantes dessa famlia de malware ter sido adicionado MSRT a cada verso. Em mdia, aproximadamente 2.000 novas variantes do Win32/Rbot foram adicionadas ferramenta a cada ms. Os aumentos de remoes de famlias como a Win32/Hackdef e a Win32/Ryknos se devem ao nmero de remoes iniciais ser baixo, o que, por sua vez, se devem ao nmero de variantes inicialmente detectadas pela ferramenta tambm ser baixo. Por exemplo, a verso de abril de 2005 da MSRT podia detectar 78 variantes diferentes da famlia Win32/Hackdef. O nmero de variantes aumentou drasticamente para 439 em maro de 2006, representando um aumento de mais de 400%. Da mesma forma, o nmero de remoes aumentou de cerca de 3.000 para 30.000 nesse perodo. Assim, embora 14

o nmero de remoes de Hackdef ainda seja comparativamente baixo em relao a outras famlias de malware, ele aumentou significativamente desde que a deteco da famlia foi adicionada ferramenta. Essas tendncias so evidentes a partir da mtrica de mudana da famlia, mostrada na Figura 9. Embora tenha havido um grande aumento no nmero de remoes (842%), esse valor exacerbado pelo fato de que as remoes da famlia comearam com um valor bastante baixo. As remoes da famlia por verso sofreram uma reduo mdia de 31%.

Informaes sobre sistema operacional


Usando as informaes telemtricas coletadas pela MSRT, a Microsoft capaz de determinar a predominncia das ameaas detectadas nas verses do Windows s quais existe suporte. A Figura 10 mostra vrias exibies de predominncia de malware nesses sistemas operacionais para a verso de maro de 2006. Os dois primeiros grficos de pizza refletem todos os malwares detectados pela ferramenta durante a verso de maro de 2006. No grfico denominado Total, voc pode ver que a maioria das remoes do Windows XP SP2, sendo que o Windows XP compe 89% de todas as remoes pela ferramenta. Esse alto nmero de desinfeces de computadores com o Windows XP SP2 esperado, visto que a maior parte das execues da ferramenta ocorre em computadores com o Windows XP SP2. Portanto, para se obter uma viso mais realista de qual malware mais comum em determinados sistemas operacionais, os dados na primeira figura podem ser normalizados. Neste caso, a normalizao significa o ajuste da porcentagem de desinfeco em todos os sistemas operacionais a fim de se levar em considerao o nmero de execues da ferramenta em um sistema operacional especfico. Em outras palavras, a fim de se reduzir o vis na porcentagem de desinfeco introduzido por um alto nmero de execues de um sistema operacional, dividimos o nmero de desinfeces de um sistema operacional especfico pela porcentagem relativa de execues desse sistema operacional. Assim, os sistemas operacionais com uma grande porcentagem de execues tero seu nmero de desinfeces aumentado em um pequeno valor quando comparado com um sistema operacional com uma baixa porcentagem de execues. A frmula matemtica especfica usada nesse caso a seguinte: Desinfeces normalizadasSO = DesinfecesSO/Porcentagem de execuoSO Figura 10. Computadores limpos pela verso de maro de 2006 por sistema operacional

15

A aplicao dessa frmula s porcentagens de desinfeco e execuo da verso de maro de 2006 resulta no grfico no canto superior direito da Figura 10. O grfico mostra uma alterao drstica nas porcentagens, com uma reduo do Windows XP SP2 a somente 3% das desinfeces normalizadas, e os sistemas operacionais Windows XP Gold e SP1 respondendo por 63% das desinfeces. Essa acomodao faz sentido tanto por motivos tcnicos quanto sociais. Quanto aos motivos tcnicos, o Windows XP SP2 inclui um nmero de aprimoramentos segurana e patches para vulnerabilidades no encontradas em verses anteriores do Windows XP, o que dificulta a infeco por malware em alguns casos. Quanto aos sociais, provvel que um usurio que ainda no tenha atualizado para o service pack mais recente esteja mais suscetvel a ataques baseados em engenharia social. Isso tambm parece ser verdade para o Windows 2000 e o Windows Server 2003, j que as verses mais recentes dos service packs para esses sistemas operacionais tm o nmero mais baixo de desinfeces normalizadas em comparao com verses mais antigas dos sistemas operacionais. Os seis grficos que seguem os dois grficos principais mostram as desinfeces normalizadas decompostas nas mesmas categorias mostradas na Figura 2. Em geral, os resultados desses grficos so semelhantes aos resultados normalizados quando todas as desinfeces so levadas em considerao. Na verdade, a ordem dos sistemas operacionais idntica em todos os casos. Ao observarmos o Windows XP SP2 especificamente, interessante notar que as porcentagens mais altas de desinfeces desse sistema operacional so de ameaas que se espalham por email, mensagens instantneas e redes ponto-aponto. Esse resultado esperado, visto que tais ameaas, em oposio a worms de explorao, por exemplo, usam ataques de engenharia social para infectar uma mquina, um mtodo a que todos os sistemas operacionais so susceptveis.

Informaes sobre local

Figura 11. Computadores limpos pela verso de maro de 2006 por local

A Figura 11 mostra a decomposio dos computadores limpos por local de sistema operacional para a verso de maro de 2006 da MSRT. Observe que o local no necessariamente indicativo da localizao geogrfica. Por exemplo, Ingls (EUA) bastante popular em outros pases ao redor do mundo. O grfico esquerda da Figura 11 mostra que um grande nmero de computadores limpos tem um sistema operacional com idioma ingls. Entretanto, de modo semelhante ao caso do Windows XP SP2 acima, essa mtrica ligeiramente enganosa, j que um grande nmero de computadores em que a ferramenta executada tem um sistema operacional com idioma ingls instalado. Portanto, de maneira semelhante s verses de sistema operacional, os computadores limpos podem ser normalizados pela porcentagem de execues de um local. O clculo semelhante quele executado para a verso de sistema operacional, com Porcentagem de execuesLocal usada em vez de Porcentagem de execuesSO. O resultado deste clculo exibido do lado direito da Figura 11 e apresenta resultados interessantes. Aqui, o processo de normalizao dividiu as desinfeces de maneira bastante eqitativa entre a maioria dos locais. Em outras palavras, quando todo o malware removido pela ferramenta levado em considerao e os valores so normalizados, as remoes desse malware se espalham por todos os locais do Windows, inclusive Ingls. Como o grfico evidencia, a exceo a tal afirmao o local Turco, que responde por 20,2% dos computadores limpos aps a normalizao. Um maior aprofundamento nos dados mostra que esse padro semelhante para todas as famlias de malware. Embora a equipe Antimalware da Microsoft ainda esteja pesquisando esses dados, o motivo especfico pelo qual uma alta porcentagem de deteces normalizadas vem de computadores com idioma turco ainda desconhecido.

16

Concluses
Em retrospectiva, os ltimos 15 meses foram um perodo empolgante para a equipe Antimalware da Microsoft e para os nossos parceiros intra-empresa, com o lanamento da Ferramenta de Remoo de Software Mal-Intencionado do Windows, do Windows Defender Beta, do Windows Live OneCare Beta e do Windows Live Safety Center Beta. Os prximos 15 meses prometem ser igualmente empolgantes, com a previso de verses completas desses servios, alm do lanamento do Microsoft Forefront Client Security, uma soluo unificada fcil de gerenciar e controlar para proteo contra malware para sistemas operacionais de rea de trabalho, laptops e servidores, alm da continuao do fornecimento da MSRT. A introduo desses servios proporcionar Microsoft fontes adicionais de dados sobre a predominncia de softwares malintencionados, de maneira similar aos dados coletados pela MSRT. A coleta dessas informaes fundamental compreenso pela Microsoft do cenrio de ameaas e dos esforos necessrios ao combate de tais ameaas e ao aprimoramento da experincia geral de computao para os clientes da Microsoft. Por exemplo, a identificao de bots como uma maioria significativa das deteces pela MSRT resultou no desenvolvimento de vrias tcnicas de anlise automtica e gerao de assinaturas para tais ameaas pela equipe de resposta Antimalware. Isso aumentou drasticamente a produo de assinaturas e a capacidade da equipe de responder ao surgimento de novos bots. A Microsoft acredita na validade do compartilhamento dessas informaes com parceiros e clientes, no somente para demonstrar o impacto das nossas ferramentas e produtos no cenrio de ameaas, mas tambm para compartilhar nosso conhecimento. Este relatrio o primeiro exemplo significativo do compartilhamento de tais informaes. Mais est por vir, e com freqncia crescente. Nossa esperana a de que outros no setor de segurana possam usar esses dados para aprimorar nossa compreenso comum do cenrio de malware e concentrar seu foco na meta compartilhada de reduzir o impacto do malware na base de usurios do Windows.

Apndice Histrico da MSRT


No final de 2003, a Microsoft adquiriu ativos da GeCAD Software, um provedor de tecnologia antivrus, o que permitiu Unidade de Tecnologia de Segurana da Microsoft (STU) comear a investigar ferramentas e tecnologias relacionadas a softwares antivrus. O primeiro lanamento a se beneficiar dessa aquisio foi a Blaster Worm Removal Tool, que a equipe Antimalware da STU lanou em janeiro de 2004, em resposta a informaes de parceiros provedores de servios de Internet (ISP) da Microsoft de que o Blaster ainda representava uma ameaa na ocasio. A ferramenta era capaz de remover todas as variantes ento conhecidas do Msblast e do Nachi e era implantada em computadores infectados atravs do Windows Update. A ferramenta foi oferecida por meio do Windows Update (WU)/Atualizaes Automticas (AU) aos usurios susceptveis a infeco, o que permitiu Microsoft obter uma importante telemetria sobre a predominncia do Msblast e do Nachi em 2004, o que resultou na remoo desses malwares de mais de 10 milhes de computadores de clientes. Ferramentas de limpeza subseqentes e independentes foram lanadas em maro de 2004 e em maio de 2004 para detectar e remover o Mydoom e o Berbew, respectivamente. A Microsoft recebeu comentrios positivos dos clientes dizendo que essas ferramentas individuais para limpeza eram valiosas, mas muitos solicitaram um sistema mais consistente e previsvel. Os comentrios resultaram na criao da Ferramenta de Remoo de Software Mal-Intencionado do Windows (MSRT). Os principais recursos do lanamento so os seguintes: A ferramenta lanada uma vez por ms, na segunda tera-feira do ms, com as atualizaes de segurana daquele ms. Se necessrio, a ferramenta lanada extraordinariamente fora dessa programao, no caso de ameaas de alta prioridade. At o momento, a Microsoft s lanou uma atualizao extraordinria da ferramenta, o que ocorreu em agosto de 2005 como resposta ao worm Zotob. Como era esperado que a disseminao do worm Zotob se limitasse a organizaes especficas que estivessem executando o Windows 2000, a atualizao foi distribuda somente atravs do Centro de Download da Microsoft e no site. Todas as verses mensais da ferramenta so distribudas simultaneamente para o Microsoft Update (MU), WU, AU, o Centro de Download da Microsoft e o site da MSRT em http://www.microsoft.com/security/malwareremove/default.mspx. Cada verso cumulativa, incluindo todas as ameaas adicionadas em verses anteriores da ferramenta.

17

Quando fornecida pelo WU/MU/AU, cada verso da ferramenta executada somente uma vez e ento encerrada. Se algum software mal-intencionado encontrado e removido, a ferramenta fornece uma mensagem ao usurio aps a prxima reinicializao. Se nenhum software mal-intencionado encontrado, nenhuma mensagem ou interface com o usurio exibida ao usurio. Os usurios que quiserem executar a ferramenta mais de uma vez por ms, sob demanda, podem baixar uma cpia do Centro de Download da Microsoft em http://www.microsoft.com/malwareremove. Por padro, a ferramenta procura somente malware que esteja sendo executado no momento ou que esteja vinculado a um ponto de inicializao automtica, como no Registro. A ferramenta foi projetada desta maneira para minimizar o tempo de execuo, especialmente atravs do WU/AU. A ferramenta conta com instrumentos que permitem que ela seja implantada e gerenciada com facilidade por clientes corporativos. Cenrios especficos visados incluem a distribuio pelo Microsoft System Management Server (SMS) ou por um sistema de gerenciamento de aplicativo similar, assim como a execuo da ferramenta a cada logon ou inicializao do sistema. Os administradores que implementam a ferramenta em um desses cenrios podem usar os cdigos de status retornados pela ferramenta (listados em KB891716) para monitorar seu desenvolvimento e seu status. A ferramenta tambm est disponvel para implantao por meio do Windows Server Update Services (WSUS). O tamanho da ferramenta mantido to pequeno quanto possvel a fim de acomodar os clientes com largura de banda limitada. Em junho de 2005, a ferramenta comeou a usar atualizaes delta atravs do WU/MU/AU. Nesse cenrio, uma atualizao menor oferecida aos usurios que executaram uma verso recente da ferramenta (essencialmente a diferena entre o que o usurio j tinha em seu sistema e a verso mais recente). Atualmente, aproximadamente 80% dos usurios do WU/MU/AU se valem dessas atualizaes menores, o que resulta em uma economia mdia de um megabyte (MB) por usurio e aproximadamente 80 terabytes (TB) de dados economizados por verso.

18

Potrebbero piacerti anche