Dosažené výsledky, aktuální trendy

MSRT Windows Malicious Software Removal Tool

Dosažené výsledky, aktuální trendy

Dokument White Paper týmu společnosti Microsoft zaměřeného na výzkum škodlivého softwaru

Matthew Braverman Správce programů Tým společnosti Microsoft zaměřený na výzkum škodlivého softwaru

Poděkování Rádi bychom poděkovali za přispění ke vzniku tohoto dokumentu následujícím osobám: Mike Chan, Brendan Foley, Jason Garms, Robert Hensing, Ziv Mador, Mady Marinescu, Michael Mitchell, Adam Overton, Matt Thomlinson a Jeff Williams



Informace obsažené v tomto dokumentu představují aktuální názory společnosti Microsoft na diskutované problémy ke dni vydání. Protože společnost Microsoft musí reagovat na vývoj na trhu, nemohou být tyto informace považovány za zavazující a společnost Microsoft nemůže ručit za jejich správnost po zveřejnění. Tento dokument White Paper slouží pouze k informativním účelům. SPOLEČNOST MICROSOFT NEPOSKYTUJE NA INFORMACE UVEDENÉ V TOMTO DOKUMENTU ŽÁDNÉ VÝSLOVNĚ UVEDENÉ, IMPLICITNĚ PŘEDPOKLÁDANÉ ČI ZÁKONNÉ ZÁRUKY. Uživatel plně zodpovídá za dodržení všech příslušných autorských zákonů. Aniž by tím byla omezena autorská práva, nesmí být tento dokument po částech ani jako celek reprodukován, ukládán, převáděn ani přenášen v jakékoli formě a jakýmkoli způsobem (ať elektronicky, mechanicky, fotokopírováním, záznamem či jinak), a to pro jakékoli účely, bez předchozího výslovného písemného povolení společnosti Microsoft Corporation. Společnost Microsoft může být držitelem patentů, žádostí o patenty, ochranných známek, autorských práv nebo jiných práv chránících duševní vlastnictví, které se mohou vztahovat na obsah tohoto dokumentu. Dodání tohoto dokumentu vám neposkytuje žádnou licenci k těmto patentům, ochranným známkám, autorským právům či jiným právům k duševnímu vlastnictví, s výjimkou případů, kdy je tak výslovně uvedeno v některé licenční smlouvě společnosti Microsoft. Copyright © 2006 Microsoft Corporation. Všechna práva vyhrazena. Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live a Windows Vista jsou registrované ochranné známky nebo obchodní značky společnosti Microsoft Corporation ve Spojených státech nebo jiných zemích.



MSRT Windows Malicious Software Removal Tool

Nástroj pro odstraňování škodlivého softwaru systému Windows: Dosažené výsledky, aktuální trendy Shrnutí

Společnost Microsoft investovala v posledních několika letech značné částky do výzkumu škodlivého softwaru (malwaru) a do vývoje technologie, která by pomohla zákazníkům vyřešit bezpečnostní riziko představované tímto softwarem. V rámci této investice vytvořila společnost Microsoft specializovaný tým zaměřený na výzkum škodlivého softwaru, který je pověřen výzkumem škodlivého softwaru, spywaru a dalšího potenciálně nežádoucího softwaru (MSRT) a také vývojem Nástroje pro odstraňování škodlivého softwaru systému Windows a programu Windows Defender. Tento tým také dodává hlavní součásti technologie obrany proti škodlivému softwaru (včetně prohledávacího modulu a aktualizací definic škodlivého softwaru) pro produkty, mezi které patří například služby Microsoft® Windows Live™ OneCare, Windows Live Safety Center Beta, program Microsoft Antigen a nové vydání programu Microsoft Forefront Client Security. Společnost Microsoft dodala první verzi Nástroje pro odstraňování škodlivého softwaru 13. ledna 2005 ve 24 jazycích uživatelům počítačů se systémy Windows® 2000, Windows XP a Windows Server™ 2003. Tento nástroj slouží jako pomůcka při identifikaci a odstranění často se vyskytujících druhů škodlivého softwaru z počítačů zákazníků a pro uživatele s licencí na tyto systémy Windows je nabízen zdarma. K datu zveřejnění této zprávy vydala společnost Microsoft 15 dalších, vylepšených verzí tohoto nástroje a pravidelně rozesílá nové verze každé druhé úterý v měsíci. Každá nová verze obsahuje nové typy malwaru, které nástroj dokáže identifikovat a odstranit. Od svého prvního vydání byl Nástroj pro odstraňování škodlivého softwaru spuštěn přibližně 2,7miliardkrát v přinejmenším 270 milionech jedinečných počítačů. Tato zpráva obsahuje hloubkovou analýzu situace v oblasti škodlivého softwaru založenou na datech shromážděných Nástrojem pro odstraňování škodlivého softwaru verze (MSRT1) a zdůrazňuje vliv tohoto nástroje na snížení výskytu nežádoucích účinků škodlivého softwaru na uživatele systémů Windows. Klíčové výsledky analýz těchto dat jsou shrnuty v následujícím textu. Jejich podrobnější rozbor pak naleznete v hlavní části zprávy. • Za posledních 15 měsíců odstranil Nástroj pro odstraňování škodlivého softwaru 16 milionů výskytů škodlivého softwaru z 5,7 milionu jedinečných počítačů používajících systémy Windows. V průměru odstraní tento nástroj jeden výskyt škodlivého softwaru z každého 311. počítače, ve kterém je spuštěn. •  41 z 61 skupin škodlivého softwaru, na které se Nástroj pro odstraňování škodlivého softwaru zaměřil v období mezi lednem 2005 a únorem 2006, se od doby přidání do tohoto nástroje vyskytovalo méně často a v 21 případech se výskyt snížil o více než 75 %. • Trojské koně typu zadní vrátka, které umožňují útočníkovi převzít kontrolu nad infikovaným počítačem a pracovat s důvěrnými informacemi, jsou významnou hrozbou pro uživatele systému Windows. Nástroj pro odstraňování škodlivého softwaru odstranil alespoň jednoho takového trojského koně z přibližně 3,5 milionu jedinečných počítačů. To znamená, že z těch 5,7 milionu jedinečných počítačů, z nichž nástroj odstranil malware, obsahovalo trojského koně 62 % počítačů. Většinu odstraněného škodlivého softwaru představují součásti bot, které jsou podkategorií trojských koní komunikující v síti Internet Relay Chat (IRC). • Viry typu Rootkit, které provádějí změny v systému za účelem ukrytí nebo ochránění jiných potenciálně škodlivých součástí, jsou potenciální hrozbou budoucnosti, ale dosud nejsou široce rozšířeny. Z 5,7 milionu jedinečných počítačů, z nichž tento nástroj odstranil škodlivý software, 14 % obsahovalo virus typu rootkit – tato hodnota se sníží na 9 %, pokud nebudeme počítat virus WinNT/F4IRootkit, šířený na určitých hudebních discích CD společnosti Sony. Ve 20 % případů, kdy byl v počítači nalezen virus typu rootkit, obsahoval daný počítač také alespoň jednoho trojského koně. • Významný zdroj infekcí škodlivým softwarem představují útoky známé pod pojmem social engineering. 35 % počítačů vyčištěných tímto nástrojem obsahovalo červy šířené e-mailem, přes sítě peer-to-peer a přes klienty rychlého zasílání zpráv. • Zdá se, že problém škodlivého softwaru má migrační povahu. Většina počítačů vyčištěných jednotlivými verzemi Nástroje pro odstraňování škodlivého softwaru patřila mezi počítače, ze kterých tento nástroj nikdy předtím malware neodstraňoval. Verze Nástroje pro odstraňování škodlivého softwaru z března 2006 odstranila škodlivý software z přibližně 150 tisíc počítačů (20 % ze všech vyčištěných počítačů), ze kterých byl škodlivý software odstraněn již dříve některou z předchozích verzí tohoto nástroje.

Přehled Nástroje pro odstraňování škodlivého softwaru

Nástroj pro odstraňování škodlivého softwaru (MSRT) slouží jako pomůcka při identifikaci a odstranění často se vyskytujících druhů škodlivého softwaru z počítačů zákazníků. Uživatelům s licencí na systémy Windows se poskytuje zdarma. Hlavním způsobem distribuce Nástroje pro odstraňování škodlivého softwaru je web Windows Update (WU), web Microsoft Update (MU) nebo služba Automatické aktualizace (AU). Jednotlivé verze tohoto nástroje jsou také k dispozici ke stažení pomocí služby Stažení softwaru a jako ovládací prvek Microsoft ActiveX® na webu http://www.microsoft.com/malwareremove. Aktuální verze nástroje je schopná zjistit a odstranit 61 různých skupin škodlivého softwaru. 

Při vytváření a vývoji Nástroje pro odstraňování škodlivého softwaru sleduje společnost Microsoft dva hlavní cíle: 1. Snížit dopad často se vyskytujícího škodlivého softwaru na uživatele systémů Windows. 2. Pomocí dat shromážděných tímto nástrojem sestavit spolehlivou analýzu vývoje škodlivého softwaru, který má v současné době dopad na uživatele systémů Windows. Tato data používá tým společnosti Microsoft zaměřený na výzkum škodlivého softwaru k přesné orientaci svého úsilí a k minimalizaci času potřebného pro reagování na nově vznikající typy malwaru. Formou zpráv podobných této mohou navíc další odborníci zaměření na zabezpečení používat tato data k rozšíření svých znalostí o aktuální situaci v oblasti škodlivého softwaru a k zaměření se na společný cíl, kterým je snížení negativních dopadů škodlivého softwaru na uživatele systémů Windows. Tento nástroj se nezaměřuje na spyware ani na potenciálně nežádoucí software. Uživatelé systémů Windows by si měli stáhnout a nainstalovat aktuální aplikaci na ochranu proti spywaru, jejíž pomocí mohou vyhledat a odstranit spyware a nevyžádaný software z počítačů. Uživatelé s licencí na systémy Windows si mohou zdarma stáhnout nástroj Windows Defender, řešení na ochranu proti spywaru společnosti Microsoft, který je v současné době k dispozici ve verzi beta, na webu http://www.microsoft.com/windowsdefender. Nástroj pro odstraňování škodlivého softwaru také nenahrazuje aktuální antivirový program, protože nenabízí ochranu v reálném čase a používá pouze tu část antivirové databáze společnosti Microsoft, pomocí které se může zaměřit na rozšířený malware. Společnost Microsoft však doporučuje i uživatelům, kteří mají nainstalovaný aktuální antivirový program, aby tento nástroj používali jako formu hloubkové ochrany. Tito uživatelé také nepřímo využívají přínosu Nástroje pro odstraňování škodlivého softwaru, protože infikovaní uživatelé mohou nežádoucím způsobem ovlivňovat sdílené prostředky, jako je síť Internet nebo místní síť. Důrazně tedy doporučujeme, aby si uživatelé systémů Windows nainstalovali a pravidelně aktualizovali antivirový program nabízející ochranu v reálném čase a kompletní antivirovou databázi signatur. Tyto požadavky splňuje například služba Microsoft Windows Live OneCare, podobně jako produkty nabízené partnerskými společnostmi společnosti Microsoft v oblasti antivirové ochrany uvedenými na webu http://www.microsoft.com/security/partners/antivirus.asp.

Pozadí zprávy

Tato zpráva obsahuje data a analýzu popisující způsob, kterým společnost Microsoft, díky vytvoření Nástroje pro odstraňování škodlivého softwaru, učinila za posledních 15 měsíců pokrok ve snaze dosáhnout následujících cílů: snížení množství škodlivého softwaru ovlivňujícího uživatele a získání cenných údajů, sloužících ke zmapování aktuální situace v oblasti softwaru škodlivého pro systémy Windows. V budoucnosti budou s vyšší frekvencí vydávány další zprávy popisující aktuální situaci v oblasti škodlivého softwaru. K tomu budou použita i jiná data, než která získáme pomocí Nástroje pro odstraňování škodlivého softwaru. Tato zpráva obsahuje data z verzí Nástroje pro odstraňování škodlivého softwaru včetně verze z března 2006. I když od vydání této zprávy jsou již k dispozici novější verze Nástroje pro odstraňování škodlivého softwaru, bylo nutné tato data zmrazit ke staršímu datu, aby bylo možné provést jejich zpracování, ověření a analýzu. Popis dat shromážděných Nástrojem pro odstraňování škodlivého softwaru získáte v dodatku k tomuto dokumentu. Data použitá při sestavování této zprávy byla odvozena měřením počtu infekcí v počítačích zákazníků tak, jak je nahlásil Nástroj pro odstraňování škodlivého softwaru. V současné době existuje mnoho dalších postupů pro měření výskytu škodlivého softwaru. Některé měří síťové požadavky, jiné sledují počet e-mailů rozeslaných rizikovým softwarem. Takové postupy však sledují pouze počet škodlivých kopií rozesílaných infikovanými počítači, nikoli počet infikovaných počítačů, protože jedna infekce může vytvořit mnoho vlastních kopií sebe sama. Proto je sledování konkrétních infekcí tou nejpřesnější metodou stanovení výskytu škodlivého softwaru. V případě Nástroje pro odstraňování škodlivého softwaru je hodnota získaných dat zdůrazněna jeho vysokým počtem provedených spuštění.



Profily uživatelů Nástroje pro odstraňování škodlivého softwaru jsou různé, ale je pravděpodobné, že díky způsobu distribuce patří většina uživatelů mezi domácí uživatele nebo malé firmy. Proto se většina dat v této zprávě týká právě této cílové skupiny. Trendy a pokyny zde uvedené se však týkají všech uživatelů systémů Windows. V této zprávě se používají následující pojmy související s malwarem: • Skupina – Seskupení podobných variant škodlivého softwaru. Virus Win32/Rbot například patří do skupiny škodlivého softwaru obsahující tisíce navzájem podobných, ale v zásadě různých variant. • Varianta – Konkrétní výskyt škodlivého softwaru. Virus Win32/Rbot.A je například variantou skupiny virů Win32/Rbot. • Výskyt nebo infekce – Identifikace konkrétní varianty škodlivého softwaru v počítači. Jeden výskyt zahrnuje všechny komponenty (soubory, klíče registru atd.) jediné varianty a pokaždé, když dojde k odstranění varianty malwaru z počítače, je toto odstranění počítáno jako samostatný výskyt. Pokud například nástroj odstraní z počítače současně viry Win32/Rbot. A a Win32/Rbot.B, bude se toto odstranění počítat jako dvě infekce nebo výskyty. Pokud nástroj o tři měsíce později ze stejného počítače opět odstraní virus Win32/Rbot.A, bude se toto odstranění počítat jako další infekce.

Statistické údaje

Hlavním způsobem distribuce Nástroje pro odstraňování škodlivého softwaru jsou služby WU/MU/AU. Tímto mechanismem dojde každý měsíc ke spuštění Nástroje pro odstraňování škodlivého softwaru ve stovkách milionů počítačů po celém světě, a tedy k získání vysokého množství údajů o aktuálních hrozbách určených pro další analýzu. Obrázek 1. Spuštění Nástroje pro odstraňování škodlivého softwaru pomocí služeb WU/AU/MU Obrázek 1 představuje počet spuštění Nástroje pro odstraňování škodlivého softwaru v jedinečných počítačích pro každou z patnácti verzí vydávaných každý měsíc od ledna 2005 do března 2006. Hodnoty zobrazené na ose X tohoto grafu představují jednotlivé verze Nástroje pro odstraňování škodlivého softwaru, nikoli kalendářní měsíce. Verze Nástroje pro odstraňování škodlivého softwaru pro únor 2006 byla například vydána 14. února 2006 a poté nahrazena verzí pro březen 2006 vydanou 14. března 2006. Mimořádná srpnová verze reagující na červa Zotob není na tomto obrázku uvedena, protože byla distribuována pouze přes centrum pro stahování Microsoft Download Center a jako ovládací prvek ActiveX na webu http://www.microsoft.com/malwareremove, ale nebyla distribuována pomocí služeb WU/MU/AU. Jak vidíte na obrázku 1, počet spuštění Nástroje pro odstraňování škodlivého softwaru se, s několika málo výjimkami, s každou verzí zvyšoval. Zejména velký rozdíl je vidět mezi počtem spuštění první verze nástroje a poslední verze nástroje. Mezi těmito dvěma verzemi se počet spuštění jednotlivých verzí více než zdvojnásobil - z přibližně 125 milionů na 270 milionů spuštění v jedinečných počítačích. Tento rozdíl je způsoben rozsáhlejším používáním služeb WU a AU uživateli systémů Windows v důsledku iniciativ společnosti Microsoft, jako je například aktualizace Windows XP Service Pack 2 doporučující zapnutí služby Automatické aktualizace, dále iniciativy Chraňte svůj počítač a také díky tomu, že partnerští dodavatelé OEM začali dodávat počítače s předinstalovaným systémem Windows XP SP2. Sečtením počtu spuštění každé verze získáme celkový počet spuštění Nástroje pro odstraňování škodlivého softwaru přes služby WU/AU/MU: přibližně 2,7 miliardy od vydání první verze. Počet jednotlivých spuštění je povzbudivý také tehdy, vezmeme-li v úvahu jeho vzestupný trend a v současné době vysoký počet počítačů používajících pravidelně služby WU/AU. Časté a včasné používání těchto mechanismů aktualizace od společnosti Microsoft může pomoci snižovat dopad těchto hrozeb na zákazníky. 

Zaměření na škodlivý software

Každý měsíc vypracují členové týmu společnosti Microsoft zaměřeného na výzkum škodlivého softwaru seznam nových často se vyskytujících hrozeb, které poté přidají do další verze Nástroje pro odstraňování škodlivého softwaru. Kritéria, na jejichž základě náš tým vybírá nové hrozby pro přidání do Nástroje pro odstraňování škodlivého softwaru, jsou založena na třech faktorech: • Musí se jednat o hrozbu s častým výskytem. • Hrozba musí být škodlivá nebo musí být schopna spustit škodlivý proces. • Hrozba by měla být aktivní v okamžiku spuštění Nástroje pro odstraňování škodlivého softwaru. Prvním klíčovým požadavkem pro přidání škodlivého softwaru do Nástroje pro odstraňování škodlivého softwaru je to, aby se daná hrozba zdála být široce rozšířenou. K vyhledávání takových hrozeb a ke stanovování jejich rozšíření používá tým řadu interních a externích ukazatelů. Klíčovým interním ukazatelem jsou data shromažďovaná službami Windows Live Safety Center Beta (http://safety.live.com) a Windows Live OneCare, které v počítačích vyhledávají kompletní řady škodlivého softwaru, jež jsou společnosti Microsoft známy. Klíčovým externím ukazatelem je seznam WildList (http://www.wildlist.org), což je v podstatě standardizovaný seznam rozšířeného škodlivého softwaru používaný výrobci antivirových řešení, který slouží jako základ pro většinu certifikací antivirových produktů, jako jsou například ICSA Antivirus Certification a West Coast Labs’ CheckMark, které nedávno získala i služba Windows Live OneCare. Druhým požadavkem na položky, které mají být přidány do tohoto nástroje, je, aby představovaly škodlivý software (například viry, červy, trojské koně, boty, rootkity atd.). Ve většině případů se jedná o kódy schopné vlastní replikace, kódy způsobující jasně definované škody a kódy, které mohou způsobit zpřístupnění postiženého systému nebo představují jiná rizika z hlediska zabezpečení. Tento nástroj se nezaměřuje na spyware a na potenciálně nežádoucí software. Třetím požadavkem je to, aby tento škodlivý software byl aktivně spuštěn v počítači. Tento požadavek je vedlejším produktem způsobu, jakým je nástroj distribuován přes služby WU/MU/AU. Protože ve většině případů je nástroj spouštěn jednou za měsíc, kdy vyhledá aktuálně spuštěný škodlivý software a jeho odkazy v umístěních automatického spuštění a poté se ukončí, aniž za sebou zanechá jakoukoli rezidentní součást, má jeho existence smysl pouze v případě, že hledaný škodlivý software je v danou dobu spuštěný nebo na něj existují odkazy v umístění pro automatické spuštění. Nástroj se proto nezaměřuje na takové hrozby, které například ohrožují datové soubory, jako jsou makroviry v aplikacích Microsoft Word a Microsoft Excel®. Při výběru nové skupiny malwaru pro přidání do nástroje jsou do dané verze nástroje zahrnuty také všechny varianty této skupiny. V následujících verzích jsou dále přidávány všechny nově objevené varianty této skupiny. Obrázek 2. Skupiny škodlivého softwaru zjištěné a odstraněné Nástrojem pro odstraňování škodlivého softwaru Obrázek 2 uvádí v abecedním pořadí 61 skupin škodlivého softwaru, které dokáže detekovat verze Nástroje pro odstraňování škodlivého softwaru z března 2006. Tyto skupiny jsou seskupeny do sedmi vzájemně se nevylučujících kategorií. I když existuje mnoho různých způsobů klasifikace škodlivého softwaru založených na jeho schopnostech, vektoru šíření atd., představuje těchto sedm kategorií z obrázku — E-mailový červ, Peerto-Peer (P2P) červ, červ rychlého zasílání zpráv (IM), červ Exploit, Trojské koně, viry Rootkit, a viry — užitečný systém klasifikace na vysoké úrovni, kterým se budeme řídit v následující části tohoto dokumentu. Vzhledem k tomu, že se každodenně objevují nové varianty škodlivého softwaru v různých výše uvedených rodinách, může se tato klasifikace v budoucnosti změnit. Na tomto obrázku je červ Exploit definován jako hrozba, využívající alespoň jedné slabé stránky softwaru, která umožňuje spuštění kódu bez zásahu 

uživatele. Tato kategorie neobsahuje škodlivý software využívající chyby zabezpečení vyžadující zásah ze strany uživatele (např. zobrazení e-mailu nebo přechod na určitou webovou stránku). Aby byla konkrétní skupina škodlivého softwaru zařazena do nějaké kategorie, musí všechny její známé varianty vykazovat chování odpovídající dané kategorii. Do kategorie virů lze například zařadit pouze jednu variantu ze skupiny Bagle (Bagle. O), protože infikuje spustitelné soubory. Proto skupina Bagle není klasifikována jako viry. Také mnoho variant skupiny Rbot dokáže využívat slabých stránek softwaru. Protože je však ve většině případů ke spuštění této formy replikace vyžadován ruční zásah vlastníka viru bot, není virus Rbot klasifikován jako červ Exploit. Jak vidíte na těchto příkladech, některé ze skupin uvedených na obrázku 2 nelze zařadit do žádné z těchto sedmi kategorií. Nástroj pro odstraňování škodlivého softwaru dokáže detekovat malé množství variant škodlivého softwaru, které nepatří do výše uvedených rodin. Tyto varianty nepatří do výše uvedených skupin a jsou nástrojem detekovány za účelem provedení řádného odstranění virů.

Škodlivý software odstraněný Nástrojem pro odstraňování škodlivého softwaru

Zbývající část tohoto dokumentu obsahuje podrobné informace o škodlivém softwaru, který Nástroj pro odstraňování škodlivého softwaru odebral v průběhu uplynulých 15 měsíců, včetně základních vlastností (například verze operačního systému a jazykové verze) počítačů, ze kterých byl tento škodlivý software odstraněn.

Přehled

Na začátek uvedeme množství škodlivého softwaru odstraněného Nástrojem pro odstraňování škodlivého softwaru. Obrázek 3. Odstraněný škodlivý software a vyčištěné počítače podle verzí Nástroje pro odstraňování škodlivého softwaru Obrázek 3 obsahuje ve třech datových řadách zobrazených v grafu následující informace: • Odstraněný škodlivý software: Množství škodlivého softwaru odstraněného jednotlivými verzemi Nástroje pro odstraňování škodlivého softwaru od ledna 2005 do března 2006. Všechny verze dohromady odstranily 16 milionů výskytů škodlivého softwaru. • Vyčištěné počítače: Počet jedinečných počítačů vyčištěných jednotlivými verzemi Nástroje pro odstraňování škodlivého softwaru od ledna 2005 do března 2006. Počet jedinečných počítačů vyčištěných určitou verzí bude vždy nižší než počet výskytů škodlivého softwaru odstraněných danou verzí (z jednoho počítače může být odstraněno více infekcí). Všimněte si také, že tato datová řada začíná červnem 2005, protože teprve od této verze začal nástroj shromažďovat tuto statistiku. Od června 2005 do března 2006 odstranil nástroj alespoň jeden výskyt škodlivého softwaru z 5,7 milionu jedinečných počítačů. Celkový počet od vydání první verze nástroje je ještě vyšší, ale přesné číslo neznáme, protože tyto hodnoty nemáme z období před červnem 2005. • Nové počítače: Počet nových, jedinečných počítačů, ze kterých jednotlivé verze odstranily škodlivý software, z celkového počtu počítačů vyčištěných danou verzí. Slovo nový se zde vztahuje na počítač, ze kterého žádná verze nástroje ještě nikdy neodstranila škodlivý software. U žádné verze nemůže být tato hodnota vyšší než celkový počet vyčištěných počítačů. Protože se tato hodnota vztahuje na počet vyčištěných počítačů, první verzí, kterou takto můžeme hodnotit, je verze z července 2005. Pokud uživatel přeinstaluje operační systém ve svém počítači, objeví se tento systém v našem hodnocení jako nový. V rámci této zprávy je tato nepřesnost považována za malou a není tedy brána v úvahu. 

Na základě dat uvedených na obrázku 3 lze provést několik závěrů: • Zvýšený počet odstraněného škodlivého softwaru a vyčištěných počítačů je důsledkem jak vyššího počtu spuštění Nástroje pro odstraňování škodlivého softwaru (viz obrázek 1), tak vyššího počtu skupin a variant často se vyskytujícího škodlivého softwaru, na něž se nástroj zaměřuje. Konkrétně nové verze vydané od listopadu 2005 přinesly výrazně vyšší počet odstranění virů. Všechny tyto nárůsty lze přičíst zařazení jedné nebo několika konkrétních skupin škodlivého softwaru do nástroje. Vzhledem k tomu, že některé tyto skupiny byly objeveny již v minulosti a nelze stanovit, kdy byl daný uživatel poprvé infikován, bylo by nepřesné interpretovat tato data jako nárůst výskytu škodlivého softwaru. • Listopad 2005: Kombinace virů Win32/Mabutu, Win32/Codbot a Win32/Bugbear • Prosinec 2005: WinNT/F4IRootkit • Leden 2006: Win32/Parite • Únor 2006: Win32/Alcan • Porovnáním dat uvedených na obrázku 1 a dat uvedených na obrázku 3 zjistíme, že nejnovější verze Nástroje pro odstraňování škodlivého softwaru z března 2006 vykazovala 0,28 % infikovaných počítačů na celkový počet spuštění nástroje. Jinými slovy, nástroj odstranil škodlivý software z přibližně jednoho z 355 počítačů, ve kterých byl spuštěn. Průměrná hodnota pro všechny verze od července 2005 do března 2006 je 0,32 %, tedy přibližně jeden z 311 počítačů. Tento výskyt infekcí je relativně konstantní u všech měřitelných verzí, nejvyšší hodnoty 0,4 % dosáhl v srpnu 2005 a nejnižší hodnoty 0,24 % v září 2005. • U všech verzí patří většina počítačů, z nichž nástroj odstranil škodlivý software, do skupiny počítačů, ve kterých se tak stalo poprvé. Jinými slovy, v každé verzi odstraňuje nástroj škodlivý software z relativně nízkého počtu počítačů, ze kterých již někdy v minulosti škodlivý software odstranil. Například u verze nástroje z března 2006 patřilo přibližně 600 000 ze 750 000 (80 %) počítačů vyčištěných nástrojem mezi nové systémy. Ve 20 % případů odstranil nástroj škodlivý software ze stejných počítačů již v některé ze svých předchozích verzí. Tato odstranění představují jeden a tentýž počítač infikovaný jinými variantami nebo skupinami škodlivého softwaru a také opětovné infekce stejnými variantami škodlivého softwaru (pravděpodobně v důsledku nenainstalování opravy do počítače nebo účinných útoků typu social engineering).

Škodlivý software odstraněný z jednotlivých počítačů

Dalším zajímavým ukazatelem je počet jedinečných variant škodlivého softwaru odstraněný z jednotlivých počítačů. Ve většině případů odstranil nástroj pouze jednu variantu škodlivého softwaru z určitého počítače. V některých případech ale nástroj odstranil z jednoho počítače desítky a dokonce i stovky variant škodlivého softwaru. Obrázek 4. Jedinečné varianty škodlivého softwaru odstraněné z jednotlivých počítačů Obrázek 4 znázorňuje počet počítačů, ze kterých byl odstraněn určitý počet jedinečných, individuálních variant škodlivého softwaru při všech spuštěních nástroje v konkrétním počítači. Pokud například nástroj odstranil ze stejného počítače jednu variantu škodlivého softwaru dvakrát, je toto odstranění na obrázku 4 započítáno pouze jednou. Pomocí dat uvedených na obrázku 4 můžeme vypočítat, že průměrný počet jedinečných variant škodlivého softwaru odstraněný z jednoho počítače je 1,59. Jinými slovy, je o něco pravděpodobnější, že nástroj odstraní více než jednu variantu škodlivého softwaru z jednoho počítače, než že z něj odstraní pouze jednu variantu. V případech, kdy nástroj provedl velký počet odstranění, se obvykle jednalo o počítače infikované různými variantami viru bot, s největší pravděpodobností z toho důvodu, že počítač byl infikován jedním virem bot, který 

poté majitel tohoto viru použil k instalaci dalších virů bot do daného počítače. Další hrozbou, charakteristickou vysokým počtem infekcí v jednom počítači, je červ peer-to-peer Win32/Antinny, napadající skoro výlučně japonské počítače. Důvodem je to, že Antinny používá širokou škálu útoků typu social engineering, pomocí kterých se snaží nalákat uživatele, aby si stáhl a spustil červa. Je pravděpodobné, že uživatel, který spustí červa jednou a infikuje si tak počítač, jej spustí vícekrát.

Podrobnosti o odstraněném škodlivém softwaru

Tato část obsahuje další informace o tom, jak se data prezentovaná v předchozích částech vztahují k uvedeným 61 skupinám malwaru, které je Nástroj pro odstraňování škodlivého softwaru schopen detekovat a odstranit. Obrázek 5. Malware / Vyčištěné počítače podle skupin škodlivého softwaru

Obrázek 5 uvádí 61 skupin škodlivého softwaru, které verze Nástroje pro odstraňování škodlivého softwaru z března 2006 dokáže detekovat, společně s následujícími informacemi: • Počet odstranění řady škodlivého softwaru z počítače od ledna 2005 do března 2006. Seznam je podle této hodnoty seřazen v sestupném pořadí. • Počet jedinečných počítačů, ze kterých byla příslušná skupina škodlivého softwaru odstraněna od června 2005 do března 2006. • Verze Nástroje pro odstraňování škodlivého softwaru, ve které byla detekce dané skupiny škodlivého softwaru poprvé přidána do tohoto nástroje. • Měsíc a rok, ve kterém byla první varianta dané skupiny objevena. 10

Mezi zajímavosti vyplývající z dat uvedených na obrázku 5 patří: • Počet odstranění virů Win32/Parite, Win32/Alcan a WinNT/F4IRootkit patří mezi nejvyšší navzdory tomu, že detekce těchto skupin byla do nástroje přidána až v posledních pěti verzích. Obzvláště zajímavý je soubory infikující virus Parite, který se objevil poprvé v roce 2001 a dodnes je široce rozšířený. Tato skutečnost je pravděpodobně způsobena náročností kompletního vyčištění infikovaného počítače a agresivním postupem tohoto viru při infikování souborů. Ve skutečnosti neexistuje žádná závislost mezi počtem odstranění a datem, kdy byla daná skupina objevena nebo poprvé přidána do nástroje. • Na třech z prvních pěti míst v celkovém počtu odstranění se umístily viry bot (Rbot, Sdbot a Gaobot). Častý výskyt těchto tří skupin škodlivého softwaru potvrzuje názor vyslovený v hlavních závěrech týkající se rozšíření trojských koní. • Win32/Antinny, který obsadil #12 místo, se šíří po japonské síti pro sdílení souborů. Skutečnost, že tento červ se nachází téměř výhradně v japonských jazykových systémech, ale stále je hodnocen tak vysokým stupněm po pouze šesti vydáních, znamená, že do značné míry souvisí s japonštinou a je příkladem ohrožení specifických pro jednotlivé oblasti či jazyky. • Win32/Alcan, málo známý červ, který se replikuje v sítích rovnocenných počítačů, již zaznamenal jeden z nejvyšších počtů odstranění ihned po přidání do tohoto nástroje v únoru 2006. Šíření viru je pravděpodobně zapříčiněno poměrně vysokou úrovní postupů typu social engineering, které zahrnuje, včetně vystupování jako aplikace, která zjistila chybu během spuštění instalace. • Virus Win32/Zotob, který zneužívá chybu zabezpečení vyřešenou v Bulletinu zabezpečení společnosti Microsoft MS05-039, byl odebrán z pouze 6 132 počítačů, proto se jedná o nejméně rozšířený červ ze všech uvedených červů. To platí za předpokladu, že se toto ohrožení zabezpečení týká pouze počítačů se systémem Windows 2000. Zajímavé je, že virus Win32/Esbot s č. 30, který zneužívá stejnou chybu zabezpečení, byl odebrán z 10krát většího počtu počítačů v porovnání s virem Win32/Zotob, ale vzbudil mnohem méně pozornosti. Virus Win32/Msblast s č. 10 zůstává nebezpečným virem s největším počtem odstranění. • Podobně, zatímco skupina virů typu rootkit Hacker Defender obvykle přitahuje největší pozornost zaměřenou na zjistitelné skupiny virů typu rootkit, jedná se ve skutečnosti o jednu z nejméně se šířících skupin virů typu rootkit odstraňovaných tímto nástrojem. Virus WinNT/FURootkit je hlavní virus typu rootkit odstraňovaný tímto nástrojem a často slouží ke skrytí přítomnosti Trojských koní typu zadní vrátka nainstalovaných v počítači. Obrázek 6. Vyčištěné počítače podle typu malwaru

Obrázek 6 kombinuje data zobrazená na Obrázku 5 s klasifikacemi malwaru znázorněnými na Obrázku 2. Z 5,7 milionů vyčištěných počítačů odebral nástroj Trojského koně typu zadní vrátka z více než 3,5 milionů (62 %) z nich. Několik nedávných závažných případů ukázalo, že útočníci často používají tyto Trojské koně k finančnímu zisku tím, že vytvoří síť napadených počítačů a prodají je jako relé a distribuční body pro spam, spyware a útoky typu odepření služby. Kromě používání aktuálního antivirového řešení by zákazníci měli využívat obousměrné brány firewall, které jim pomohou zabránit odhalení informací a zajistit vzdálené monitorování či kontrolu aspektů těchto ohrožení.

V porovnání s Trojskými koni typu zadní vrátka byly viry typu rootkit nalezeny v mnohem menším počtu počítačů: přibližně v 780 tisících. Tato hodnota se však sníží cca na 530 000, pokud nezahrneme zjištění virů WinNT/ F4IRootkit. Tento případ je zvláště zdůrazněn, protože ačkoli byl následně zjištěn nebezpečný software, který viry typu rootkit používají k zamaskování své přítomnosti v počítači, společnost Sony jej nevydala jako balíček nebezpečného softwaru, ale jako opatření proti softwarové kriminalitě. Proto má jeho další šíření spíše charakteristiku maloobchodního prodeje, nikoli charakteristiku distribuce virů. Podobně jako u dalších kategorií malwaru popsaných v této zprávě, se i zde 11

uvedené údaje týkají pouze skupin malwaru, které je tento nástroj schopen zjistit. I když existují známé viry typu rootkit, které nejsou nástrojem zjišťovány z důvodu nízkého rozšíření, i neznámé viry typu rootkit, které nástroj nezjišťuje, naznačuje zpětná vazba od zákazníků i měření z jiných nástrojů společnosti Microsoft, jako jsou například Windows Live OneCare a Windows Live Safety Center Beta, že skupiny virů typu rootkit aktuálně zjišťované nástrojem MSRT představují velkou část virů typu rootkit, které v současné době aktivně ohrožují velkou skupinu uživatelů. Nejefektivnějším postupem proti virům typu rootkit je prevence. Zákazníci by měli zachovávat aktuální signatury virů, aby ochranné mechanismy softwaru v reálném čase mohly zjistit a zablokovat virus typu rootkit před instalací do počítače a, pokud je to možné, spustit počítač v jiném režimu než v režimu správce. Uživatelé fungující jako standardní uživatelé nebudou mít možnost nainstalovat do svých počítačů většinu virů typu rootkit. Další generace operačních systémů společnosti Microsoft, Windows Vista™, také zahrnuje několik funkcí určených k zablokování manipulace s klíčovými interními strukturami operačního systému viry typu rootkit. V případě, že prevence není možná a počítač již je napaden virem typu rootkit, měli by zákazníci použít antivirový produkt nebo nástroj pro odstraňování, který může tento virus rozpoznat a odstranit. V takovém případě by uživatelé, zejména podnikoví uživatelé, měli využít možnost provedení dalších kroků pro vyřešení situace. Z hlediska ohrožení útoky typu social engineering je nejběžnějším způsobem šíření e-mail, jak je znázorněno výše. Přibližně 20 % vyčištěných počítačů bylo napadeno nejméně jedním typem ohrožení, která se mohou šířit e-mailem. I když je nástroj MSRT schopen zjistit a odstranit tři z hlavních červů programů rychlého zasílání zpráv (Win32/Bropia, Win32/Kelvir a Win32/Mytob), byla tato ohrožení zjištěna v poměrně malém počtu počítačů: pouze v méně než 250 tisících. Porovnejte tento údaj s přibližně 450 000 počítačů vyčištěných pouze od virů Win32/Alcan a Win32/Antinny, které se šíří v sítích rovnocenných počítačů (P2P). Malware, který se šíří v sítích rovnocenných počítačů, může být zjištěn, pokud jsou v počítači nainstalovány známé aplikace P2P. Je-li tomu tak, vytvoří své kopie, obvykle s použitím atraktivních názvů, v adresářích, které aplikace P2P používají ke sdílení souborů v síti. Tímto způsobem je pak červ sdílen v síti rovnocenných počítačů. Kromě používání aktuálního antivirového programu je nejlepší obranou proti těmto ohrožením útoky typu social engineering poučení uživatelů a omezení možností spuštění nebezpečného programu nepoužíváním počítače v režimu správce. Jedním z důvodů, proč jsou poslední nebezpečné programy napadající aplikace rychlého zasílání zpráv méně úspěšné v šíření velkému okruhu uživatelů v porovnání s ohroženími v síti rovnocenných počítačů je fakt, že aplikace rychlého zasílání zpráv začínají obsahovat integrované funkce, které zabraňují v napadení počítačů uživatelů malwarem. Například aplikace MSN® Messenger verze 7 zabraňuje uživatelům v odesílání souborů s určitými typy spustitelných souborů a klepnutí na odkazy v rychlých zprávách vyžaduje další potvrzení uživatelem. Taková ochrana nebyla dosud do klientských programů v sítích rovnocenných počítačů integrována. Dalším významným důvodem je fakt, že aplikace P2P jsou jako mechanismus pro výměnu souborů mnohem vhodnější pro šíření nebezpečných souborů ve srovnání s programy rychlého zasílání zpráv, které se zaměřují především na odesílání zpráv. Obrázek 7. Vzájemný vztah napadení malwarem podle typu

Obrázek 7 znázorňuje překrytí při zjišťování uvedených typů malwaru v počítači. Ze všech počítačů, ve kterých nástroj MSRT zjistil e-mailový červ, zjistil také červ aplikace P2P v 1,0 % případů. Naopak, v 1,9 % případů, kdy tento nástroj zjistil červ typu P2P, byl zjištěn také e-mailový červ. Nejčastější souvislost znázorněná na obrázku je mezi viry typu rootkit a Trojskými koni typu zadní vrátka. V přibližně 20 % případů, kdy byl v počítači nalezen virus typu rootkit, byl nalezen také Trojský kůň typu zadní vrátka. To potvrzuje trend 12

velkého počtu virů typu rootkit, které jsou distribuovány nebo používány Trojskými koni typu zadní vrátka. Vysoké jsou také procentuální hodnoty souvislostí mezi červy v sítích P2P a Trojskými koni typu zadní vrátka a červy rychlého zasílání zpráv a Trojskými koni typu zadní vrátka. Tyto vysoké hodnoty se také předpokládají vzhledem k tomu, že řada červů v sítích P2P a v aplikacích pro rychlé zasílání zpráv v počítači po spuštění zanechá larvy.

Změny při odstraňování malwaru

Sledování změn při odstraňování skupin malwaru pomocí tohoto nástroje je užitečné ze dvou důvodů. Za prvé, umožňuje společnosti Microsoft monitorovat činnost a šíření specifických skupin malwaru. Skupiny, u kterých od prvního přidání do tohoto nástroje roste počet odstranění, obvykle označují případy, kdy jsou aktivně vydávány a replikovány varianty. Sledování změn u odstraňování je také užitečné, protože společnosti Microsoft umožňuje monitorovat úspěšnost nástroje pro odstraňování škodlivého softwaru zajištěním, že šíření skupin malwaru zjišťovaných nástrojem se snižuje. I když toto snížení může být způsobeno i jinými faktory, skutečnost, že nástroj MSRT odstranil velký počet výskytů těchto skupin malwaru z počítačů, zajišťuje, že toto vydání je alespoň částečně příčinou poklesu šíření. Obrázek 8. Změna odstranění viru Win32/Rbot Společnost Microsoft sleduje změny v odstraňování malwaru pomocí nástroje MSRT na základě dvou metrik, které souvisí s dříve uvedenými důvody. Obrázek 8 znázorňuje tyto metriky pomocí skupiny virů Win32/Rbot. Osa X odpovídá kalendářním měsícům a rokům. Zahrnutí data do těchto modelů je důležité z důvodu znázornění vývoje v čase. Předpokladem je, že uživatelé mohou spouštět starší verze nástroje MSRT (i když se po 60 dnech od vydání zobrazí obrazovka s varováním). Použití měsíce vydání nástroje MSRT může toto měření zkreslit. • Změna skupiny (černá tečkovaná čára): Změna v počtu odstranění u skupiny od okamžiku zjištění, kdy byla přidána do nástroje, po poslední vydání. I když tato křivka představuje skvělé znázornění změn počtu odstranění u dané skupiny v průběhu času, je zkreslena skupinami, které jsou aktivní a které po prvním přidání do nástroje zaznamenaly malý počet odstranění. Graf znázorňuje celkový počet odstranění skupiny Win32/Rbot od dubna 2005 do března 2006. Pomocí těchto dat můžeme vypočítat, že počet odstranění této skupiny se za posledních 11 měsíců zvýšil přibližně o 16 %. Na základě těchto informací a dat z Obrázku 5 můžeme dojít k závěru, že Rbot je velmi aktivní a šířící se skupina virů. Tyto řady dat graficky znázorňují součet plných čar pod nimi. • Průměr změn na vydání (plné čáry):Změna v počtu odstranění pro konkrétní sadu variant přidaných do jednoho vydání od okamžiku, kdy byla sada poprvé přidána do poslední verze nástroje, v průměru pro všechna vydání. Tato metrika není ovlivněna velkým počtem odstranění v důsledku aktivních skupin malwaru, a je proto lepším měřítkem pro určení, jak účinný je nástroj při snižování počtu instancí dané skupiny v nekontrolovaném prostředí. Plné čáry v grafu představují počet odstranění sady variant viru Win32/Rbot přidaných do konkrétního vydání v průběhu času. Čím delší je čára, tím déle bylo zjišťování tohoto viru zahrnuto do nástroje. Například nejdelší, tmavě modrá čára představuje první sadu variant viru Rbot přidaných do nástroje. Obecným jevem v tomto grafu je, že po přidání zjišťování sady variant viru Rbot do nástroje se nakonec sníží počet odstranění těchto variant. Pokud vypočteme změny v odstranění pro jednotlivé sady variant v průběhu času a pak vypočítáme průměr těchto změn, zjistíme, že počet odstranění variant viru Rbot se od prvního přidání do nástroje MSRT snížil přibližně o 79 %.

13

Obrázek 9. Změny při odstraňování malwaru

Obrázek 9 znázorňuje většinu skupin malwaru zjištěných nástrojem společně se dvěma měřítky pro změny odstranění popsanými dříve, uspořádaných podle procentuálních hodnot změny ve vzestupném pořadí. Tři skupiny přidané do vydání tohoto nástroje z března 2006 (Win32/Atak, Win32/Torvil a Win32/Zlob) nejsou do tohoto výpisu zahrnuty, protože dosud nebylo možné určit změnu počtu odstranění. Vyloučeny jsou navíc skupiny Win32/Bofra, Win32/Gibe, Win32/Opaserv, Win32/Badtrans a Win32/ Zotob, protože u nich nedošlo k dostatečnému počtu odstranění (nejméně 1 000) pro vygenerování spolehlivé metriky změn. Jak naznačuje obrázek, je povzbuzující vidět, že u většiny skupin (41 z 53) se šíření od prvního přidání do nástroje snížilo. U 33 z 41 skupin šlo o 50% snížení a u 21 z 41 skupin o více než 75% snížení. Z 12 skupin, u kterých se celkové šíření zvýšilo, pouze tři (Win32/Gael, Win32/Lovgate a Win32/Wukill) zaznamenaly v průměru konzistentní zvýšení u jednotlivých sad variant přidaných do nástroje. Zbývajících devět skupin (včetně skupiny Win32/Rbot na obrázku 8) zaznamenalo čisté snížení počtu odstranění na vydání. Mezi další důležité informace plynoucí z těchto údajů patří: • Počet odstranění virů WinNT/F4IRootkit, prvního viru typu rootkit First4Internet distribuovaného pomocí hudebních disků CD společnosti Sony, se výrazně snížil od okamžiku, kdy bylo rozpoznávání tohoto viru poprvé přidáno do vydání tohoto nástroje v prosinci 2005. To pravděpodobně naznačuje, že pouze málo uživatelů nainstalovalo a přeinstalovalo tento software z napadených disků CD po mediální pozornosti, kterou tento problém vyvolal. • Rychlý růst počtu odstranění viru Mywife je zapříčiněn zahrnutím rozpoznávání viru Win32/Mywife.E do nástroje. Virus Mywife.E se objevil koncem ledna 2006 a ve zpravodajských médiích byl popisován také jako červ CME-24 a Kama Sutra. Červ se šířil převážně e-mailem a byl schopný poškodit klíčové datové soubory třetího dne každého kalendářního měsíce. V tomto případě počet odinstalací vyskočil z přibližně 700 v lednu 2006 na zhruba 92 000 v únoru 2006. • Nárůst odinstalací trojského koně Win32/Rbot je důsledkem velkého počtu variant skupiny tohoto škodlivého softwaru, které jsou při každém vydání přidány do nástroje MSRT. Průměrně se do nástroje každý měsíc přidává 2 000 nových variant trojského koně Win32/Rbot. • Zvýšení počtu odinstalací takových skupin, jako je Win32/Hackdef a Win32/Ryknos, je důsledkem nízkého počtu počátečních odinstalací, který byl zase způsoben malým počtem variant, jež dokázal nástroj na počátku zjistit. Vydání nástroje MSRT v dubnu 2005 například bylo schopné zjistit 78 různých variant skupiny škodlivého softwaru Win32/Hackdef. V březnu 2006 počet variant prudce vzrostl na 439, což představovalo nárůst o více než 400 %. V tomto čase rovněž 14

obdobně vzrostl počet odinstalací ze zhruba 3 000 na 30 000. I když je tedy počet odinstalací skupin škodlivého softwaru Hackdef v porovnání s jinými skupinami škodlivého softwaru poměrně malý, přesto výrazně vzrostl od prvního přidání zjišťování této skupiny do nástroje. Tyto trendy jsou zcela jasně vidět na změně statistických ukazatelů u této skupiny, viz obrázek 9. I když došlo ke značnému nárůstu odinstalací (842 %), je toto číslo ovlivněno skutečností, že odinstalace této skupiny začaly na nízkém čísle. Odinstalace skupiny na jedno vydání klesly průměrně o 31 %.

Informace o operačním systému

Při využití telemetrických informací shromážděných nástrojem pro odstraňování škodlivého softwaru je společnost Microsoft schopná určit převládající hrozby zjištěné v podporovaných verzích operačního systému Microsoft Windows. Na obrázku 10 jsou vidět různá zobrazení převládajícího škodlivého softwaru napříč těmito operačními systémy pro vydání z března 2006. První dva kruhové diagramy představují veškerý škodlivý software zjištěný nástrojem během vydání z března 2006. V grafu označeném Celkem můžeme vidět, že většina odinstalací byla provedena v systému Windows XP SP2, kdy systém Windows XP tvořil 89 % všech odinstalací provedených nástrojem. Tento vysoký počet provedených odstranění virů z počítačů se systémem Windows XP SP2 se očekával, protože k většině spuštění nástroje dochází v počítačích se systémem Windows XP SP2. Chcemeli tedy získat reálnější pohled na zjištění, jaký škodlivý software je v konkrétních operačních systémech běžnější, je možné data na prvním obrázku „normalizovat“. V tomto případě normalizace znamená úpravu procentuální hodnoty provedených odstranění virů napříč operačními systémy s ohledem na počet spuštění nástroje v daném operačním systému. Jinými slovy, abychom snížili jednostrannost v procentuálním hodnocení provedených odstranění virů způsobenou vysokým počtem spuštění nástroje v jednom operačním systému, vydělíme počet provedených odstranění virů z konkrétního operačního systému relativní procentuální hodnotou spuštění nástroje v daném operačním systému. Takto se u operačních systémů s velkou procentuální hodnotou spuštění nástroje zvýší množství provedených odstranění virů o menší počet v porovnání s operačním systémem vykazujícím malou procentuální hodnotu provedených spuštění. Konkrétní matematická rovnice použitá pro tento případ je následující: Normalizovaná odstranění virů OS = Provedená odstranění virů OS/Procentuální hodnota spuštění OS Obrázek 10. Počítače vyčištěné díky vydání z března 2006, podle operačního systému

15

O použití této rovnice na provedená odstranění virů a procentuální hodnotu spuštění nástroje na základě vydání z března 2006 vypovídá graf v pravém horním rohu obrázku 10. Graf ukazuje značnou změnu procentuální hodnoty, kdy operační systém Windows XP SP2 klesl na pouhá 3 % normalizovaných provedených odstranění virů a systémy Windows XP Gold a SP1 dosáhly 63 % provedených odstranění virů. Toto uspořádání je pochopitelné z technických i sociálních důvodů. U prvně jmenovaného důvodu jde o to, že operační systém Windows XP SP2 obsahuje mnohá zlepšení zabezpečení a opravy chyb zabezpečení, které v předchozích verzích systému Windows XP nebyly možné, a ty způsobují, že je v některých případech mnohem těžší nakazit počítač škodlivým softwarem. Pokud jde o druhý důvod, je pravděpodobné, že uživatel, který svůj systém dosud neupgradoval na nejnovější aktualizaci Service Pack, bude více vystaven útokům typu social engineering. Vypadá to, že uvedené skutečnosti platí i pro operační systém Windows 2000 a Windows Server 2003, kde nejnovější verze aktualizací Service Pack pro tyto operační systémy mají nejmenší počet normalizovaných provedených odstranění virů v porovnání se staršími verzemi operačních systémů. Šest grafů následujících po dvou hlavních diagramech zobrazuje normalizovaná provedení odstranění virů rozčleněná podle stejných kategorií jako na obrázku 2. Obecně jsou výsledky z těchto grafů podobné normalizovaným výsledkům, pokud jsou zohledněna všechna provedená odstranění virů. Řazení operačních systémů je v podstatě ve všech případech identické. Podíváme-li se konkrétně na operační systém Windows XP SP2, je zajímavé vidět, že nejvyšší procentuální hodnota provedených odstranění virů u tohoto operačního systému pochází z hrozeb, které se šíří e-mailem, prostřednictvím rychlého zasílání zpráv a v prostředí sítí peer-to-peer. Toto uspořádání lze očekávat, protože tyto hrozby, na rozdíl například od červů typu Exploit, využívají k nakažení přístroje útoky typu social engineering, tedy metodu, které jsou vystaveny všechny operační systémy.

Informace o národním prostředí

Obrázek 11. Počítače vyčištěné díky vydání z března 2006, podle národního prostředí

Obrázek 11 ukazuje rozčlenění počítačů vyčištěných podle národního prostředí operačního systému na základě vydání nástroje MSRT z března 2006. Národní prostředí nemusí nutně značit geografické umístění. Například nastavení Angličtina (USA) je široce používané i v jiných zemích po celém světě. Diagram na levé straně obrázku 11 ukazuje, že velké množství vyčištěných počítačů má anglický operační systém. Podobně jako u výše uvedeného případu systému Windows XP SP2 je tato statistika mírně zavádějící, protože řada počítačů, v nichž je nástroj spuštěný, má instalovaný anglický operační systém. Proto je podobně jako u verzí operačních systémů možné normalizovat vyčištěné počítače procentuální hodnotou spuštění nástroje v daném národním prostředí. Výpočet se podobá výpočtu prováděnému pro verzi operačního systému, kdy se místo položky Procentuální hodnota spuštěníOS použije procentuální hodnota spuštění Národní prostředí. Výsledek tohoto výpočtu je zobrazen na pravé straně obrázku 11 a přináší zajímavé informace. Normalizační proces zde rozdělil provedená odstranění virů poměrně rovnoměrně mezi většinu národních prostředí. Jinými slovy, pokud se vezme v úvahu veškerý škodlivý software odstraněný nástrojem a hodnoty jsou znormalizovány, odinstalace tohoto škodlivého softwaru se rozdělí do všech národních prostředí systému Windows, včetně angličtiny. Jak dokazuje graf, výjimkou je národní prostředí Turečtina, které po normalizaci vykazuje 20,2 % vyčištěných počítačů. Podrobnější pohled na tato data ukazuje, že tato skladba je obdobná u všech skupin škodlivého softwaru. I když tým společnosti Microsoft zaměřený na výzkum škodlivého softwaru dále tato data zkoumá, konkrétní důvod, proč vysoká procentuální hodnota normalizovaných provedených odstranění virů pochází z počítačů s tureckým jazykovým prostředím, je neznámý. 16

Závěry

Podíváme-li se zpět, uplynulých 15 měsíců představovalo pro tým společnosti Microsoft zaměřený na výzkum škodlivého softwaru a naše vnitropodnikové partnery vzrušující období, kdy došlo k vydání nástroje MSRT (Nástroj pro odstraňování škodlivého softwaru), programu Windows Defender Beta, služby Windows Live OneCare Beta a služby Windows Live Safety Center Beta. Příštích 15 měsíců slibuje být stejně vzrušujících, protože se očekává úplné vydání těchto nabídek spolu s uvedením produktu Microsoft Forefront Client Security, což je sjednocené řešení ochrany před škodlivým softwarem pro stolní i přenosné počítače a serverové operační systémy s jednodušším řízením a ovládáním, a stálé poskytování nástroje MSRT. Zavedení těchto nabídek poskytne společnosti Microsoft další zdroje dat o převládajícím škodlivém softwaru, jež se budou podobat datům shromážděným nástrojem pro odstraňování škodlivého softwaru. Shromažďování těchto informací je klíčové proto, aby společnost Microsoft rozuměla celému spektru hrozeb a mohla s těmito hrozbami bojovat a celkově usnadnit zákazníkům společnosti Microsoft práci s počítači. Identifikace virů typu bot, které představují výraznou většinu napadení zjištěných nástrojem MSRT, například vedla k tomu, že tým zaměřený na výzkum škodlivého softwaru vyvinul několik automatických technik analýzy a generování signatur pro tyto hrozby. Tím se značně zvýšil výstup signatur a schopnost týmu reagovat na objevení nových virů typu bot. Společnost Microsoft věří, že je mimořádně cenné dělit se o tyto informace s partnery a zákazníky. A to nejen z důvodu předvedení účinků našich nástrojů a produktů v celém spektru hrozeb, ale také jako sdílení našich znalosti. Tato zpráva je prvním významným příkladem sdílení těchto informací. Další zprávy budou následovat v budoucnu a s vyšší četností. Doufáme, že ostatní subjekty zabývající se zabezpečením, mohou tato data využít k vylepšení obecného porozumění celému spektru škodlivého softwaru a zaměřit se na společný cíl, kterým je snížení dopadů škodlivého softwaru na základnu uživatelů systému Windows.

Dodatek Pozadí nástroje MSRT

Koncem roku 2003 společnost Microsoft zakoupila aktiva společnosti GeCAD Software, poskytovatele antivirové technologie, což umožnilo útvaru technologií zabezpečení STU (Security Technology Unit) společnosti Microsoft začít zkoumat nástroje a technologie týkající se antivirové ochrany. Prvním vydaným produktem vycházejícím z této akvizice byl nástroj Blaster Worm Removal Tool, který tým útvaru STU zaměřený na výzkum škodlivého softwaru představil v lednu 2004 v  reakci na informace od partnerských poskytovatelů služeb Internetu společnosti Microsoft, že virus Blaster v té době stále představoval hrozbu. Nástroj byl v té době schopen odstranit všechny známé varianty viru Msblast a Nachi a byl do napadených počítačů zaveden pomocí služby Windows Update. Uživatelům, kteří byli pravděpodobně napadeni, byl nástroj nabídnut prostřednictvím služby Windows Update (WU) / Automatické aktualizace (AU), což společnosti Microsoft umožnilo získat klíčové telemetrické informace o převládající hrozbě virů Msblast a Nachi v roce 2004. Výsledkem byla odinstalace tohoto škodlivého softwaru z více než 10 milionů počítačů zákazníků. Následné a nezávislé nástroje pro odstraňování nežádoucího softwaru byly vydány v březnu 2004 a květnu 2004, aby zjistily a odstranily viry Mydoom a Berbew. Společnost Microsoft obdržela kladné ohlasy od zákazníků, pro které byly tyto jednorázové nástroje cenné, ale řada zákazníků požadovala konzistentnější a předvídatelnější systém. Tyto ohlasy vedly k vytvoření nástroje pro odstraňování škodlivého softwaru MSRT v systému Windows (MSRT). Klíčové funkce vydání jsou následující: • Nástroj se vydává jednou za měsíc každé druhé úterý a obsahuje všechny aktualizace zabezpečení pro daný měsíc. V případě potřeby je nástroj vydaný mimořádně bez ohledu na tento plán, a to při hrozbách s vysokou prioritou. Až dosud společnost Microsoft vydala pouze jedinou mimořádnou aktualizaci nástroje. Došlo k tomu v dubnu 2005 v reakci na výskyt červa Zotob. Protože se očekávalo, že se šíření červa Zotob omezí pouze na konkrétní organizace používající systém Windows 2000, byla aktualizace distribuována pouze pomocí služby Stažení softwaru a na webu. • Všechna měsíční vydání nástroje jsou distribuovány současně službám Microsoft Update (MU), WU, AU, do služby Stažení softwaru a na web MSRT Web na adrese http://www.microsoft.com/security/malwareremove/default.mspx. • Každé vydání nástroje je kumulativní a obsahuje všechny hrozby přidané z předchozích verzí nástroje. 17

• Pokud nástroj získáte prostřednictvím služeb WU/MU/AU, spustí se každé vydání nástroje pouze jednou a poté se ukončí. Pokud je nalezen a odstraněn jakýkoli škodlivý software, informuje nástroj uživatele zprávou po dalším restartování. Pokud není nalezen žádný škodlivý software, nezobrazují se uživateli žádné zprávy ani uživatelské rozhraní. Uživatelé, kteří chtějí spustit nástroj častěji než jednou za měsíc, tedy na vyžádání, si mohou stáhnout kopii ze služby Stažení softwaru na adrese http://www.microsoft.com/malwareremove. • Ve výchozím nastavení nástroj vyhledává pouze malware, který je aktuálně spuštěný nebo propojený prostřednictvím bodu automatického spuštění, například v registru. Nástroj byl takto vytvořen, aby se minimalizoval čas spuštění, zvláště při stahování pomocí služby WU/AU. • Nástroj je vybaven tak, aby bylo jeho nasazení snadné a zvládli je podnikoví zákazníci. Scénáře se specifickým cílem zahrnují distribuci prostřednictvím serveru System Management Server (SMS) společnosti Microsoft nebo podobného systému pro správu aplikací a také spuštění nástroje při každém přihlášení k systému nebo spuštění. Správci, kteří nástroj zavádějí do jednoho z těchto scénářů, mohou využít kódy stavu vrácené nástrojem (uvedené v článku KB891716) pro sledování jeho rozbalení a stavu. Nástroj je také k dispozici pro nasazení pomocí služby Windows Server Update Services (WSUS). Velikost nástroje je zachována co nejmenší, aby se vyšlo vstříc zákazníkům s omezenou přenosovou kapacitou. V červnu 2005 začal nástroj využívat aktualizace delta prostřednictvím služeb WU/MU/AU. V tomto scénáři se uživatelům, kteří spouštějí poslední verzi nástroje, nabídne menší aktualizace (v podstatě rozdíl mezi tím, co již má uživatel ve svém systému nainstalováno, a nejnovější verzí). V současné době využívá tyto menší aktualizace přibližně 80 % uživatelů služeb WU/MU/AU, což ve výsledku znamená průměrnou úsporu jeden megabajt (MB) na uživatele a přibližně 80 terabajtů (TB) ušetřených dat na jedno vydání.

18