恶意win7

MatthewBraverman项目经理Microsoft反恶意软件小组取得的进展和观察到的趋势Microsoft反恶意软件小组编写的白皮书MSRTWindowsMaliciousSoftwareRemovalTool2致谢我们要感谢下列人员对本文的贡献:MikeChan、BrendanFoley、JasonGarms、RobertHensing、ZivMador、MadyMarinescu、MichaelMitchell、AdamOverton、MattThomlinson和JeffWilliams3本文档所包含的信息代表了MicrosoftCorporation截至发布日期对所讨论问题的观点.
由于Microsoft必须根据市场条件的变化做出反应,所以这并不能解释为Microsoft方面的承诺,并且Microsoft无法保证在发布日期之后所出现信息的准确性.
本白皮书仅以提供信息为目的.
Microsoft不对本文档中的信息作明确、暗示或法定的担保.
遵守所有适用的版权法是用户的责任.
在不限制版权许可的权利的情况下,没有得到MicrosoftCorporation明确书面许可,本文档的任何部分不可被复制、存储或引进检索系统,或者以任何形式、任何方式(电子、机械、复印、录音或其他)或为任何目的进行传播.

本文档可能涉及MicrosoftCorporation的专利、正在申请的专利、商标、版权或其他知识产权.
除非得到MicrosoftCorporation的明确书面许可协议,本文档不授予使用这些专利、商标、版权或其他知识产权的任何许可证.

版权所有2006MicrosoftCorporation.
保留所有权利.
Microsoft、ActiveX、Excel、MSN、Windows、WindowsServer、WindowsLive和WindowsVista是MicrosoftCorporation在美国和/或其他国家(地区)的注册商标或商标.
4Windows恶意软件删除工具:取得的进展和观察到的趋势摘要在过去几年中,Microsoft投入大量资金研究恶意软件和开发能够帮助客户降低恶意软件带来的安全风险的技术.
作为这项投资的一部分,Microsoft组建了一个专门的反恶意软件小组,负责研究恶意软件、间谍软件和其他可能有害的软件,同时还负责发布和维护Windows恶意软件删除工具(MSRT)和WindowsDefender.
该小组还为MicrosoftWindowsLiveOneCare、WindowsLiveSafetyCenterBeta、MicrosoftAntigen以及即将发布的MicrosoftForefrontClientSecurity等产品提供核心反恶意软件技术(包括扫描引擎和恶意软件定义更新).
2005年1月13日,Microsoft以24种语言向MicrosoftWindows2000、WindowsXP和MicrosoftWindowsServer2003计算机用户提供MSRT的第一个版本.
此工具旨在帮助识别并删除客户计算机中的流行恶意软件,而且向获得许可的Windows用户免费提供.
截止到编写本报告时为止,Microsoft已经发布了此工具的15个附加增强版本,并且在每月的第二个星期二继续发布新版本,每个新版本都会增加可检测并删除的新流行恶意软件.
自第一次发布MSRT以来,此工具已经由至少2.
7亿台计算机执行了大约27亿次.
本报告根据MSRT1收集的数据提供对恶意软件现状的深刻见解,并重点介绍MSRT在减少恶意软件对Windows用户造成的影响方面所取得的成绩.
根据这些数据得出的主要观点总结如下,将在本文的正文部分详细讨论.

在过去15个月中,MSRT已经从570万台Windows计算机中删除了1600万个恶意软件实例.
平均起来,此工具在运行它的计算机中每311台计算机至少删除一个恶意软件实例.
在MSRT从2005年1月到2006年2月所查找的61个恶意软件系列中,41个系列自添加到此工具以后被检测到的频率减少,其中21系列的降幅达75%以上.
后门特洛伊木马(BackdoorTrojan)使攻击者能够控制被感染的计算机并窃取机密信息,对Windows用户是切实存在的重大威胁.
MSRT已经从大约350万台计算机中每台至少删除了一个后门特洛伊木马.
因此,在此工具从中删除了恶意软件的570万台计算机中,62%的计算机存在后门特洛伊木马.
自动程序(Bot)是通过Internet中继聊天(IRC)网络传播的一种后门特洛伊木马,在删除数量中占大多数.
Rootkit为了隐藏或保护某些其他可能为恶意的组件而进行系统更改,是新出现的潜在威胁,但尚未大范围发作.
在此工具从中删除了恶意软件的570万台计算机中,14%的计算机存在rootkit;如果排除在某些Sony音乐CD上分布的WinNT/F4IRootkit,这个数字会下降到9%.
在发现rootkit的计算机中,20%的计算机同时至少发现一个后门特洛伊木马.
社会工程攻击也是恶意软件感染的主要来源.
在此工具清理的计算机中,通过电子邮件、对等网络和即时消息客户端传播的蠕虫占35%.
恶意软件问题似乎天生具有迁移性.
在每次发布的MSRT清理的计算机中,大多数是此工具从未从中删除恶意软件的计算机.
在2006年3月的MRST版本从中删除了恶意软件的计算机中,此工具的较早版本先前从中删除恶意软件的计算机大约为15万台,占全部清理计算机的20%.
MSRT概述Windows恶意软件删除工具(MSRT)旨在帮助识别并删除用户计算机中的流行恶意软件,而且并且向Windows授权用户免费提供.
MSRT的主要发布机制是通过WindowsUpdate(WU)/MicrosoftUpdate(WU)/自动更新(AU).
此工具的各种版本还可从Microsoft下载中心下载或作为MicrosoftActiveX控件从http://www.
microsoft.
com/malwareremove网站下载.
此工具的当前版本能够检测并删除61个不同的恶意软件系列.
MSRTWindowsMaliciousSoftwareRemovalTool5Microsoft发布和维护MSRT主要有两个目的:1.
降低流行恶意软件对Windows用户的影响.
2.
使用由MSRT收集的数据总结关于实际影响当今Windows客户的恶意软件的一组可靠趋势.
Microsoft反恶意软件小组一直在使用这些数据来集中开发工作并尽可能缩短对恶意软件提交作出响应所需的时间.
另外,通过此类报告,其他安全性研究人员可以使用这些数据来加深他们对恶意软件现状的理解并合力降低恶意软件对Windows用户的影响.
此工具不针对间谍软件和可能有害软件.
Windows用户应该下载并安装最新的反间谍软件应用程序来从他们的计算机中检测并删除间谍软件以及可能有害软件.
http://www.
microsoft.
com/windowsdefender向正版Windows用户免费提供Microsoft的反间谍软件解决方案WindowsDefender(在编写本报告时尚为试用版).
由于MSRT没有实时保护功能并且仅使用部分Microsoft反病毒签名数据库而使它能够查找并删除流行恶意软件,MSRT不能替代最新的反病毒解决方案.
然而,我们仍建议安装了最新反病毒软件的用户同时运行此工具作为一项纵深防御措施.

这些用户也可从MSRT间接受益,因为被感染的用户会对共享资源(如Internet或局域网)造成有害影响.
我们极力建议Windows用户安装并维护可提供实时保护功能以及完整反病毒签名数据库的最新反病毒解决方案.
MicrosoftWindowsLiveOneCare像http://www.
microsoft.
com/security/partners/antivirus.
asp上列出的Microsoft反病毒合作伙伴提供的其他产品一样可以满足这些要求.
报告背景本报告提供一些数据和观点,描述Microsoft在过去15个月中如何通过发布MSRT朝着其发布目标前进:减少影响用户的流行恶意软件的数量并获得宝贵数据,可用作Windows恶意软件当前状况的重要指南.
将来还会发布详述Microsoft对恶意软件现状的理解的其他报告,并且会更频繁地发布,同时会包含除MSRT之外的其他来源的数据.
本报告包含截至2006年3月发布的MSRT收集的数据.
虽然自此报告发布之后又提供了更新的MSRT版本,但是必须将数据截止到一个较早的时间点以便进行处理、验证和分析.
有关MSRT收集的数据的说明,请参阅本文档的附录.
在本报告中使用的数据是通过测量客户计算机上MSRT报告的感染得出的.
如今,有许多其他技术可用来测量恶意软件的流行程度.
一些测量向网络发出请求,另一些测量按威胁跟踪发送的邮件数.
然而,类似这样的技术只能监视被感染的计算机散布的威胁份数,不能监视被感染的计算机数,因为一个感染可生成许多份.
因此,跟踪特定的感染是确定恶意软件感染流行程度的最准确的方法.
对于MSRT,当考虑相当大的执行次数时,数据的相关性就会变得异常重要.
虽然MSRT用户的配置文件各不相同,但是由于发布机制的缘故,大多数用户可能为家庭用户或小企业.
因此,本报告中的大部分数据反映了这一群体的情况.
然而,整个报告提供的趋势和指导适用于所有Windows用户.
6本文将引用下列恶意软件相关术语:系列–一组恶意软件的类似变种.
例如,Win32/Rbot就是一个恶意软件系列,它包含几千个类似但不相同的变种.
变种–一小段特定的恶意软件.
例如,Win32/Rbot.
A就是Win32/Rbot系列的一个变种.
实例或感染–在计算机上识别特定的恶意软件变种.
请注意,一个实例包含一个变种的所有组成部分(文件、注册表项等),每次从计算机中删除恶意软件变种时,均计为一个单独的实例.
例如,如果此工具从计算机中同时删除了Win32/Rbot.
A和Win32/Rbot.
B,这计为两个感染或实例.
如果在三个月后此工具再次从同一台计算机中删除Win32/Rbot.
A,则计为另一个感染.
版本统计信息WindowsMSRT的主要分发渠道是通过WU/MU/AU.
通过这种机制,MSRT每个月在全球成千上万台计算机上执行,从而提供强大的威胁数据源以供分析.
图1.
MSRT通过WU/AU/MU执行的次数图1说明对于从2005年1月到2006年3月的15个每月发布的版本,计算机执行MSRT的次数.
请注意,在此图中,图的X轴上作为类别列出的值是指MSRT的版本,而不是日历月份.
例如,MSRT的2006年2月版本是在2006年2月14日发布的,然后被2006年3月14日发布的2006年3月版本取代.
另外请注意,此图未列出查杀Zotob蠕虫的8月编外版本,因为它仅在Microsoft下载中心发布以及在http://www.
microsoft.
com/malwareremove上作为ActiveX控件发布,而不是通过WU/MU/AU发布.
如图1所示,除了少数几个例外,每个版本的MSRT执行次数都有所增加.
特别明显的是此工具的第一个版本和最新版本之间的执行次数差异.
从第一个版本到最新版本,计算机执行次数增加了一倍多(从大约1.
25亿增加到2.
70亿).
这种差异是由于Windows用户使用WU和AU增多引起的,而使用WU和AU增多很可能又是Microsoft的WindowsXPServicePack2等计划(建议启用AU)和"保护您的PC"计划的结果,另外部分原因是与OEM供应商的伙伴关系而使他们提供预装WindowsXPSP2的新计算机.
将每个版本的执行次数相加得出MSRT通过WU/AU/MU执行的次数:自发布之日起,大约27亿次.
考虑到当前定期访问WU/AU的计算机的增加趋势和目前巨大数量,执行次数同样鼓舞人心.
这些Microsoft更新机制的增加和及时使用有助于降低威胁对客户的影响.
7目标恶意软件详细信息每个月,Microsoft反恶意软件小组的成员都研究新流行恶意软件威胁并将它们添加到MSRT的下一个版本.
我们的小组选择添加到MRST的新威胁的标准基于以下三个要素:威胁必须有流行的迹象.
威胁必须是恶意的或能够引起恶意情况.
威胁在MSRT执行时有可能主动运行.
对添加到MSRT的新恶意软件的第一项关键要求是威胁有流行的迹象.
为了发现新的侯选威胁并确定流行程度,该小组使用一组内部和外部标准.
关键内部标准包括由WindowsLiveSafetyCenterBeta(http://safety.
live.
com)和WindowsLiveOneCare收集的数据.
这两个软件都扫描计算机以查找Microsoft已知的全部恶意软件威胁.
使用的关键外部标准是WildList(http://www.
wildlist.
org),它是流行恶意软件的实际反病毒业界标准列表以及大多数反病毒产品认证(如ICSA反病毒认证和西海岸实验室的认证标志,WindowsLiveOneCare最近获得这两项认证)的基础.
对添加到此工具的项目的第二项要求是它们应为恶意软件(例如,病毒、蠕虫、特洛伊木马、自动程序或rootkit).
在大多数情况下,这是指复制代码、导致明显损害的代码或损害受影响的系统的代码或其他安全风险.
此工具不针对间谍软件和可能有害软件.
第三项要求是恶意软件有可能在计算机上主动运行.
这项要求是此工具通过WU/MU/AU运行的方式产生的.
由于在大多数情况下此工具每月运行一次,查找主动运行的和处于自动启动位置的恶意软件,然后退出而没有任何驻留组件.
只有恶意软件在当时正在运行或链接到自动启动位置时,此工具才有效.
因此,此工具不针对数据文件感染威胁之类的威胁,包括MicrosoftWord和MicrosoftExcel宏病毒.
选择要添加到此工具的新恶意软件系列之后,该系列的所有变种也会同时包括在该版本中.
该系列的任何新变种都会添加到此工具的每个未来版本中.

图2.
MSRT检测并删除的恶意软件系列图2按字母排序列出MSRT能够检测的61个恶意软件系列,截至2006年3月版本,分为非互斥的七个类别.
虽然根据功能、复制媒介等有许多不同的方式将恶意软件分类,图中所示的七个类别(电子邮件蠕虫、对等(P2P)蠕虫、即时消息(IM)蠕虫、漏洞利用蠕虫、后门特洛伊木马、rootkit和病毒)提供一个有用的高级分类系统,本文档后面部分将会使用.
上述某些系列中每天都会有新的恶意软件变种出现,因此这些分类在本文发表之后可能会有变化.
请注意,在此图中,漏洞利用蠕虫定义为威胁,因为它至少利用一个允许在没有用户操作的情况下执行代码的软件漏洞.
此类别不包括利用需要用户操作(例如,查看电子邮件或浏览网站)的漏洞的恶意软件.
8对于要与某类别相关联的恶意软件系列,在默认情况下所有已知变种均必须出现与该类别相关联的行为.
例如,Bagle系列只有一个变种(Bagle.
O)可归类为病毒,因为它感染可执行文件.
因此,没有将Bagle系列称为病毒.
另一个例子,Rbot系列的很多变种都能够利用软件漏洞.
然而,因为在大多数情况下都需要自动程序所有者手动干预来引发这种形式的复制,所以没有将Rbot归类为漏洞利用蠕虫.
如上所示,图2中少数几个系列不能归类为这七个类别中的任一个系列.

请注意,除了上面列出的系列之外,MSRT还能够检测少量的特定恶意软件变种.
这些变种不归入上述系列并,但由此工具检测以提供端对端病毒删除体验.
MSRT删除的恶意软件本文档的余下部分将提供有关在过去15月中MSRT删除的恶意软件的详细信息,包括从中删除了恶意软件的计算机的高级特性(例如,操作系统版本和区域设置).
概述本文将首先说明MSRT执行的删除次数.
图3.
每个MSRT版本删除的恶意软件数和清理的计算机数图3通过图中的三个数据系列提供下列信息:删除的恶意软件数:从2005年1月到2006年3月,MSRT的每个版本删除的恶意软件数.
历经所有版本,此工具已经删除了1600万个恶意软件实例.
清理的计算机数:从2005年6月到2006年3月,MSRT的每个版本清理的计算机数.
每个版本清理的计算机数始终少于同一版本删除的恶意软件实例数(可能从一台计算机中删除多个感染).
另请注意,此数据系列从2005年6月开始,因为这是此工具开始测量此标准的第一个版本.
从2005年6月到2006年3月,此工具已经从570万台计算机中每台至少删除一个恶意软件实例.
自此工具第一次发布以来清理的计算机总数大于此数字,但是不知道是多少,因为没有获得有关此测量在2005年6月之前的数据.
新计算机数:在每个版本清理的计算机总数中,此工具的每个版本从中删除了恶意软件的新计算机数.
这里,"新"表示此工具从未从中删除恶意软件的计算机,包括MSRT的所有先前版本.
对于每个版本,此值永远不会大于清理的计算机总数.
因为此数字与清理的计算机数相关联,可测量的第一个版本是2005年7月版本.
请注意,如果用户在其计算机上重新安装操作系统,此系统对于我们的数据是"新"系统.
对于本报告,这种情况导致的偏差很小,因此忽略不计.

9观察图3中显示的数据可得出以下结论:删除的恶意软件数和清理的计算机数增加是由于MSRT的执行次数增加(如图1所示)以及此工具针对的流行恶意软件系列和变种数增加.
特别是自2005年11月以来的新版本查杀的病毒数显著增加.
这些增加都归功于此工具中加入了一个或一套特定流行恶意软件系列.
因为有些系列在过去已经发现并且不能确定用户何时第一次感染,所以不能精确地将此数据解读为恶意软件数量的增加.
2005年11月:Win32/Mabutu、Win32/Codbot和Win32/Bugbear的组合2005年12月:WinNT/F4IRootkit2006年1月:Win32/Parite2006年2月:Win32/Alcan结合图1和图3所示的数据,我们可以确定在MSRT的最新2006年3月版本中,受感染的计算机与此工具的执行次数的比率是0.
28%.
也就是说,此工具在运行它的计算机中大约每335台计算机至少删除一个恶意软件.
从2005年6月到2006年3月的所有版本的平均比率大致差不多,为0.
32%,即大约每311台计算机至少删除一个恶意软件.
在所有可测量版本之间,此感染比率保持相对恒定,2005年8月版本较高,为0.
4%;2005年9月版本较低,为0.
24%.
对于每个版本,此工具从中删除恶意软件的绝大多数计算机都是此工具第一次删除恶意软件的计算机.
相反,对于每个版本,此工具从先前从中删除恶意软件的计算机中删除的恶意软件相对较少.
例如,在此工具的2006年3月版本中,此工具清理的75万台计算机中大约有60万台(80%)是新系统.
只有20%的计算机是此工具的先前版本从中删除恶意软件的计算机.
这些删除数量表示同一台计算机感染不同的恶意软件变种或系列以及再次感染同一恶意软件变种(可能由于没有为计算机打补丁或有效的社会工程).
每台计算机的删除恶意软件数要检查的另一个有趣标准是从每台计算机中删除的恶意软件变种数.
在大多数情况下,此工具从一台计算机中只删除一个恶意软件变种.
然而,某些情况下,此工具会从计算机中删除数十个甚至数百个恶意软件.

图4.
每台计算机的删除恶意软件变种数图4显示计算机上此工具所有执行删除的恶意软件变种数以及相应的计算机数.
例如,如果此工具从某计算机中删除了同一个恶意软件变种两次,在图4中仅计一次.
通过使用图4中的数据,我们可以确定每台计算机删除的恶意软件变种平均数量为1.
59.
也就是说,此工具更有可能从每台计算机中删除多个恶意软件变种,而不是只删除一个变种.
如果删除数量很大,计算机通常感染了许多自动程序变种,很有可能是用户感染了一个自动程序,然后该自动程序的所有者使用这第一个后门恶意软件在该计算机上安装其他自动程序.
Win32/Antinny是一个对等蠕虫,它几乎是专门影响日语计算机,它也是会使每台计算机大量感染的一种威胁.
原因是Antinny使用多种社会工程诡计来吸引用户下载并运行该蠕虫.
因此,一个用户可能只执行了该蠕虫一次,但其计算机却感染了很多次.
10删除的恶意软件详细信息本节更详细地说明前面几节中提供的数据与MSRT能够检测并删除的61个恶意软件系列有何关系.
图5.
按恶意软件系列列出的恶意软件/清理的计算机图5列出MSRT截至2006年3月版本能够检测的全部61个恶意软件系列以及下列信息:从2005年1月到2006年3月,从计算机中删除恶意软件系列的次数.
列表根据此值按降序排序.

从2005年6月到2006年3月,从中删除了恶意软件系列的计算机数.
第一次检测到恶意软件系列时MSRT的版本.
发现系列的第一个变种的月份和年份.
11关于图5中的数据一些有趣现象包括:Win32/Parite、Win32/Alcan和WinNT/F4IRootkit的删除次数居最高之列,尽管对这些系列的检测只是在最后五个版本中添加到此工具.
Parite是一种文件感染型病毒,它特别有趣,在2001年首次出现,至今仍然流行.
这可能是因为从计算机中彻底清除Parite相当困难并且它是侵略型文件感染例程.
事实上,删除数量与系列首次发现时间或对它的检测首次加入工具的时间没有明显的关联.
自动程序(Rbot、Sdbot和Gaobot)在删除总数前五名中占三个.
这三个恶意软件系列的流行程度进一步证实了摘要中有关后门特洛伊木马盛行的论点.
Win32/Antinny排在第12位,通过日文文件共享网络传播.
该蠕虫几乎只能在日语系统中发现,但是经过仅仅六个版本的检查之后仍然排在前列,这说明它在日本相当流行并证明对特定地区/语言的威胁.

Win32/Alcan是一种通过对等网络复制的鲜为人知的蠕虫,仅仅在2006年2月加入此工具以后就已经成为删除次数最多的恶意软件之一.
该蠕虫的流行可能是由于它利用的很多相当有效的社会工程技巧,包括在运行之后伪装成在安装期间出现错误的应用程序.
Win32/Zotob利用Microsoft安全公告MS05-039解决的漏洞,只从6132台计算机中删除过,从而成为列出的所有漏洞利用蠕虫中最不流行的蠕虫.
这在漏洞只影响Windows2000计算机的情况下才有意义.
具有讽刺意味的是,利用同一漏洞的Win32/Esbot排在第30位,清理的计算机是Win32/Zotob的10倍,但引起的关注却少得多.
Win32/Msblast排在第10位,仍然是删除次数最多的漏洞利用蠕虫.
同样,虽然HackerDefenderrootkit系列作为"著名的"rootkit系列通常最引人关注,实际上它是此工具所查找的最不流行的rootkit之一.
WinNT/FURootkit是此工具清除最多的rootkit,并且常常用来隐藏安装在计算机上的后门特洛伊木马的存在.
图6.
按恶意软件类型列出的清理计算机图6将图5中显示的数据与图2中建立的恶意软件分类相结合.
在清理的570万台计算机中,MSRT从其中的350万台(62%)中删除了后门特洛伊木马.
最近几次著名的事件说明,攻击者通过建立感染计算机网络并将其作为垃圾邮件、间谍软件和拒绝服务(DoS)攻击的中转站和分发点销售,因而频繁地使用这些后门特洛伊木马获利.
除了使用最新的反病毒解决方案外,客户应利用双向防火墙来帮助阻止信息泄露以及远程监视/控制这些威胁的发展.
与后门特洛伊木马相比,发现rootkit的计算机数要少得多:大约78万台.
然而,如果忽略对WinNT/F4IRootkit的检测,这个数字将降到53万左右.
特别指出这种情况的原因是:虽然恶意软件随后利用rootkit在计算机上隐藏自身,但是Sony没有将其作为恶意软件包发布,而是作为反盗版功能,并因此具有零星散发特性而不是病毒散发特性.
毫无疑问,与本报告中讨论的其他恶意软件类别一样,此处提供的数据仅与此工具能够检测的恶意软件系列有关.
虽然还存在一些由于不是很流行而此工具未检测的已知rootkit以及此工具不检测的未知rootkit,来自Microsoft其他产品(如WindowsLiveOneCare和WindowsLiveSafetyCenterBeta)的客户反馈和数据表明MSRT已经锁定的五个rootkit系列代表目前影响大量用户的rootkit的重要部分.
12对付rootkit最有效的方法是预防.
建议客户使其病毒签名保持最新,以便软件的实时保护机制能够检测并阻止rootkit而使它无法在计算机上安装,并且尽量不要以管理员的身份运行计算机.
对于大多数rootkit,以标准用户身份运行的用户将无法在其计算机上安装.
Microsoft的下一代操作系统MicrosoftWindowsVista也提供几个功能帮助阻止rootkit损害操作系统的关键内部结构.
在无法预防并且计算机已经感染rootkit的情况下,客户应使用可检测并删除rootkit的反病毒产品或删除工具.
这种情况下,用户(特别是公司用户)应权衡执行额外步骤解决此问题的得失.

在社会工程威胁方面,电子邮件是最常见的方法,清理的计算机中大约20%至少感染了一种能够通过电子邮件传播的威胁.
虽然MSRT能够检测并删除三种最常见的即时消息蠕虫(Win32/Bropia、Win32/Kelvir和Win32/Mytob),但是这三种威胁在相当少的计算机上发现:不到25万台.
与这个数字相比,清除了通过P2P网络传播的Win32/Alcan和Win32/Antinny的计算机为45万台左右.
通过P2P网络传播的恶意软件能够检测计算机上是否安装有流行的P2P应用程序.
如果有,他们通常会在P2P应用程序用来在网络上共享文件的目录中使用诱人的名称复制自身.
通过这种方法,蠕虫就会在P2P网络中共享.
除了最新的反病毒软件之外,对付此类社会工程威胁的最好的技巧是培训用户以及通过以非管理员的身份运行来限制执行威胁所造成的影响.
即时消息威胁一直无法像P2P威胁那样在大量用户中间广泛传播的原因之一是:即时消息程序从开始就具有防止用户防止感染恶意软件的功能.
例如,MSNMessenger7禁止用户发送某些可执行文件类型的文件和点击即时消息中需要用户同意的链接.
此类保护尚未集成到P2P客户端程序中.
造成这种差异的另一个重要原因是:与更着重于消息传递的即时消息程序相比,作为交换文件机制的P2P应用程序更适合于传播恶意文件.
图7.
按类型列出的恶意软件感染相关性图7显示了在计算机上检测上述恶意软件类型之间的重叠.
在MSRT检测到电子邮件蠕虫所有计算机中,MSRT同时在0.
1%的计算机中检测到P2P蠕虫.
相反,在此工具检测到P2P蠕虫的计算机中,1.
9%的计算机同时检测到电子邮件蠕虫.
以上显示在rootkit和后门特洛伊木马之间的相关性最紧密.
在发现了rootkit的计算机中,20%的计算机同时至少发现一个后门特洛伊木马.
这强调后门特洛伊木马传播或利用大量的rootkit的趋势.
P2P蠕虫和后门特洛伊木马以及即时消息蠕虫和后门特洛伊木马同时发现的比例也很高.
如果很多P2P蠕虫和即时消息蠕虫在运行时经常在计算机上放置自动程序,数值也很高.
13恶意软件删除数变化跟踪此工具删除的恶意软件系列变化很有用,原因有二.
第一,使Microsoft能够监视特定恶意软件系列的活动及流行程度.
首次添加到版本后删除次数增加的系列通常表示变种发布活跃并且还在不断地复制.
跟踪删除次数变化很有用的另一个原因是:使Microsoft能够通过保证工具检测到的恶意软件系列的变种流行程度降低来监视MSRT的成功.
虽然还有其他因素可导致降低,但是MSRT已从计算机上删除了大量的恶意软件系列实例的事实说明该版本至少对流行程度的下降起到部分作用.

图8.
Win32/Rbot删除次数变化Microsoft使用映射至上述两种原因的两种标准来跟踪MSRT删除的恶意软件数量变化.
图8使用Win32/Rbot系列说明了这两种标准.
请注意,X轴对应于日历月份和年份.
使用此模型中的日期对于显示随时间的进展很重要.
假定用户能够运行旧版MSRT(虽然发行60天后会显示警告屏幕).
使用MSRT发布月会使此测量值有偏差.
系列变化(黑色虚线):从首次将某个系列的检测添加此工具起删除数的变化.
虽然这很好地显示删除数如何随时间变化,但是如果系列很活跃并且首次添加到此工具以后删除数很少,就会存在偏差.
该图形显示了从2005年4月到2006年3月Win32/Rbot系列的删除总数.
通过使用此数据,我们可计算出此系列在过去11个月中删除数大约增加了16%.
根据此信息和图5中的数据,我们可以得出结论:Rbot是非常活跃的流行系列.
请注意,在图形上,此数据系列代表其下方实线的总和.
平均版本变化(实线):添加到某个版本的一组特定变种从该组首次添加到此工具到此工具的最新版本的所有版本的平均删除数变化.
此标准不受活跃恶意软件系列产生的大量删除的影响,因而是确定此工具在减少系列实例方面取得的效果的较好方法.
在图中,实线表示随时间添加到特定版本的一组Win32/Rbot变种的删除数.
线越长,检测添加到此工具的时间就越长.
例如,最长的深蓝色线表示添加到此工具的第一组Rbot变种.
此处观察到的总体印象是,一组Rbot变种的检测添加到此工具时,这些变种的删除数最终降低.
如果我们计算每组变种随时间的删除数变化,然后对这些变化求平均值,我们就会发现自添加到MSRT以来,Rbot变种的删除数降低了大约79%.
14图9.
恶意软件删除数变化图9显示此工具检测到的大多数恶意软件系列以及上面讨论的删除数变化测量标准,按系列变化百分比升序排列.
请注意,添加到此工具的2006年3月版本的三个系列(Win32/Atak、Win32/Torvil和Win32/Zlob)不包括在此列表中,因为尚无法确定删除数变化.
另外,Win32/Bofra、Win32/Gibe、Win32/Opaserv、Win32/Badtrans和Win32/Zotob也被排除在外,因为还没有足够的删除数(至少1,000)来生成可靠的变化标准.
如图所示,不难发现绝大多数系列(53个中的41个)自添加到此工具以后流行程度都有所降低,其中41个系列中的33个降幅超过50%,41个系列中的21个降幅超过75%.
总体流行程度增高的12个系列中,只有3个系列(Win32/Gael、Win32/Lovgate和Win32/Wukill)在添加到此工具以后每组变种平均值持续增长.
其余9个系列(包括图8中所示的Win32/Rbot)的每个版本删除数均降低.
此数据的其他要点包括:随某些Sony音乐CD传播的First4Internetrootkit(WinNT/F4IRootkit)的删除数自2005年12月首次添加到此工具以来急速下降.
这可能表明此问题引起媒体关注之后,很少用户从受感染的CD安装/重新安装该软件.
Mywife删除数的急速增长的原因是在此工具中包括Win32/Mywife.
E.
Mywife.
E在2006年1月末出现,新闻媒体也称之为CME-24和KamaSutra蠕虫.
该蠕虫主要通过电子邮件传播并且能够在每个日历月的第三天损坏关键数据文件.
在这种情况下,删除数从2006年1月的700左右急剧增加到2006年2月的92,000左右.
Win32/Rbot删除数的增加是由于该恶意软件系列的大量变种添加到MSRT的每个版本中.
平均每月大约有2000个Win32/Rbot新变种添加到此工具.
Win32/Hackdef和Win32/Ryknos等系列的删除数增加是由于初始删除数低,初始删除数低又是由于此工具最初检测到的变种数低.
例如,MSRT的2005年4月版本能够检测Win32/Hackdef系列的78个不同变种.
在2006年3月版本中,变种数急剧上升到439,增幅超过400%.
同样,删除数在此期间从大约3000增长到30,000.
因此,虽然Hackdef的删除数与其他恶意软件系列相比仍然相对较低,但是自从对它们的检测添加到此工具以来,它们显著增长.
如图9所示,这些趋势可从此系列的变化中明显看出.
虽然删除数大量增长(842%),但是此数字是由于该系列的删除数的起始数字很而加剧.
该系列的每个版本删除数平均下降31%.
15操作系统信息通过使用MSRT收集的数据信息,Microsoft能够确定支持的Windows版本中检测到的威胁的流行程度.
图10从各个角度显示2006年3月版本在这些操作系统中检测到的恶意软件流行程度.
前两个饼图反映此工具的2006年3月版本检测到的所有恶意软件.
在标签为"总计"的图中,可以发现大多数删除来自WindowsXPSP2,其中WindowsXP占此工具执行的全部删除的89%.
这种来自WindowsXPSP2计算机的大量病毒清除是正常的,因为此工具的大多数执行都是在WindowsXPSP2计算机上进行的.
因此,要切实了解在某些操作系统上哪种恶意软件更常见,可以"归一化"第一幅图中的数据.
在这种情况下,归一化意味着调整操作系统中病毒清除百分比,将工具在该操作系统上的执行次数考虑在内.
也就是说,要减少操作系统大量执行产生的病毒清除百分比偏差,将特定操作系统的病毒清除数除以该操作系统的相对执行百分比.
因此,与执行百分比小的操作系统相比,执行百分比较大的那些操作系统的删除数增幅较小.

本例中所用的特定数学公式如下:归一化删除数(操作系统)=删除数(操作系统)/执行百分比(操作系统)图10.
按操作系统列出的2006年3月版本清理的计算机数16将此公式应用于2006年3月版本的删除和执行百分比生成图10右上角的图形.
该图形显示百分比发生明显变化,WindowsXPSP2的归一化删除数降低到仅3%,WindowsXPGold和SP1的删除数占63%.
此举对于技术领域和社会领域意义重大.
对于前者,WindowsXPSP2包含许多对在旧版WindowsXP中没有发现的漏洞的安全性增强功能和补丁,令恶意软件更加难以入侵.
对于后者,还未升级到最新服务包的用户将可能更易于遭受社会工程攻击.
对于Windows2000和WindowsServer2003也是如此,相对于旧版操作系统而言,这些操作系统的最新版服务包的归一化删除数最低.

两个主图下面的六个图形显示图2所示相同类别的归一化删除数降低.
总而言之,考虑所有删除数时,这些图形的结果类似于归一化结果.
实际上,操作系统的顺序在所有情况下均相同.
具体看WindowsXPSP2,我们会发现此操作系统的删除数的最高百分比均来自通过电子邮件、即时消息和对等网络传播的威胁.
这种排列是正常的,因为这些威胁与漏洞利用蠕虫相反,使用社会工程攻击来感染计算机,而这种方法可能会威胁所有操作系统.

区域设置信息图11.
按区域设置列出的2006年3月版本清理的计算机图11显示MSRT的2006年3月版本按操作系统区域设置列出清理计算机细分.
请注意,区域设置无需指明地理位置.
例如,英语(美国)在全球其他国家/地区非常流行.
图11的左侧图表显示,大多数清理计算机均使用英文操作系统.
然而,与上述WindowsXPSP2的情况类似,此信息具有少许欺骗性,因为运行此工具的大多数计算机都安装英文操作系统.
因此,类似于操作系统版本,清理的计算机可以按区域设置的执行百分比进行归一化.
计算方式类似于对操作系统版本执行的计算,使用"执行百分比(区域设置)"取代"执行百分比(操作系统)".
此计算结果显示在图11的右边并产生有趣的结果.
这里,归一化过程将删除数相当公平地划分到大多数区域设置中.
换言之,当考虑工具删除的所有恶意软件并归一化数值时,该恶意软件的删除数分布在所有Windows区域设置中,包括英语.
如图所示,土耳其语区域设置是一个例外,归一化后占清理计算机的20.
2%.
进一步研究该数据可发现,此模式在所有恶意软件系列中都是类似的.
虽然Microsoft反恶意软件小组不断努力研究此数据,但土耳其语计算机的归一化删除数百分比高的原因至今仍不明确.
17结论回顾过去的15个月,对于Microsoft反恶意软件小组和我们的内部公司合作伙伴来说十分令人振奋,我们发布了Windows恶意软件删除工具、WindowsDefenderBeta、WindowsLiveOneCareBeta和WindowsLiveSafetyCenterBeta.
接下来的15个月必定同样令人振奋,我们计划推出上述产品的完整版,同时也推出MicrosoftForefrontClientSecurity,这是台式机、膝上型计算机和服务器操作系统的综合性恶意软件保护解决方案,易于管理和控制,另外还将继续发布MSRT.
这些产品的推出,将为Microsoft提供更充足的流行恶意软件的数据,类似于MSRT收集的数据.
收集此数据很重要,它不仅能促进Microsoft对威胁现状的理解,更会有效地应对这些威胁,提升Microsoft客户的总体计算经验.
例如,确定自动程序在MSRT检测到的恶意软件中占大多数,反恶意软件响应小组就能针对这些威胁开发出多种自动化分析和特征码生成方法.
这显著增加了特征码的产量,并且小组响应新出现的自动程序的能力也大大加强.

Microsoft相信,与合作伙伴和客户分享此信息意义重大,不仅是证明我们的工具和产品对威胁现状的影响,而且共享我们的知识.
本报告是共享此类信息的第一个重要范例;未来将会更加频繁地推介更多实例.
我们希望安全行业同行能够利用此数据来加深我们对恶意软件现状的共识,并合力降低恶意软件对Windows用户的影响.
附录MSRT背景在2003年末,Microsoft收购了GeCADSoftware(一家反病毒技术供应商),Microsoft的安全技术部门(STU)开始研究有关反病毒软件的工具和技术.
从此收购获益的第一个版本是Blaster蠕虫删除工具,是由STU反恶意软件小组于2004年1月推出的,旨在对Microsoft的Internet服务提供商(ISP)合作伙伴提供信息表示Blaster在当时仍然是一种威胁作出回应.
此工具可以删除当时Msblast和Nachi的所有已知变种,并通过WindowsUpdate部署到被感染的计算机.
通过WindowsUpdate(WU)/自动更新(AU)向可能已感染病毒的用户提供此工具,使Microsoft能够获得有关Msblast和Nachi在2004年流行程度的关键数据,并从1000多万台客户计算机中删除了这些恶意软件.
后来于2004年3月和5月推出两款独立的清除工具,分别检测并删除Mydoom和Berbew.
Microsoft收到客户的许多正面反馈,客户表示这种一次性清除工具很有价值,但也有许多客户要求更一致的可预测系统.

此反馈促成了Windows恶意软件删除工具(MSRT)的诞生.
此版本的主要特色如下所示:本工具每月发布一次,于每月的第二个星期二与当月的任何安全性更新一起发布.
如果需要,对于高优先级威胁,会编外发布此工具.
至今,Microsoft仅于2005年8月进行过一次工具的特别更新,为了应对Zotob蠕虫.
由于Zotob蠕虫的传播仅影响某些运行Windows2000的组织,因此更新仅通过Microsoft下载中心和网站提供.
此工具的所有每月版本同时发布于MicrosoftUpdate(MU)、WU、AU、Microsoft下载中心和MSRT网站http://www.
microsoft.
com/security/malwareremove/default.
mspx.
此工具的每个版本都是累积的,包括自以前版本工具以来增加的所有威胁.