Menü
Security

Erste Bilanz von Microsofts Malicious-Software Removal-Tool

Von
vorlesen Drucken Kommentare lesen 270 Beiträge

Microsoft hat am heutigen Montag eine erste Bilanz über die Entfernungsrate des Malicious-Software Removal-Tools (MSRT) herausgegeben. Das Werkzeug konnte in der Mai-2006-Ausgabe 61 Viren-, Würmer- und Trojaner-Familien erkennen und von der Platte putzen. Den Erfolg der Reinigung und weitere Daten meldet das MSRT bei erkanntem Rechnerbefall nach Redmond zurück.

Seit seinem Erscheinen am 13. Januar 2005 bis einschließlich März dieses Jahres wurde das Tool 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen 5,7 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert, die beispielsweise im Internet-Relay-Chat (IRC) auf die Anweisungen des Viren-Bastlers lauscht.

Auf den infizierten Rechnern fand das MSRT insgesamt 16 Millionen Schädlinge. Auf 14 Prozent der Computer war ein Rootkit vorhanden, ohne das Sony-BMG-Rootkit immerhin noch auf neun Prozent. Etwas mehr als ein Drittel der Rechner wurde Microsofts Erkenntnissen zufolge durch E-Mails, Instant Messages oder Peer-to-Peer-Netzwerke infiziert, also durch Social Engineering. Bei rund 80 Prozent der erfassten Malware-Fälle handelte es sich um eine Neuinfizierung des Rechners, auf etwa einem Fünftel der gesäuberten Computer hatte das MSRT zuvor schon einen Schädling ausgemacht.

Das MSRT, das Microsoft selbst nur als Ergänzung zu einem Virenscanner mit Hintergrundwächter sowie zu Anti-Spyware-Software sieht, meldet laut Report im Falle einer Rechnerinfektion nach Redmond:

  • den Namen des Schädlings,
  • das Ergebnis des Entfernungsversuchs,
  • das Betriebssystem sowie Service-Pack-Nummer,
  • die Sprache des Betriebssystems,
  • die Prozessorarchitektur,
  • die Versionsnummer des MSRT,
  • einen Indikator, von woher das Tool stammt (Windows Update, Webseite,...),
  • eine (anonyme) GUID, durch die der Rechner identifiziert werden kann, um Mehrfachinfektionen zu erkennen,
  • einen kryptographischen MD5-Fingerabdruck des Pfades und Dateinamens des Schädlings.

Laut Microsofts Bilanz lässt sich das Versenden der Daten durch einen Registry-Schlüssel abschalten. In einem Knowledgebase-Artikel erläutert das Unternehmen, dass hierzu unter dem Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT ein REG_DWORD mit dem Namen DontReportInfectionInformation angelegt und diesem der Wert 1 zugewiesen werden muss. (dmk)