Успехи и анализ тенденций



Скачать 213.51 Kb.
Pdf просмотр
страница1/3
Дата30.11.2016
Размер213.51 Kb.
Просмотров801
Скачиваний0
  1   2   3

Мэтью Брейверман (Matthew Braverman)
Менеджер программы
Служба корпорации Майкрософт по борьбе с вредоносными программами
Успехи и анализ тенденций
Технический документ службы корпорации Майкрософт
по борьбе с вредоносными программами
MSRT
Windows Malicious Software Removal Tool


Благодарности
Корпорация Майкрософт благодарит следующих людей за их участие в создании этого документа: Майк Чен (Mike Chan),
Брендан Фоли (Brendan Foley), Джейсон Гармс (Jason Garms), Роберт Хенсинг (Robert Hensing), Зив Мадор (Ziv Mador),
Мади Маринеску (Mady Marinescu), Майкл Митчелл (Michael Mitchell), Адам Овертон (Adam Overton), Мэтт Томлинсон (Matt Thomlinson) и Джефф Уильямс (Jeff Williams)


Сведения, содержащиеся в документе, отражают текущую позицию корпорации Майкрософт в отношении обсуждаемых вопросов на момент публикации. Поскольку корпорация Майкрософт должна реагировать на изменение рыночных условий, данный документ не должен рассматриваться как обязательство со стороны корпорации Майкрософт и корпорация Майкрософт не может гарантировать точность представленных сведений после даты публикации.
Настоящий документ носит исключительно информационный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ
ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ЗАКОНОДАТЕЛЬНЫХ, ОТНОСИТЕЛЬНО СВЕДЕНИЙ В ЭТОМ ДОКУМЕНТЕ.
Пользователь несет ответственность за соблюдение всех применимых в данном случае законов об авторском праве. В рамках, пре- дусмотренных законами об авторских правах, части настоящего документа не могут быть воспроизведены, сохранены, представлены в какой-либо системе хранения данных или переданы в какой бы то ни было форме, какими бы то ни было средствами (электронны- ми, механическими, фотокопировальными, записывающими или другими) в любых целях без специального письменного разрешения корпорации Майкрософт.
Корпорация Майкрософт может являться правообладателем патентов и заявок на получение патента, товарных знаков и объектов авторского права, которые имеют отношение к содержанию данного документа. Предоставление документа не означает передачи какой-либо лицензии на использование данных патентов, товарных знаков и объектов авторского права, за исключением использова- ния, явно оговоренного в лицензионном соглашении корпорации Майкрософт.
© Корпорация Майкрософт, 2006. Все права защищены.
Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live и Windows Vista являются охраняемыми товарными знаками кор- порации Майкрософт (Microsoft Corporation) в США и других странах.


Средство удаления вредоносных программ для Windows: успехи и анализ тенденций
Аннотация
За последние несколько лет корпорация Майкрософт приложила серьезные усилия для изучения вредоносных программ и разработки технологий, позволяющих снизить уровень их опасности. В рамках этих усилий корпорация Майкрософт создала специальную службу по борьбе с вредоносными программами, в сферу действия которой входит изучение вредоносных программ, программ-шпионов и других потенциально нежелательных программ, а также выпуск и обслуживание средства удаления вредоносных программ для системы Windows (MSRT) и Защитника Windows. Эта служба также разрабатывает основные технологии борьбы с вредоносными программами (включая модули сканирования и обновления определений вредоносных программ) для таких продуктов, как служба Microsoft® Windows Live™ OneCare, центр Windows Live Safety Center
Beta, службы Microsoft Antigen, а также выпуска Microsoft Client Security.
Корпорация Майкрософт выпустила первую версию средства MSRT 13 января 2005 года на 24 языках для компьютеров с системами Windows® 2000, Windows XP и Windows Server™ 2003. Средство предназначено для обнаружения и удаления наиболее распространенных вредоносных программ с компьютеров клиентов и предоставляется пользователям лицензионных систем Windows бесплатно. На момент написания этого документа корпорация Майкрософт выпустила
15 дополнительных усовершенствованных версий средства и продолжает выпускать новые версии во второй вторник каждого месяца, добавляя в них дополнительные определения распространенных вредоносных программ для обнаружения и удаления. С момента выпуска первой версии средства MSRT оно запускалось около 2,7 миллиарда раз более чем на
270 миллионах компьютеров.
В данном отчете представлены подробные сведения о вредоносных программах, основанные на данных, собранных средством
MSRT1, и отмечено влияние средства MSRT на снижение активности вредоносных программ на компьютерах под управлением системы Windows. Ключевые выводы, сделанные на основе этих сведений, приведены ниже. Подробнее они представлены далее в документе.
За последние 15 месяцев средство MSRT удалило 16 миллионов копий вредоносных программ с 5,7 миллиона
компьютеров под управлением системы Windows. В среднем это средство удаляет одну копию вредоносной
программы на каждых 311 компьютерах, на которых оно запускается.

Из 61 семейства вредоносных программ, удаленных средством MSRT с января 2005 г. по февраль 2006 г., для
41 частота обнаружения уменьшилась после добавления их в базу данных средства. При этом у 21 средства
наблюдалось снижение активности более чем на 75 %.

Программы-трояны, которые позволяют злоумышленнику захватывать контроль над зараженным компьютером
и похищать конфиденциальную информацию, — серьезная и ощутимая угроза для пользователей системы
Windows. Средство MSRT удалило одну или несколько программ-троянов примерно на 3,5 миллиона компьютеров.
Это значит, что программы-трояны присутствовали на 62 % из 5,7 миллиона компьютеров, на которых средство удаляло вредоносные программы. Большинство удаленных программ являлись программами-роботами, подвидом программ- троянов, которые обмениваются данными с помощью технологии IRC.

Программы типа Rootkit, которые изменяют параметры системы, чтобы скрыть присутствие других,
возможно, вредоносных компонентов, являются растущей потенциальной угрозой, но на данный момент не
очень распространены. Из 5,7 миллиона компьютеров, на которых средство удаляло вредоносные программы, они встречались в 14 % случаев. При этом если исключить программу WinNT/F4IRootkit, распространяемую с некоторыми музыкальными компакт-дисками фирмы Sony, этот показатель снижается до 9 %. В 20 % случаев при обнаружении на компьютере программы типа rootkit там же обнаруживалась и программа-троян.

Среди случаев заражения вредоносными программами серьезное место занимают атаки, основанные на
методах «социальной инженерии». Вирусы-черви, распространяемые по электронной почте, через одноранговые сети и клиенты для обмена мгновенными сообщениями, были удалены с 35 % компьютеров, на которых работало средство.

Проблема вредоносного программного обеспечения имеет мигрирующий характер. Большинство компьютеров, с которых каждая новая версия MSRT удаляет вредоносные программы, — это компьютеры, на которых они не были обнаружены ранее. При работе версии средства MSRT за март 2006 г. выяснилось, что из всех зараженных компьютеров лишь около 150 000 (20 % от всех компьютеров, на которых были обнаружены вредоносные программы) уже были заражены ранее.
Обзор MSRT
Средство удаления вредоносных программ (MSRT) предназначено для обнаружения и удаления наиболее распространенных вредоносных программ с компьютеров клиентов и предоставляется пользователям лицензионных систем Windows бесплатно. Средство MSRT распространяется главным образом через Центр обновления Windows (WU),
Центр обновления Майкрософт (MU) и при помощи функции автоматического обновления (AU). Более ранние версии средства теперь доступны для загрузки на веб-узле Центра загрузки Microsoft, а также в качестве элемента управления
Microsoft ActiveX® на веб-узле http://www.microsoft.com/malwareremove. Текущая версия средства способна обнаруживать и удалять 61 семейство различных вредоносных программ.
MSRT
Windows Malicious Software Removal Tool

5
Выпуская данное средство и осуществляя его поддержку, корпорация Майкрософт преследует две основных цели:
1. Снизить уровень влияния распространенных вредоносных программ на работу пользователей системы Windows.
2. Использовать данные, собранные средством MSRT, для получения достоверных сведений о вредоносных программах, которые на сегодняшний день являются серьезной помехой для пользователей системы Windows.
Эти данные использовались службой корпорации Майкрософт по борьбе с вредоносными программами, чтобы концентрировать усилия по разработке и уменьшить время, необходимое на устранение вредоносных программ.
Кроме того, подобные отчеты позволяют другим исследователям использовать содержащиеся в них сведения для более полного понимания ситуации с вредоносными программами, а также сконцентрироваться на достижении общей цели — снижения влияния вредоносных программ на работу пользователей системы Windows.
Данное средство не обнаруживает программы-шпионы и другие нежелательные программы. Чтобы обнаруживать и удалять с компьютера программы-шпионы и другие нежелательные программы, пользователям Windows необходимо загрузить и установить новейшие антишпионские приложения. Защитник Windows — антишпионское решение корпорации Майкрософт, на данный момент находящееся на стадии бета-версии. Пользователи подлинной лицензионной версии системы Windows могут загрузить его с веб-страницы http://www.microsoft.com/
windowsdefender.
Кроме того, средство MSRT не может заменить регулярно обновляемое антивирусное решение. Это связано с отсутствием у данного средства функции защиты в режиме реального времени, а также с тем, что оно использует лишь часть антивирусной базы данных сигнатур корпорации Майкрософт, которая позволяет ему обнаруживать распространенные вредоносные программы. Тем не менее, корпорация Майкрософт рекомендует пользователям, на компьютерах которых установлены новейшие антивирусные программы, также использовать средство MSRT в качестве дополнительной меры безопасности. Такие пользователи также получат косвенную пользу от средства
MSRT, поскольку вредоносные программы могут влиять на работу совместно используемых ресурсов, например
Интернета или локальной сети.
Пользователям Windows настоятельно рекомендуется установить и регулярно обновлять антивирусное решение, предоставляющее защиту в режиме реального времени и использующее полную версию базы данных сигнатур.
Служба Windows Live OneCare корпорации Майкрософт соответствует всем этим требованиям. Им также соответствуют и другие продукты, предлагаемые партнерами корпорации Майкрософт, занимающимися разработкой антивирусных программ. Полный список этих компаний можно найти на веб-узле http://www.microsoft.
com/security/partners/antivirus.asp.
Описание отчета
Данный отчет содержит данные и выводы, дающие представление о том, как корпорация Майкрософт, выпустив средство MSRT, за последние 15 месяцев добилась поставленных целей: сократить количество распространенных вредоносных программ, влияющих на работу компьютеров, и получить ценные сведения о текущем положении дел относительно вредоносных программ в системе Windows. В будущем дополнительные отчеты, содержащие детальное представление специалистов корпорации Майкрософт о ситуации относительно вредоносных программ, будут публиковаться чаще. Кроме того, в них будут включаться не только данные средства MSRT, но и данные из других источников.
В настоящем отчете содержатся данные, собранные всеми выпусками средства MSRT до марта 2006 г. включительно.
После публикации этого отчета уже выпущены новые версии средства MSRT, однако для проведения обработки, проверки и анализа данных необходимо было ограничить их количество более ранним периодом. Описание данных, собранных средством MSRT, находится в приложении к этому документу.
Данные, использованные в этом отчете, были получены в процессе анализа данных о заражении на компьютерах пользователей из отчетов средства MSRT. На сегодняшний день существует множество других способов определить степень распространения вредоносных программ. Например, можно подсчитывать число запросов к сети или отслеживать количество электронных писем, отправленных вредоносной программой. Тем не менее подобные способы дают представление только о числе копий угрозы, разосланных зараженным компьютером, а не о количестве зараженных компьютеров — одна вредоносная программа способна создать множество собственных копий. Поэтому лучшим способом определить уровень распространения вредоносных программ является отслеживание отдельных случаев заражения. В случае средства MSRT ценность таких данных особенно возрастает, так как оно предоставляет данные о точном количестве запусков программы.

6
Средство MSRT используется в различных условиях, но, в связи с особенностями распространения, большая часть пользователей средства — это пользователи домашних компьютеров или предприятия малого бизнеса. Поэтому большая часть данных этого отчета связана именно с этой группой пользователей. Тем не менее выявленные тенденции и составленные рекомендации применимы ко всем пользователям Windows.
В данном документе будут использоваться следующие термины, связанные с вредоносными программами.

Семейство — группа схожих вариантов вредоносного программного обеспечения. Например, Win32/Rbot — это семейство вредоносных программ, в которое входят тысячи похожих, но отличающихся друг от друга вариантов программы.

Вариант — отдельная вредоносная программа. Например, Win32/Rbot.A — это вариант вредоносной программы, входящий в семейство Win32/Rbot.

Экземпляр или случай заражения — отдельный вариант вредоносной программы на компьютере. Экземпляр содержит все компоненты варианта программы (файлы, разделы реестра и т. д.). Каждое удаление варианта вредоносной программы с компьютера засчитывается как отдельный экземпляр. Например, при одновременном удалении с компьютера вариантов Win32/Rbot.A и Win32/Rbot.B средство MSRT засчитывает удаление двух экземпляров или двух случаев заражения. Если через три месяца с того же компьютера будет вновь удален вариант Win32/Rbot.A, это тоже будет считаться отдельным случаем заражения.
Статистика выпуска
Средство MSRT для Windows в основном распространяется с помощью Центра обновления Windows (WU), Центра обновления Майкрософт (MU) и службы автоматического обновления (AU). Данный механизм распространения обеспечивает работу средства MSRT на сотнях миллионов компьютеров по всему миру каждый месяц и является мощным источником аналитических данных об угрозах.
Рис. 1. Запуск средства MSRT, распространявшегося службами WU, AU и MU
На рис. 1 показано число запусков каждого из выпусков средства MSRT с января 2005 г. по март
2006 г. с отдельных компьютеров. На этой иллюстрации значения, представленные на оси абсцисс, относятся к выпускам средства MSRT, а не к календарным месяцам.
Например, февральский выпуск средства за 2006 г. появился 14 февраля 2006 г., а затем был заменен мартовским выпуском, появившимся 14 марта 2006 г.
Кроме того, на этом рисунке не указаны сведения об экстренном августовском выпуске, связанном с вирусом-червем Zotob, поскольку он распространялся только в Центре загрузки Microsoft и в качестве элемента управления ActiveX на веб-узле http://www.microsoft.
com/malwareremove, но не распространялся с помощью служб WU, MU и AU.
Как показано на рисунке 1, количество запусков средства MSRT, за редким исключением, повышалось с каждым новым выпуском. Особенно впечатляет разница между количеством запусков первого выпуска и количеством запусков последнего.
В промежутке между этими выпусками число запусков каждого из выпусков возросло более чем в два раза — со 125 миллионов до 270 миллионов запусков с отдельных компьютеров. Эта разница связана с тем, что пользователи системы Windows стали активнее применять возможности служб WU и AU, что, в свою очередь, связано с действиями корпорации Майкрософт, например с выходом пакета обновления 2 (SP2) для системы
Windows XP, в котором рекомендовалось включить функцию автоматического обновления (AU), инициативой «Защитите свой компьютер» и заключением соглашений с производителями оборудования о выпуске новых компьютеров с предустановленной системой Windows XP с пакетом обновления 2 (SP2). Суммарное количество запусков всех выпусков средства MSRT через службы WU, AU и MU — примерно 2,7 миллиарда.
Положительным фактором является тенденция к повышению количества запусков. Количество компьютеров, получающих систематический доступ к службам WU и AU, также велико. Более частое и своевременное использование данных механизмов обновления корпорации Майкрософт поможет уменьшить степень влияния угроз на клиентов.

7
Сведения о вредоносных программах, обнаруживаемых средством
Каждый месяц служба корпорации Майкрософт по борьбе с вредоносными программами исследует новые распространенные угрозы и вносит их в базу данных следующей версии средства MSRT. Критерии отбора новых угроз, вносимых в базу средства MSRT, зависят от трех перечисленных ниже факторов.
• Угроза должна быть распространенной.
• Угроза должна быть вредоносной или способной создать вредоносную ситуацию.
• Угроза должна быть запущена в момент выполнения работы средством MSRT.
Первое важнейшее требование к добавляемым в базу средства MSRT вредоносным программам — это то, что они должны быть распространенными. Чтобы определять угрозы, которые нужно добавить в базу данных средства, и устанавливать их распространенность, сотрудники службы по борьбе с вредоносными программами используют несколько внутренних и внешних показателей. Основной внутренний показатель — это данные, собранные бета-версией центра Windows Live Safety Center (http://
safety.live.com) и службой Windows Live OneCare. Эти средства сканируют компьютеры для обнаружения всего спектра известных корпорации Майкрософт угроз вредоносных программ. Основной внешний показатель — это каталог WildList (http://www.wildlist.
org), неофициальный стандартный перечень вредоносных программ антивирусной индустрии. Он также является основой для большинства программ сертификации антивирусных продуктов, к примеру сертификационных программ ICSA Antivirus
Certification и West Coast Labs’ Check-Mark, сертификаты которых были недавно выданы службе Windows Live OneCare.
Второе требование к программам, добавляемым в базу средства MSRT, — это то, что они должны попадать в категорию вредоносного программного обеспечения (т. е. быть вирусами, вирусами-червями, программами-троянами, программами- роботами, программами типа rootkit и т. д.). В большинстве случаев это программы, распространяющие сами себя, наносящие явный ущерб системе, предназначенные для захвата системы или создающие прочие угрозы безопасности.
Данное средство не обнаруживает программы-шпионы и другие нежелательные программы.
Третье важнейшее требование — это то, что вредоносная программа должна быть запущена на компьютере. Это требование обусловлено тем, что средство запускается через службы WU, MU и AU. Поскольку в большинстве случаев средство запускается раз в месяц, ищет запущенные вредоносные программы, просматривает папки автозапуска, а затем завершает работу, не оставляя в памяти никаких компонентов, работа средства будет эффективной только в случае, если в момент проверки вредоносная программа запущена или находится в папке автозапуска. Таким образом, средство не обнаруживает такие угрозы, как угроза заражения массива данных, а также макро-вирусы приложений Word и Excel. Если новое семейство вредоносных программ вносится в базу средства, вместе с ним в новый выпуск средства будут внесены и все варианты этого семейства. В каждый последующий выпуск средства будут вноситься все новые варианты этого семейства.
Рис. 2. Семейства вредоносных программ, обнаруживаемые и удаляемые средством MSRT
На рис. 2 в алфавитном порядке перечислено
61 семейство вредоносных программ, которые обнаруживает средство MSRT
(версия за март 2006 года). Эти средства разделены на семь категорий, которые не являются взаимоисключающими.
Несмотря на то что вредоносные программы можно классифицировать по множеству признаков, таких как возможности, направление распространения и т. д., семь представленных на рисунке категорий
(вирусы-черви, распространяющиеся по электронной почте, одноранговой сети, в мгновенных сообщениях и предназначенные для использования уязвимости, а также программы-трояны, программы типа Rootkit и вирусы) представляют собой эффективную высокоуровневую классификацию, которая будет использоваться на протяжении всего документа. Поскольку ежедневно появляются новые варианты вредоносных программ, семейства которых перечислены выше, данная классификация может измениться уже на момент публикации данного документа.
На этом рисунке вирус-червь, использующий уязвимость, определяется как угроза,


использующая как минимум одну уязвимость программного обеспечения для выполнения кода без участия пользователя.
Вредоносные программы, нуждающиеся в действиях пользователя (например в просмотре сообщения электронной почты или навигации по веб-узлам) для использования уязвимости, не включаются в эту категорию.
Для отнесения семейства вредоносных программ к определенной категории все его известные варианты должны по умолчанию обладать поведением, характерным для этой категории. К примеру, только одна программа семейства Bagle может быть отнесена к категории вирусов (это Bagle.O), поскольку она заражает исполняемые файлы. Поэтому семейство
Bagle не относится к категории вирусов. Еще один пример: многие программы семейства Rbot способны использовать уязвимости в программном обеспечении. Однако они не относятся к категории червей, использующих уязвимости, поскольку запуск этого вида программы производится вручную ее владельцем. Как видно из рисунка, лишь небольшое количество семейств, перечисленных на рис. 2, не подпадают ни под одну из семи категорий.
Помимо перечисленных выше семейств, средство MSRT способно обнаружить лишь небольшое число вариантов вредоносных программ. Эти варианты являются производными от перечисленных выше семейств, и средство обнаруживает эти программы для обеспечения полного устранения угроз.
Вредоносные программы, удаленные средством MSRT
Далее речь пойдет о вредоносных программах, удаленных средством MSRT за последние 15 месяцев, включая высокоуровневые характеристики (например сведения о версиях системы и языковых настройках) компьютеров, с которых вредоносные программы были удалены.
Обзор
В начале рассмотрим количество программ, удаленных средством MSRT.
Рис. 3. Удаленные вредоносные программы и очищенные компьютеры с момента выхода средства MSRT
На рисунке 3 в виде трех блоков данных на графике представлены следующие данные:
Удаленные вредоносные
программы: число программ, удаленных средством MSRT (для каждого выпуска в период с января
2005 г. по март 2006 г.). Всеми выпусками данного средства было удалено в общей сложности 16 миллионов экземпляров вредоносных программ.
Очищенные компьютеры: число отдельных компьютеров, очищенных средством MSRT (для каждого выпуска в период с января 2005 г. по март 2006 г.). Число компьютеров, очищенных одним выпуском, всегда будет меньше числа экземпляров вредоносных программ, удаленных за тот же период (на одном компьютере может быть удалено несколько случаев заражения). Сбор данных начался в июне
2005 г., поскольку это был первый выпуск средства MSRT, который оценивал эти показатели. В период с июня 2005 г. по март 2006 г. средство удалило как минимум по одному экземпляру вредоносной программы с 5 миллионов 700 тысяч компьютеров. Если бы подсчеты велись с момента первого выпуска средства, этот показатель был бы выше, но он неизвестен, так как данные, относящиеся к периоду до июня 2005 г., отсутствуют.

Каталог: download
download -> Составление простейшей программы в среде lego education. Запуск модели «Обезьянка барабанщица», «Рычащий лев», «Автомобиль»
download -> Функциональные части компьютера, история развития, базовая конфигурация
download -> Компьютер: друг или враг?
download -> Лекция №2 «Теоретические основы игры дошкольника» Зарубежные и отечественные теории игры
download -> Доклад муниципальное образовательное
download -> Литература для воспитанников стр. Приложения стр
download -> Министерство здравоохранения Республики Беларусь
download -> Игра как средство активизации познавательной активности учащихся в ходе изучения темы Алгоритмизация и программирование


Поделитесь с Вашими друзьями:
  1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал