Microsoft Malicous-Software Removal-Tool - Was es kann

    Microsoft Malicous-Software Removal-Tool
    - Was es kann -




    Microsoft hat heute, Montag, 12.06.06, eine erste Bilanz über die Entfernungsrate des Malicous-Software Removal-Tools (MSRT) herausgegeben. Das Werkzeug konnte in der Mai-2006-Ausgabe immerhin 61 Viren-, Würmer- und Trojaner-Familien erkennen und von der Platte putzen. Den Erfolg der Reinigung und weitere Daten meldet das MSRT bei erkanntem Rechnerbefall für die erfolgreiche Weiterentwicklung nach Redmond zurück.

    Seit dem Erscheinen (13. Januar 2005) bis einschließlich März dieses Jahres wurde das Tool satte 2,7 Milliarden Mal auf mindestens 270 Millionen unterschiedlichen Rechnern ausgeführt. Dabei fielen fast 6 Millionen Rechner durch eine Infektion auf; von diesen waren mehr als 60 Prozent mit einer Backdoor verseucht, die den Rechner zur hörigen Drohne umfunktioniert, die beispielsweise im Internet-Relay-Chat (IRC) auf die Anweisungen des Viren-Bastlers lauscht.

    Auf den infizierten Rechnern fand das MSRT insgesamt 16 Millionen Schädlinge. Auf 14 Prozent der Computer war ein Rootkit vorhanden, ohne das Sony-BMG-Rootkit immerhin noch auf neun Prozent. Etwas mehr als ein Drittel der Rechner wurde Microsofts Erkenntnissen zufolge durch E-Mails, Instant Messages oder Peer-to-Peer-Netzwerke infiziert, also durch Social Engineering. Bei etwa 80 Prozent der erfassten Malware-Fälle handelte es sich um eine Neuinfizierung des Rechners, auf etwa einem Fünftel der gesäuberten Computer hatte das MSRT zuvor schon einen Schädling ausgemacht.
    Das MSRT, das Microsoft selbst nur als Ergänzung zu einem Virenscanner mit Hintergrundwächter sowie zu Anti-Spyware-Software sieht, meldet laut Report im Falle einer Rechnerinfektion nach Redmond:

    • den Namen des Schädlings,
    • das Ergebnis des Entfernungsversuchs,
    • das Betriebssystem sowie Service-Pack-Nummer,
    • die Sprache des Betriebssystems,
    • die Prozessorarchitektur,
    • die Versionsnummer des MSRT,
    • einen Indikator, von woher das Tool stammt (Windows Update, Webseite,...),
    • eine (anonyme) GUID, durch die der Rechner identifiziert werden kann, um Mehrfachinfektionen zu erkennen,
    • einen kryptographischen MD5-Fingerabdruck des Pfades und Dateinamens des Schädlings.

    Laut Microsofts Bilanz lässt sich das Versenden der Daten aber durch einen Registry-Schlüssel abschalten. In einem Knowledgebase-Artikel erläutert das Unternehmen, dass hierzu unter dem Registry-Schlüssel

    Code
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT



    ein REG_DWORD mit dem Namen DontReportInfectionInformation angelegt und diesem der Wert 1 zugewiesen werden muss.

    Quelle: heise