Windows 惡意軟體移除工具： 已有進展，並觀察出趨勢

Microsoft 近幾年來在研究惡意軟體與開發新技術方面，投注了大筆資金，以協助客戶降低惡意軟體帶來的安全性風險。 作為此項投資的一部分，Microsoft 建立了專門的反惡意軟體團隊，負責研究惡意軟體、間諜軟體及其他可能有害的軟體，以及發行及維護 Windows 惡意軟體移除工具 (MSRT) 與 Windows Defender。 該團隊還為 Windows Live OneCare、Windows Live Safety Center Beta、Microsoft Antigen 及即將推出的 Microsoft Client Security 版本等產品，提供核心反惡意軟體技術 (包括掃描引擎與惡意軟體定義更新)。 在 2005 年 1 月 13 日，Microsoft 以 24 種語言向 Windows 2000、Windows XP 及 Windows Server 2003 電腦的使用者提供了 MSRT 的第一版。 此工具的設計目的在於協助識別與移除客戶電腦中常見的惡意軟體，合法授權的 Windows 使用者均可免費使用此工具。 在撰寫本報告的同時，Microsoft 又推出該工具的 15 種額外增強版本，並持續在每個月第二個星期二推出新版本，每個版本都有新增加的常見惡意軟體，以求更有效偵測與移除。 自初次發行 MSRT 以來，該工具已被執行 27 億次，且至少在 2 億 7000 萬台不同的電腦上執行過。 本報告根據 MSRT 所收集的資料，詳細提供了惡意軟體未來趨勢，並著重說明 MSRT 在降低惡意軟體對 Windows 使用者的影響所起的作用。 資料的主要分析摘要如下，白皮書中有詳細說明。

• MSRT 在過去 15 個月，從 570 萬台不同的 Windows 電腦中移除了 1600 萬例惡意軟體。 平均計算，執行此項工具的每 311 部電腦中，至少可移除 1 項惡意軟體。



• 從 2005 年 1 月至 2006 年 2 月，MSRT 的 61 種目標惡意軟體家族中，自從新增到工具中之後，有 41 種被偵測到的頻率已見降低，其中 21 種惡意軟體家族出現的頻率減少了 75% 以上。



• 後門特洛伊木馬程式可讓攻擊者控制受感染的電腦並竊取機密資訊，因此會對 Windows 使用者造成嚴重、實質上的威脅。 MSRT 已從大約 350 萬不同的電腦中，移除至少一種後門特洛伊木馬程式。 因此，在該工具已移除惡意軟體的 570 萬不同的電腦中，62% 的電腦都出現過後門特洛伊木馬程式。 其中透過多人線上交談系統 (IRC) 網路通訊的後門特洛伊木馬程式子類別 Bot 佔所移除的大多數。



• Rootkit 能為了隱藏或保護其它程式 (可能是惡意元件) 而進行系統變更，屬於潛在的新興威脅，不過尚未到達蔓延普及的程度。 被此工具移除惡意軟體的 570 萬部個別電腦中，Rootkit 佔 14% 的案例；若將透過特定 Sony 音樂 CD 所散播的 WinNT/F4IRootkit 排除不計，此數據即降為 8%。 在 20% 的案例中，在電腦上找到 Rootkit 時，還會找到至少一種後門特洛伊木馬程式。



• 社會工程攻擊是感染惡意軟體的一大源頭。 本工具所清理的電腦之中，透過電子郵件、對等網路及即時傳訊用戶端帳戶散播的蠕蟲佔其中的 35%。



• 惡意軟體的問題看來具有移轉性質。 各版本 MSRT 所清理的，大多數為本工具從未移除過惡意軟體的電腦。 以 2006 年 3 月版的 MSRT 而言，本工具為大約 15 萬部電腦移除惡意軟體 (佔所清理電腦總數的 20%)，其中有部份惡意軟體已曾由本工具的早期版本移除過。

支援的作業系統

Windows 2000, Windows Server 2003, Windows XP

需要使用 Adobe Acrobat Reader 才能檢視白皮書。

將白皮書下載到電腦，然後在 Adobe Acrobat Reader 中開啟它以進行檢視。