Matthew Braverman Administrador del programaEquipo de Microsoft contra software malintencionado

Progresos realizados y tendencias observadas Artculo tcnico del equipo de Microsoft contra software MSRT

Windows Malicious Software Removal Tool

AgradecimientosAgradecemos la contribucin al presente documento de las personas siguientes: Mike Chan, Brendan Foley, Jason Garms, Robert Hensing, Ziv Mador, Mady Marinescu, Michael Mitchell, Adam Overton, Matt Thomlinson y Jeff Williams

La informacin que contiene este documento representa la visin actual de Microsoft Corporation acerca de los temas tratados en el momento de su publicacin. Dado que Microsoft debe responder a las condiciones variables del mercado, este documento no debe interpretarse como un compromiso por parte de Microsoft, y Microsoft no puede garantizar la exactitud de la informacin presentada con posterioridad a la fecha de publicacin.La finalidad de este artculo tcnico es nicamente informativa. MICROSOFT NO OTORGA GARANTAS, NI EXPRESAS NI IMPLCITAS NI ESTATUTARIAS SOBRE LA INFORMACIN DE ESTE DOCUMENTO. Es responsabilidad del usuario el cumplimiento de las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos de este documento. La posesin de este documento no le otorga ninguna licencia sobre estas patentes, marcas registradas, derechos de autor u otros derechos de propiedad intelectual, a menos que se prevea en un contrato de licencia por escrito de Microsoft.Copyright 2006 Microsoft Corporation. Reservados todos los derechos.Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live y Windows Vista son marcas comerciales o marcas registradas de Microsoft Corporation en los Estados Unidos o en otros pases.

Herramienta de eliminacin de software malintencionado de Windows: progresos realizados y tendencias observadas. Resumen ejecutivo En los cinco ltimos aos, Microsoft ha realizado importantes inversiones en investigacin sobre software malintencionado (o malware) y en el desarrollo de tecnologa para ayudar a nuestros clientes a mitigar los riesgos de seguridad que genera este tipo de software. Como parte de esta inversin, Microsoft ha creado un equipo contra el software malintencionado dedicado que se encarga de investigar en el terreno del software malintencionado, el software espa y otros tipos de software potencialmente no deseables, as como del lanzamiento y mantenimiento de la herramienta de eliminacin de software malintencionado de Windows (MSRT) y Windows Defender. El equipo tambin facilita la tecnologa contra software malintencionado bsica (incluidos el motor de deteccin y las actualizaciones de definiciones de software malintencionado) para productos como Microsoft Windows Live OneCare, Windows Live Safety Center Beta, Microsoft Antigen y el futuro lanzamiento Microsoft Forefront Client Security. Microsoft lanz la primera versin de MSRT el 1 de enero de 005 en idiomas para los usuarios de equipos con Windows 000, Windows XP y Windows Server 2003 de Microsoft. La herramienta est diseada para ayudar a identificar y eliminar software malintencionado predominante en los equipos de los clientes, y est disponible de forma gratuita para los usuarios con licencia de Windows. En el momento de la redaccin de este informe, Microsoft ha distribuido 15 versiones adicionales mejoradas de la herramienta, y contina distribuyendo el segundo martes de cada mes una versin actualizada capaz de detectar y eliminar nuevos programas de software malintencionado predominante. Desde el lanzamiento inicial de MSRT, la herramienta ha sido ejecutada aproximadamente .700 millones de veces por al menos 70 millones de usuarios individuales.Este informe ofrece una visin a fondo del panorama del software malintencionado, a partir de los datos recopilados por MSRT1, y subraya el impacto que MSRT ha tenido en la reduccin del software malintencionado para los usuarios de Windows. A continuacin se resumen los datos ms importantes, que se describen con ms detalle en el cuerpo del artculo. Durante los 15 ltimos meses, MSRT ha eliminado 16 millones de instancias de software malintencionado en

5,7 millones de equipos Windows individuales. Como media, la herramienta elimina al menos una instancia de software malintencionado por cada 311 equipos en los que se ejecuta.

Entre enero de 2005 y febrero de 2006, 41 de las 61 familias de software malintencionado a las que se dirige MSRT han sido detectadas con menos frecuencia desde que fueron incluidas en la herramienta; 21 de las familias han sufrido un descenso superior al 75%.

Los troyanos de puerta trasera, que pueden permitir a un atacante controlar un equipo infectado y robar informacin confidencial, son una amenaza significativa y palpable para los usuarios de Windows. MSRT ha eliminado al menos un troyano de puerta trasera en aproximadamente ,5 millones de equipos individuales. En el 6% de los 5,7 millones de equipos individuales en los que la herramienta ha eliminado software malintencionado, estaba presente un troyano de puerta trasera. Los bots, una subcategora de troyanos de puerta trasera que se comunican a travs de la red Internet Relay Chat (IRC), representan la mayora de las eliminaciones.

Los rootkits, que efectan modificaciones del sistema con el fin de ocultar o proteger otros componentes, posiblemente malintencionados, son una amenaza potencial emergente, pero todava no han logrado alcanzado una gran predominancia. De los 5,7 millones de equipos individuales en los que la herramienta ha eliminado software malintencionado, en un 1% de los casos estaba presente un rootkit; esta cifra se reduce a un 9% si se excluye WinNT/FIRootkit, el rootkit distribuido en determinados CD de msica Sony. En el 0% de los casos en que se encontr un rootkit en un equipo, tambin estaba presente al menos un troyano de puerta trasera.

Los ataques de ingeniera social representan un porcentaje significativo de las infecciones por software malintencionado. Los gusanos que se propagan por correo electrnico, redes entre iguales (PP) y clientes de mensajera instantnea afectan a un 5% de los equipos limpiados por la herramienta.

El problema del software malintencionado parece ser de naturaleza migratoria. La mayora de los equipos limpiados con cada versin de MSRT son equipos en los que la herramienta nunca ha eliminado software malintencionado. En la versin de MSRT de marzo de 006, la herramienta elimin software malintencionado en aproximadamente 150.000 equipos (el 0% de todos los equipos limpiados) en los que una versin anterior de la herramienta ya haba eliminado software malintencionado anteriormente.

Descripcin de MSRT La herramienta est diseada para ayudar a identificar y eliminar software malintencionado predominante en los equipos de los clientes, y est disponible de forma gratuita para los usuarios con licencia de Windows. El principal mecanismo de lanzamiento de MSRT es Windows Update (WU) / Microsoft Update (MU) / Actualizaciones automticas (AA). Tambin es posible descargar varias versiones de la herramienta desde el Centro de descarga de Microsoft y en forma de control de ActiveX desde el sitio http://www.microsoft.com/malwareremove. La versin actual de la herramienta es capaz de detectar y eliminar 61 familias diferentes de software malintencionado.

MSRTWindows Malicious Software Removal Tool

5Al lanzar y mantener MSRT, Microsoft logra dos objetivos principales:

1. Reducir el impacto del software malintencionado predominante sobre los usuarios de Windows.

. Usar los datos recopilados por MSRT para conocer de manera confiable en cada momento las tendencias imperantes en el software malintencionado que afecta a los clientes de Windows. Estos datos han sido usados por el equipo de Microsoft contra software malintencionado para centrar sus esfuerzos de desarrollo y minimizar el tiempo necesario para responder a los envos de software malintencionado. Adems, gracias a este tipo de informaciones, otros investigadores en seguridad pueden usar esos datos para mejorar su comprensin del panorama del software malintencionado y centrarse en el objetivo compartido de reducir el impacto del software malintencionado sobre la base de usuarios de Windows.

La herramienta no se dirige contra el software espa ni contra el software potencialmente no deseable. Para detectar y eliminar de sus equipos el software espa y el software potencialmente no deseable, los usuarios de Windows deben descargar e instalar una aplicacin contra el software espa actualizada. Windows Defender, la solucin de Microsoft contra el software espa, en fase beta en el momento de la redaccin de este informe, se ofrece de forma gratuita a todos los usuarios provistos de una licencia original de Windows en el sitio http://www.microsoft.com/windowsdefender.

MSRT no es un sustituto para una solucin antivirus actualizada, debido a su falta de proteccin en tiempo real y a que usa solamente la parte de la base de datos de definicin de virus de Microsoft que le permite dirigirse contra el software malintencionado predominante. Sin embargo, Microsoft recomienda que los usuarios que tengan instalado un antivirus actualizado ejecuten tambin la herramienta como medida de defensa a fondo. Adems, esos usuarios se beneficiarn indirectamente de MSRT, ya que los usuarios infectados pueden afectar negativamente al rendimiento de los recursos compartidos, como Internet o una red de rea local.

Se recomienda encarecidamente a los usuarios de Windows instalar y mantener una solucin antivirus actualizada que ofrezca proteccin en tiempo real y una base de datos de definicin de virus completa. Windows Live OneCare de Microsoft satisface esas necesidades, al igual que otros productos ofrecidos por los socios de antivirus de Microsoft, que se enumeran en http://www.microsoft.com/security/partners/antivirus.asp.

Antecedentes del informe Este informe ofrece datos y conocimientos detallados que describen cmo Microsoft, mediante el lanzamiento de MSRT, ha logrado en los 15 ltimos meses aproximarse a sus objetivos: reducir la cantidad de software malintencionado predominante que afecta a los usuarios, y obtener valiosos datos de telemetra que funcionan como una gua esencial acerca del panorama actual del software malintencionado para Windows. En el futuro se publicarn con ms frecuencia nuevos informes que reflejarn con detalle los conocimientos adquiridos por Microsoft acerca del panorama del software malintencionado, y contendrn adems datos de fuentes alternativas al MSRT.

Los datos de este informe se refieren a la versin de MSRT de marzo de 2006 y anteriores. Aunque desde la publicacin de este informe han aparecido nuevas versiones de MSRT, era necesario congelar los datos en un punto anterior para permitir su procesamiento, comprobacin y anlisis. Para obtener una descripcin de los datos recopilados por MSRT, consulte el Apndice de este documento.

Los datos utilizados en este informe se han obtenido de la medicin de infecciones en los equipos de los clientes, comunicada por MSRT. Hoy en da se utilizan otras muchas tcnicas para medir la predominancia del software malintencionado. Algunas miden las solicitudes a una red y otras registran el nmero de correos electrnicos enviados por los programas malintencionados. Sin embargo, tcnicas como esas solo supervisan el nmero de copias de programas malintencionados que estn siendo distribuidas por los equipos infectados, no el nmero de equipos infectados, ya que una infeccin puede generar muchas copias de s misma. En consecuencia, registrar las infecciones concretas es el mtodo ms preciso para determinar la predominancia de infecciones de software malintencionado. En el caso de MSRT, la relevancia de los datos es especialmente significativa si se tiene en cuenta la magnitud del nmero de ejecuciones.

6Los perfiles de los usuarios de MSRT son diversos, pero, debido a los mecanismos de lanzamiento, es probable que la mayora sean usuarios domsticos o pequeas empresas. En consecuencia, la mayora de los datos de este informe reflejan ese tipo de pblico. Sin embargo, las tendencias y las sugerencias de todo el informe son aplicables a la totalidad de los usuarios de Windows.

En este artculo se utilizarn varios trminos relacionados con el software malintencionado:

Familia: Una agrupacin de variantes similares de un software malintencionado. Por ejemplo, Win/Rbot es una familia de software malintencionado que contiene miles de variantes similares, pero claramente diferenciadas.

Variante: Un programa concreto de software malintencionado. Por ejemplo, Win/Rbot.A es una variante que pertenece a la familia Win/Rbot.

Instancia o infeccin: La identificacin de una variante concreta de software malintencionado en un equipo. Hay que tener en cuenta que una instancia incluye todos los componentes (archivos, claves del registro, etc.) de una variante concreta y que cada vez que una variante de software malintencionado es eliminada de un equipo, se cuenta como una instancia individual. Por ejemplo, si la herramienta elimina de un equipo al mismo tiempo Win/Rbot.A y Win/Rbot.B, esto se contabiliza como dos infecciones o instancias. Si tres meses ms tarde la herramienta vuelve a eliminar Win/Rbot.A del mismo equipo, se contabiliza como una nueva infeccin.

Estadsticas de lanzamiento El vehculo principal de lanzamiento de Windows MSRT es WU/MU/AA. A travs de este mecanismo, MSRT se ejecuta en cientos de millones de equipos al mes a nivel mundial, lo que ofrece una slida fuente de datos para el anlisis de las amenazas.

Figura 1. Ejecuciones de MSRT por medio de WU/AA/MU

La figura 1 ilustra el nmero de ejecuciones de MSRT por equipos individuales para cada una de las 15 versiones mensuales desde enero de 005 hasta marzo de 006 (incluido). Hay que tener en cuenta que en este grfico los valores enumerados como categoras para el eje X no se refieren a los meses naturales sino a las sucesivas versiones de MSRT. Por ejemplo, la versin de febrero de 006 de MSRT fue lanzada el 1 de febrero de 006 y remplazada por la versin de marzo de 006 el 1 de marzo de 006. Igualmente, hay que tener en cuenta que la versin extraordinaria lanzada en agosto en respuesta al gusano Zotob no se muestra en este grfico, ya que fue lanzada nicamente en el Centro de descargas de Microsoft y como control de ActiveX en el sitio http://www.microsoft.com/malwareremove, pero no a travs de WU/MU/AA.

Como se muestra en la figura 1, con pocas excepciones, las ejecuciones de MSRT se han incrementado con cada versin. Llama especialmente la atencin la diferencia entre el nmero de ejecuciones de la primera versin y la versin ms reciente. Entre esas versiones, las ejecuciones por versin se han ms que duplicado, desde aproximadamente 15 millones a 70 millones de

ejecuciones en equipos individuales. La diferencia se debe al aumento en el uso de Windows Update y Actualizaciones automticas por los usuarios de Windows, lo cual, a su vez, se debe probablemente a iniciativas de Microsoft como Windows XP Service Pack , que recomendaba activar las Actualizaciones automticas, y la iniciativa Proteja su PC, as como las asociaciones con proveedores de equipos OEM para distribuir equipos nuevos con Windows XP SP instalado. La suma de las ejecuciones por cada versin produce un nmero total aproximado de .700 millones de ejecuciones de MSRT a travs de WU/AA/MU desde el primer lanzamiento.

Otro aspecto positivo es la tendencia creciente del nmero de ejecuciones y el alto nmero actual de equipos que tienen acceso a WU/AA de manera regular. Un uso ms frecuente y a tiempo de estos mecanismos de actualizacin de Microsoft puede ayudar a disminuir el impacto de estas amenazas en los clientes.

7Detalles del software malintencionado tratado Cada mes, los miembros del equipo de Microsoft contra software malintencionado investigan nuevas amenazas predominantes y las incluyen en la siguiente versin de MSRT. Para seleccionar las nuevas amenazas que se incluirn, el equipo aplica tres criterios:

La amenaza debe poder considerarse predominante.

La amenaza debe ser malintencionada o capaz de suscitar una situacin malintencionada.

La amenaza debe tener alta probabilidad de estar activa cuando se ejecute MSRT.El primer requisito clave para incluir en MSRT un software malintencionado nuevo es que la amenaza pueda considerarse predominante. Para encontrar nuevas amenazas candidatas y determinar su predominancia, el equipo usa una serie de indicadores internos y externos. Los principales indicadores internos son, entre otros, los datos recopilados por Windows Live Safety Center Beta (http://safety.live.com) y Windows Live OneCare, que analizan los equipos en busca del conjunto total de programas malintencionados conocidos por Microsoft. El principal indicador externo es la WildList (http://www.wildlist.org), la lista de programas malintencionados que acta como estndar de hecho de la industria antivirus, y en la que se basan la mayora de las certificaciones de productos antivirus, como la ICSA Antivirus Certification y la Check-Mark de West Coast Labs, ambas otorgadas recientemente a Windows Live OneCare. El segundo requisito para incluir un elemento en la herramienta es que se trate de software malintencionado (por ejemplo virus, gusanos, troyanos, bots, rootkits, etc.). En la mayora de los casos, esto significa que hay un cdigo que se replica, causa daos explcitos o puede poner en peligro el sistema afectado, u otros riesgos de seguridad. La herramienta no se dirige contra el software espa ni contra el software potencialmente no deseable. El tercer requisito principal es que exista probabilidad de que el software malintencionado se est ejecutando en un equipo. Este requisito se debe al modo en que la herramienta se ejecuta a travs de WU/MU/AA. En la mayora de los casos, la herramienta se ejecuta una vez al mes, busca software malintencionado que est ejecutndose activamente o en ubicaciones de inicio automtico y luego se cierra sin dejar componentes residentes; por ello, solo es eficaz si el software malintencionado est activo en ese momento, o asociado a una ubicacin de inicio automtico. As, la herramienta no se dirige contra amenazas como las que infectan archivos de datos, incluidos los virus de macros de Word y Excel. Cuando se selecciona una familia nueva de software malintencionado para incluirla en la herramienta, todas las variantes de la familia se agregan tambin a esa versin. Con cada futura versin irn agregndose las variantes nuevas de la familia que aparezcan.

Figura 2. Familias de software malintencionado detectadas y eliminadas por MSRT

La figura 2 muestra en orden alfabtico las 61 familias de software malintencionado que MSRT es capaz de detectar en su versin de marzo de 2006, clasificadas en siete categoras que no se excluyen mutuamente. Si bien existen muchas maneras diferentes de clasificar el software malintencionado, basndose en las capacidades, el vector de replicacin y otros factores, las siete categoras que se muestran en la figura gusano de correo electrnico, gusano de red entre iguales (PP), gusano de mensajera instantnea (IM), gusano de explotacin, troyano de puerta trasera, rootkit y virus ofrecen una til clasificacin de alto nivel que se utilizar a partir de ahora en este documento. Dado que en algunas de las mencionadas familias aparecen diariamente nuevas variantes de software malintencionado, estas clasificaciones pueden haber cambiado desde la publicacin de este artculo. Hay que tener en cuenta que en esta figura un gusano de explotacin se define como una amenaza que explota al menos una vulnerabilidad de software que permite la ejecucin de cdigo sin intervencin del usuario.

El software malintencionado que aprovecha una vulnerabilidad que s requiere la intervencin del usuario (por ejemplo abrir un correo electrnico o navegar a un sitio web) no se incluye en esta categora.

Para que una familia de software malintencionado pueda asociarse a una categora, todas las variantes conocidas deben exhibir, como opcin predeterminada, el comportamiento asociado con esa categora. Por ejemplo, solo una variante de la familia Bagle (Bagle.O) puede clasificarse como virus, porque infecta archivos ejecutables. Por eso la familia Bagle no se clasifica como virus. Otro ejemplo: muchas variantes de la familia Rbot son capaces de explotar vulnerabilidades de software. Sin embargo, como en la mayora de esos casos se requiere la intervencin manual del propietario del bot para desencadenar esa forma de replicacin, Rbot no se clasifica como gusano de explotacin. Como se muestra arriba, una pequea parte de las familias de la figura 2 no encajan en ninguna de las siete categoras.

Hay que tener en cuenta que MSRT es capaz de detectar un pequeo nmero de variantes especficas de software malintencionado ms all de las familias reseadas arriba. Esas variantes son liberadas por las familias reseadas arriba, y la herramienta las detecta para ofrecer una desinfeccin exhaustiva.

Software malintencionado eliminado por MSRTEl resto de este documento contiene detalles acerca del software malintencionado que MSRT ha eliminado durante los 15 ltimos meses, incluidas las caractersticas de alto nivel (por ejemplo versiones del sistema operativo o configuraciones regionales) de los equipos en los que se ha eliminado software malintencionado.

Descripcin generalPara empezar, el artculo ilustrar la magnitud de las eliminaciones llevadas a cabo por MSRT.

Figura 3. Software malintencionado eliminado y equipos limpiados por cada versin de MSRT

La figura 3 muestra la siguiente informacin por medio de las tres series de datos del grfico:

Software malintencionado eliminado: El nmero de programas malintencionados eliminados por cada versin de MSRT desde enero de 005 a marzo de 006. Sumando todas las versiones, la herramienta ha eliminado 16 millones de instancias de software malintencionado.

Equipos limpiados: El nmero de equipos individuales limpiados por cada versin de MSRT desde enero de 005 a marzo de 006. El nmero de equipos individuales limpiados por cada versin siempre ser inferior al nmero de instancias de software malintencionado eliminadas por esa misma versin, ya

que es posible eliminar varias infecciones de un mismo equipo. Adems, hay que tener en cuenta que esta serie de datos se inicia en junio de 005, ya que fue esa la primera versin en que la herramienta midi estos indicadores. Desde junio de 005 hasta marzo de 006, la herramienta ha eliminado al menos una instancia de software malintencionado en 5,7 millones de equipos individuales. El nmero total desde el lanzamiento inicial de la herramienta es superior a esta cifra, pero se desconoce, ya que no hay datos disponibles anteriores a junio de 005.

Equipos nuevos: El nmero de equipos nuevos individuales en los que cada versin de la herramienta ha eliminado software malintencionado. El adjetivo nuevo se refiere aqu a un equipo en que la herramienta nunca ha eliminado software malintencionado, incluidas las versiones anteriores de MSRT. En cada versin, este valor nunca ser superior al nmero total de equipos limpiados. Dado que esta cifra est asociada al nmero de equipos limpiados, la primera versin que puede evaluarse es la de julio de 005. Hay que tener en cuenta que si un usuario reinstala el sistema operativo de su PC, este sistema ser considerado nuevo en nuestra telemetra. En este informe, la desviacin causada por esta posibilidad se considera pequea y por lo tanto no se tiene en cuenta.

9De los datos que se muestran en la figura 3 pueden extraerse varias deducciones:

El aumento en la cantidad de software malintencionado eliminado y equipos limpiados se deben a un aumento de las ejecuciones de MSRT (como se muestra en la figura 1), as como a un aumento en el nmero de familias y variantes de software malintencionado predominante contra las que se dirige la herramienta. Las versiones recientes, posteriores a noviembre de 005, han registrado un importante ascenso del nmero de desinfecciones. Cada uno de estos aumentos es atribuible a la inclusin en la herramienta de una o varias familias de software malintencionado predominante. Dado que algunas de esas familias fueron descubiertas en el pasado, y que es imposible establecer cundo un usuario se infect por primera vez, no sera exacto interpretar estos datos como un aumento de la cantidad de software malintencionado.

Noviembre de 005: Una combinacin de Win/Mabutu, Win/Codbot y Win/Bugbear

Diciembre de 005: WinNT/FIRootkit

Enero de 006: Win/Parite

Febrero de 006: Win/Alcan

Combinando los datos de la figura 1 con los de la figura 3, podemos establecer que en la versin ms reciente de MSRT, la de marzo de 006, el ndice de equipos infectados por cada ejecucin de la herramienta fue de 0,%. En otras palabras: la herramienta ha eliminado software malintencionado en aproximadamente 1 de cada 55 equipos en los que se ha ejecutado. La media de todas las versiones desde junio de 005 a marzo de 006 es similar: un 0,% o aproximadamente 1 de cada 11 equipos. Este ndice de infecciones ha permanecido relativamente constante durante todas las versiones cuantificables, con un valor mximo de 0,4% en agosto de 2005 y un mnimo de 0,24% en septiembre de 2005.

En cada versin, la mayora de los equipos en los que la herramienta elimina software malintencionado son equipos en los que esto sucede por primera vez. Inversamente, con cada versin, la herramienta elimina software malintencionado en un nmero relativamente pequeo de equipos en los que ya lo ha hecho anteriormente. Por ejemplo, en la versin de marzo de 006 de la herramienta, aproximadamente 600.000 de los 750.000 (0%) equipos limpiados con la herramienta eran equipos nuevos. En el 0% de los casos, la herramienta ya haba eliminado software malintencionado en el mismo equipo en una versin anterior. Estas eliminaciones significan que el mismo equipo ha sido infectado por una variante o familia diferente del software malintencionado, o que se ha reinfectado por la misma variante de software malintencionado (probablemente a causa de la ausencia de revisiones de seguridad o al uso de ingeniera social).

Software malintencionado eliminado por equipo Otro indicador interesante es el nmero de variantes individuales de software malintencionado eliminadas en cada equipo. En la mayora de los casos, la herramienta solo ha removido una variante de software malintencionado de cada equipo. Sin embargo, en algunos casos la herramienta ha eliminado docenas e incluso cientos de programas malintencionados de un mismo equipo.

Figura 4. Variantes individuales de software malintencionado eliminadas por equipo

La figura 4 muestra el nmero de equipos en los que se ha eliminado un determinado nmero de variantes individuales de software malintencionado a lo largo de todas las ejecuciones de la herramienta en dicho equipo. Por ejemplo, si la herramienta ha eliminado dos veces la misma variante de software

malintencionado en un equipo, en la figura 4 esto se contabilizar como una sola vez. A partir de los datos de la figura 4 podemos establecer que el nmero medio de variantes individuales de software malintencionado eliminadas por cada equipo es de 1,59. En otras palabras: es ligeramente ms probable que la herramienta elimine ms de una variante de software malintencionado que una sola variante. En los casos con una cantidad importante de eliminaciones, los equipos suelen estar infectados con una serie de variantes de bots, probablemente porque el usuario se ha infectado con un nico bot y luego el propietario del bot

10

usa esa primera puerta trasera para instalar otros bots en el mismo equipo. Win/Antinny, un gusano de redes entre iguales que afecta casi exclusivamente a equipos japoneses, tambin es una amenaza conocida por producir un alto nmero de infecciones en cada equipo. La razn es que Antinny utiliza una serie de trucos de ingeniera social para conseguir que el usuario descargue y ejecute el gusano. Los usuarios que ejecutan el gusano una vez, infectando su ordenador, suelen volver a repetir esta operacin varias veces.

Detalles del software malintencionado eliminado

Este captulo ofrece ms detalles sobre el modo en que los datos descritos anteriormente se aplican a las 61 familias de software malintencionado que MSRT es capaz de detectar y eliminar.

Figura 5. Software malintencionado/equipos limpiados por familia de software malintencionado

La figura 5 muestra las 61 familias de software malintencionado que MSRT es capaz de detectar en la versin de marzo de 006, junto con la siguiente informacin:

El nmero de veces que la familia de software malintencionado ha sido eliminada de un equipo desde enero de 005 a marzo de 2006. La lista est clasificada en orden descendente de acuerdo con este valor.

El nmero de veces que la familia de software malintencionado ha sido eliminada en un equipo desde enero de 005 a marzo de 006.

La primera versin de MSRT que incluy deteccin para la familia de software malintencionado.

El mes y el ao en que fue descubierta la primera variante de la familia.

11

A continuacin, algunos de los puntos destacables sobre los datos de la figura 5:

Las eliminaciones de Win/Parite, Win/Alcan y WinNT/FIRootkit estn entre las ms frecuentes, a pesar de que solo han estado presentes en las cinco ltimas versiones de la herramienta. Parite, un virus que infecta archivos, es especialmente interesante porque apareci por primera vez en 001 y contina siendo predominante. Esto se debe probablemente a la dificultad de eliminar completamente de los equipos el virus Parite y su agresiva rutina de infeccin de archivos. De hecho no existe una correlacin significativa entre el nmero de eliminaciones y la fecha en que la familia fue descubierta por primera vez o incluida en la herramienta.

Los bots (Rbot, Sdbot y Gaobot) ocupan tres de los cinco primeros puestos en cuanto a nmero total de eliminaciones. La predominancia de estas tres familias de software malintencionado justifica la advertencia hecha en el resumen ejecutivo acerca de la omnipresencia de los troyanos de puerta trasera.

Win/Antinny, en el puesto 1, se propaga a travs de una red de intercambio de archivos japonesa. El hecho de que, a pesar de que se detecta casi exclusivamente en sistemas de lengua japonesa, este gusano permanezca en un puesto tan alto despus de seis versiones de MSRT, significa que ha sido muy predominante en Japn y demuestra el peso de las amenazas especficas de una regin o un idioma.

Win/Alcan, un gusano poco conocido que se replica a travs de las redes entre iguales, ya alcanz una de las mayores cifras de eliminacin al poco de ser incluido en la herramienta, en febrero de 006. La predominancia de este gusano se debe probablemente a las eficaces tcnicas de ingeniera social que utiliza, entre ellas la de hacerse pasar por una aplicacin que encuentra un error de instalacin despus de ser ejecutada.

Win32/Zotob, que explotaba una vulnerabilidad descrita en el Boletn de seguridad de Microsoft MS05-039, ha sido eliminado slo de 6.1 equipos, lo que lo convierte en el menos predominante de todos los gusanos de explotacin registrados. Esto no es de extraar, ya que la vulnerabilidad solo afectaba a los equipos Windows 000. Curiosamente, Win/Esbot, que ocupa el puesto 0 y explota la misma vulnerabilidad, ha sido eliminado de diez veces ms equipos que Win/Zotob, pero ha sido objeto de una atencin mucho menor. Win/Msblast, en el puesto 10, sigue siendo el gusano de explotacin con mayor nmero de eliminaciones.

Del mismo modo, mientras que la familia Hacker Defender despierta ms atencin que ninguna otra familia notable de rootkits, en realidad es uno de los rootkits menos predominantes que reconoce la herramienta. WinNT/FURootkit es el rootkit eliminado con ms frecuencia por la herramienta, y suele usarse para enmascarar la presencia de un troyano de puerta trasera instalado en el equipo.

Figura 6. Equipos limpiados por tipo de software malintencionado La figura 6 combina los datos de la figura 5 con las clasificaciones de software malintencionado que se muestran en la figura 2. MSRT ha eliminado un troyano de puerta trasera en ms de ,5 del total de 5,7 millones de equipos limpiados (6%). Como revelan varios casos recientes de gran impacto meditico, los atacantes suelen usar estos troyanos de puerta trasera para lucrarse, estableciendo redes de equipos infectados y vendindolos como retransmisores y puntos de distribucin para correo electrnico no deseado, software espa y ataques de denegacin de servicio (DoS). Adems de usar una solucin antivirus actualizada, los clientes deben aprovechar los servidores de seguridad bidireccionales para evitar la extraccin de informacin y las funciones de supervisin y control de estas amenazas.

En comparacin con los troyanos de puerta trasera, los rootkits se han detectado en un nmero mucho menor de equipos: aproximadamente 70.000. Sin embargo, si se descuentan las detecciones de WinNT/FIRootkit, esta cifra se reduce a alrededor de 50.000. En este caso se da una peculiaridad: a pesar de que posteriormente aparecieron programas malintencionados que aprovechaban

este rootkit para ocultarse en un equipo, lo cierto es que Sony no lo public con intenciones malintencionadas, sino con funcionalidades antipiratera, y en consecuencia contaba con caractersticas de distribucin comercial, en vez de caractersticas de distribucin vricas.

1

Por supuesto, como sucede con las restantes categoras descritas en este informe, los datos que se ofrecen aqu solo son relevantes en lo que atae a las familias de software malintencionado que la herramienta es capaz de detectar. Aunque sin duda existen rootkits conocidos que la herramienta pasa por alto debido a su baja predominancia, y tambin, probablemente, rootkits desconocidos que la herramienta no detecta, los comentarios de los clientes y la telemetra obtenida por otros servicios de Microsoft como Windows Live OneCare y Windows Live Safety Center Beta indican que las cinco familias ya tratadas por MSRT representan una proporcin importante de los rootkits que hoy en da afectan a un nmero significativo de usuarios.

La tcnica ms eficaz contra los rootkits es la prevencin. Se recomienda a los clientes que mantengan actualizadas sus definiciones de virus para que el mecanismo de proteccin en tiempo real sea capaz de detectar y bloquear el rootkit antes de que pueda instalarse en el equipo y, si es posible, trabajar como usuario no administrador. Los usuarios que trabajan como usuarios estndar no tienen la capacidad de instalar la mayora de los rootkits en sus equipos. Windows Vista, la generacin siguiente de sistemas operativos de Microsoft, contiene tambin varias funciones que ayudan a bloquear los rootkits y evitar que manipulen las estructuras internas bsicas del sistema operativo. En caso de que la prevencin no sea posible y la mquina ya est infectada por un rootkit, los clientes deben utilizar un producto antivirus o herramienta de eliminacin capaz de detectarlo y eliminarlo. En este caso, los usuarios, especialmente los usuarios de empresa, deben medir las ventajas e inconvenientes de tomar medidas adicionales para resolver la situacin.

En lo que respecta a las amenazas de ingeniera social, el correo electrnico es la tcnica ms generalizada de las descritas anteriormente, ya que cerca del 0% de los equipos limpiados estaban infectados con al menos una amenaza capaz de propagarse por correo electrnico. Aunque MSRT es capaz de detectar y eliminar tres de los principales gusanos de mensajera instantnea (Win/Bropia, Win/Kelvir y Win/Mytob), estas amenazas slo se han encontrado en un nmero relativamente pequeo de equipos: algo menos de 50.000. Es una cifra reducida en comparacin con los cerca de 50.000 equipos en los que se ha eliminado Win/Alcan y Win/Antinny, que se propagan a travs de redes entre iguales. El software malintencionado que se propaga por redes entre iguales tiene la capacidad de detectar si en un equipo estn instaladas determinadas aplicaciones P2P de gran implantacin. En caso afirmativo crean copias de s mismos, normalmente usando nombres engaosos, en las carpetas que las aplicaciones PP usan para compartir archivos en la red. De este modo, el gusano es compartido en la red entre iguales. Adems de un antivirus actualizado, las mejores tcnicas contra ese tipo de amenazas de ingeniera social son la informacin a los usuarios y limitar el impacto de la amenaza trabajando como usuario no administrador.

Una de las razones por las que los programas malintencionados de mensajera instantnea han tenido menos xito a la hora de propagarse entre una gran masa de usuarios es que stos estn empezando a incorporar funciones que ayudan a los usuarios a evitar infectarse. Por ejemplo, la versin 7 de MSN Messenger impide a los usuarios enviar archivos de determinados tipos ejecutables, y para hacer clic en los vnculos dentro de los mensajes instantneos se solicita confirmacin por parte del usuario. Este tipo de protecciones todava no se han integrado en los programas clientes de PP. La otra razn importante de esta diferencia es que las aplicaciones PP, al ser un mecanismo de intercambio de archivos, son mucho ms apropiadas para la propagacin de archivos malintencionados que los programas de mensajera instantnea, cuya tarea principal es el intercambio de mensajes.

Figura 7. Correlacin de las infecciones de software malintencionado por tipo

La figura 7 muestra la coexistencia en un mismo equipo de los diferentes tipos de software malintencionado descritos anteriormente. De todos los equipos en que MSRT ha detectado un gusano de correo electrnico, en el 1,0% de los casos tambin encontr un gusano de PP. Inversamente, en el 1,9% de los casos en que la herramienta detect un gusano de PP, tambin encontr un gusano de correo electrnico.

La coincidencia ms importante se produce entre los rootkits y los troyanos de puerta trasera. En el 0% de los casos en que se encontr un rootkit en un equipo, tambin estaba presente al menos un troyano de puerta trasera. Esto muestra la tendencia a que un gran nmero de rootkits sean distribuidos o aprovechados por troyanos de puerta trasera. Los porcentajes

1

de coincidencia tambin son altos cuando se trata de gusanos de PP y troyanos de puerta trasera o de gusanos de mensajera instantnea y troyanos de puerta trasera. Estos valores no son de extraar, ya que muchos gusanos de PP y de mensajera instantnea suelen instalar bots en el equipo una vez que son ejecutados.

Cambios en la eliminacin de software malintencionado El seguimiento de los cambios en las eliminaciones de familias de software malintencionado por la herramienta es til por dos razones. En primer lugar, permite a Microsoft supervisar la actividad y predominancia de determinadas familias de software malintencionado. Cuando una familia experimenta un aumento de eliminaciones desde su primera integracin en la herramienta, esto suele indicar que hay variantes que estn siendo lanzadas y replicndose activamente. El seguimiento de los cambios en las eliminaciones tambin es til porque permite a Microsoft supervisar los logros de MSRT, a fin de garantizar que las variantes de familias de software malintencionado detectadas por la herramienta vayan perdiendo predominancia. Aunque pueden existir otros factores que expliquen la disminucin, el hecho de que MSRT haya eliminado una cantidad importante de instancias de estas familias de software malintencionado significa que al menos es parcialmente responsable de la reduccin de su predominancia.

Figura 8. Cambios en las eliminaciones de Win32/Rbot

Microsoft registra los cambios en las eliminaciones de software malintencionado por MSRT mediante dos indicadores que responden a las razones descritas anteriormente. La figura superior, figura 8, muestra estos indicadores usando como ejemplo la familia Win/Rbot. Hay que tener en cuenta que el eje x corresponde a meses y aos naturales. En este modelo es importante usar la fecha para mostrar la progresin a lo largo del tiempo. Dado que los usuarios pueden ejecutar versiones anteriores de MSRT (aunque a los 60 das del lanzamiento aparece una pantalla de aviso), esta medicin sera menos exacta si se usaran los meses de lanzamiento de la herramienta.

Cambios en familias (lnea negra punteada): El cambio en las eliminaciones de una familia desde el momento en que se integr en la herramienta la deteccin de dicha familia hasta el lanzamiento de la ltima versin. Este dato ofrece una excelente

visin de cmo las eliminaciones de una familia van cambiando con el tiempo, pero le restan precisin las familias que estn activas y que, cuando fueron incluidas en la herramienta por primera vez, dieron lugar a un nmero pequeo de eliminaciones. El grfico muestra el nmero total de eliminaciones de la familia Win32/Rbot desde abril de 2005 a marzo de 006. Usando estos datos podemos calcular que el nmero de eliminaciones de esta familia se ha incrementado en aproximadamente un 16% a lo largo de los 11 ltimos meses. Dada esta informacin y los datos de la figura 5, podemos deducir que Rbot es una familia muy activa y predominante. Hay que tener en cuenta que, grficamente, esta serie de datos representa la suma de las lneas continuas situadas ms abajo.

Promedio de cambio por versin (lneas continuas): El cambio en el nmero de eliminaciones de una serie concreta de variantes incluidas en una versin de la herramienta, desde el momento en que la serie fue incluida en la herramienta hasta la ltima versin de sta, en promedio de todas las versiones. Este indicador no se ve afectado por el gran nmero de eliminaciones producido por las familias activas de software malintencionado, y por lo tanto resulta una medida ms exacta para determinar la eficacia de la herramienta a la hora de reducir las instancias de una familia en estado salvaje. En el grfico, las lneas continuas representan el nmero de eliminaciones de una serie de variantes de Win32/Rbot incluidas en una versin concreta de la herramienta, a lo largo del tiempo. Cuanto ms larga es la lnea, mayor nmero de detecciones se han producido. Por ejemplo, la lnea ms larga, de color azul oscuro, representa la primera serie de variantes de Rbot incluidas en la herramienta. Lo que se puede deducir aqu de modo general es que cuando una serie de variantes de Rbot es incluida en la herramienta, el nmero de eliminaciones de esas variantes acaba por descender. Si calculamos el cambio en las eliminaciones de cada una de esas series de variantes a lo largo del tiempo y luego obtenemos el promedio de esos cambios, veremos que las eliminaciones de variantes de Rbot han disminuido en aproximadamente un 79% desde que fueron incluidas por primera vez en MSRT.

1

Figura 9. Cambios en la eliminacin de software malintencionado

La figura 9 muestra la mayor parte de las familias de software malintencionado detectadas por la herramienta, junto con las dos mediciones de cambios en la eliminacin comentadas anteriormente, todo ello clasificado por porcentaje de cambios de cada familia en orden ascendente. Hay que tener en cuenta que las tres familias incluidas en la versin de marzo de 006 de la herramienta (Win/Atak, Win/Torvil y Win/Zlob) no se incluyen en esta lista, dado que todava no ha habido oportunidad de establecer la tendencia de cambio en el nmero de eliminaciones. Adems, Win/Bofra, Win/Gibe, Win32/Opaserv, Win32/Badtrans y Win32/Zotob estn excluidos por falta de suficientes eliminaciones (

15

Del mismo modo, el nmero de eliminaciones aument de aproximadamente .000 a 0.000 durante el mismo periodo. En consecuencia, aunque el nmero de eliminaciones de Hackdef sigue siendo pequeo en comparacin con otras familias de software malintencionado, se ha incrementado notablemente desde que se incluy en la herramienta la deteccin de esta familia. Estas tendencias resultan obvias a la vista de los indicadores de cambio de esta familia, que se muestran en la figura 9. Aunque se ha producido un gran aumento de las eliminaciones (%), la espectacularidad de esta cifra se debe a que las eliminaciones empezaron a un ritmo muy bajo. En promedio, las eliminaciones de esta familia han disminuido en un 1%.

Informacin de sistema operativo Usando la informacin de telemetra recopilada por MSRT, Microsoft puede determinar la predominancia de las amenazas detectadas en las versiones reconocidas de Microsoft Windows. La figura 10 muestra desde varias perspectivas la predominancia de software malintencionado en todos estos sistemas operativos en la versin de marzo de 006.

Los dos primeros grficos de tarta reflejan todo el software malintencionado detectado por la herramienta en la versin de marzo de 2006. En el grfico denominado Total vemos que la mayora de las eliminaciones se efectuaron con Windows XP SP, y que el 9% de todas las eliminaciones se realizaron en equipos con Windows XP. La alta proporcin de desinfecciones en equipos Windows XP SP no es sorprendente, ya que la mayora de las ejecuciones de la herramienta se producen precisamente en estos equipos. En consecuencia, para obtener una visin ms realista de cul es el software malintencionado ms frecuente en determinados sistemas operativos, podemos normalizar los datos de la primera cifra.

En este caso, normalizar significa ajustar el porcentaje de desinfeccin en los distintos sistemas operativos para valorar el nmero de ejecuciones de la herramienta en cada uno de ellos. Dicho de otro modo, para reducir la desviacin en el porcentaje de desinfecciones causada por la presencia masiva de un solo sistema, dividimos el nmero de desinfecciones de cada sistema operativo por el porcentaje relativo de ejecuciones efectuadas en l. De este modo, en los sistemas operativos con un alto porcentaje de ejecuciones, el nmero de desinfecciones se incrementar en una cantidad menor que en los sistemas operativos con un bajo porcentaje.

La frmula matemtica concreta utilizada en este caso es:

desinfecciones normalizadasSO = desinfecciones porSO/porcentaje de ejecucionesSO

Figura 10. Equipos limpiados en la versin de marzo de 2006, por sistema operativo

16

Al aplicar esta frmula a los porcentajes de desinfeccin y ejecucin de la versin de marzo de 2006, obtenemos el grfico de la esquina superior derecha de la figura 10. El grfico muestra un cambio espectacular en los porcentajes, ya que Windows XP SP cae al % de las desinfecciones normalizadas y el 6% se asigna a Windows XP Gold y SP1. Este modo de presentacin tiene sentido tanto desde el punto de vista tcnico como desde el punto de vista social. En primer lugar, Windows XP SP contiene una serie de mejoras y revisiones de seguridad para vulnerabilidades, que no estaban presentes en versiones anteriores de Windows XP, lo que dificulta en mayor medida las infecciones por software malintencionado en algunos casos. En segundo lugar, es probable que un usuario que todava no se haya actualizado al ltimo Service Pack sea ms vulnerable a los ataques que utilizan ingeniera social. De hecho, esto parece confirmarse tambin en el caso de Windows 2000 y Windows Server 00, ya que las ltimas versiones de los Service Pack de esos sistemas operativos muestran igualmente cifras bajas de desinfecciones normalizadas en comparacin con versiones anteriores de stos.

Los seis grficos que siguen a los dos cuadros principales muestran las desinfecciones normalizadas desglosadas en las mismas categoras que se muestran en la figura 2. En general, los resultados de estos grficos son similares a los resultados normalizados cuando se tienen en cuenta todas las desinfecciones. De hecho, el orden de los sistemas operativos es idntico en todos los casos. Si se contempla separadamente Windows XP SP, se comprueba que los mayores porcentajes de desinfecciones de este sistema operativo son los relacionados con amenazas propagadas por correo electrnico, mensajera instantnea y redes entre iguales. Esto no es de extraar, ya que ese tipo de amenazas (a diferencia de los gusanos de explotacin, por ejemplo) usan tcnicas de ingeniera social para atacar a las mquinas, un mtodo al que son vulnerables todos los sistemas operativos.

Informacin de configuracin regional Figura 11. Equipos limpiados por la versin de marzo de 2006, por configuracin regional

La figura 11 muestra los equipos limpiados por la versin de marzo de 2006 de MSRT, divididos por configuracin regional del sistema. Hay que tener en cuenta que la configuracin regional no indica necesariamente la localizacin geogrfica. Por ejemplo, la configuracin Ingls (Estados Unidos) est muy extendida en otros pases de todo el mundo. El cuadro de la izquierda de la figura 11 muestra que una gran parte de los equipos limpiados tienen un sistema operativo en lengua inglesa. Sin embargo, como sucede en el caso de Windows XP SP ya descrito anteriormente, este indicador es engaoso, ya que una gran parte de los equipos en que se ejecuta la herramienta tienen instalado precisamente un sistema operativo en lengua inglesa. En consecuencia, al igual que en el caso anterior, conviene normalizar los datos usando el criterio del porcentaje de ejecucin por configuracin regional. El clculo es similar al descrito en el caso de las versiones de sistemas operativos, utilizando la variable porcentaje de ejecucinconfiguracin regional en lugar de porcentaje de ejecucinSO.

El resultado de este clculo se muestra en la parte derecha de la figura 11 y ofrece conclusiones interesantes. En este caso, el proceso de normalizacin divide las desinfecciones de manera bastante equitativa entre la mayora de las configuraciones regionales. En otras palabras, si se tiene en cuenta todo el software malintencionado eliminado por la herramienta y se normalizan los valores, las eliminaciones se reparten entre todas las configuraciones regionales de Windows, incluida la de lengua inglesa. Como se aprecia en el grfico, la nica excepcin es la configuracin regional turca, a la que se asigna el 20,2% de los equipos limpiados despus de la normalizacin. Analizando los datos ms a fondo descubrimos que esta peculiaridad se repite en todas las familias de software malintencionado. Aunque el equipo de Microsoft contra software malintencionado contina estudiando estos datos, an se desconoce la razn concreta por la que los equipos en lengua turca acaparan un alto porcentaje de desinfecciones normalizadas.

17

ConclusionesPara el equipo de Microsoft contra software malintencionado y nuestros colaboradores dentro de la empresa, los ltimos 15 meses han sido una poca muy interesante, que ha visto la aparicin de la Herramienta de eliminacin de software malintencionado, Windows Defender Beta, Windows Live OneCare Beta y Windows Live Safety Center Beta. En los prximos 15 meses, que prometen ser igual de emocionantes, se lanzarn las versiones completas de estos productos, adems de Microsoft Forefront Client Security, una solucin unificada de proteccin contra software malintencionado para ordenadores de escritorio, porttiles y sistemas operativos de servidor, de muy fcil manejo, y se continuar lanzando MSRT.

Gracias a estas ofertas, Microsoft dispondr de nuevas fuentes de datos acerca de la predominancia del software malintencionado, de modo similar a los datos recopilados por MSRT. Para Microsoft, recopilar esta informacin es bsico para entender el panorama de las amenazas, a fin de combatirlas y ayudar a nuestros clientes a sacar el mximo provecho de sus equipos. Por ejemplo, dado que los bots han sido identificados como causantes de una gran mayora de las infecciones detectadas por MSRT, el equipo de respuesta contra software malintencionado ha desarrollado una serie de tcnicas de anlisis y generacin automtica de definiciones para estas amenazas. Gracias a esto ha aumentado espectacularmente el nmero de definiciones y la capacidad de los equipos para reaccionar a la aparicin de nuevos bots.

Microsoft considera muy til compartir esta informacin con nuestros socios y clientes, no solo para demostrar el impacto de nuestras herramientas y productos en el panorama de las amenazas, sino tambin para compartir conocimientos. Este informe es el primer ejemplo importante de esta filosofa; en el futuro habr ms, y con mayor frecuencia. Tenemos la esperanza de que otros en la industria de la seguridad pueden usar esos datos para mejorar nuestra comprensin comn del panorama del software malintencionado y centrarse en el objetivo compartido de reducir el impacto del software malintencionado sobre la base de usuarios de Windows.

ApndiceAntecedentes de MSRT A finales de 2003, Microsoft adquiri los activos de GeCAD Software, un proveedor de tecnologa antivirus, lo que permiti a la Unidad de tecnologa de seguridad de Microsoft (STU) empezar a investigar herramientas y tecnologas relacionadas con los antivirus. El primer resultado de esta adquisicin fue la herramienta Blaster Worm Removal Tool, que el equipo de la STU contra software malintencionado lanz en enero de 00, en respuesta a la informacin de algunos socios proveedores de servicios de Internet de que el gusano Blaster segua siendo una amenaza en aquel momento. La herramienta era capaz de eliminar todas las variantes conocidas por entonces de Msblast y Nachi y fue suministrada a travs de Windows Update a los equipos infectados. A los usuarios con probabilidad de estar infectados se les ofreci la herramienta a travs de Windows Update (WU) / Actualizaciones automticas (AA), lo que permiti a Microsoft obtener datos de telemetra bsicos acerca de la predominancia de Msblast y Nachi en 00 y eliminar este software malintencionado en ms de 10 millones de equipos. En marzo de 00 y mayo de 00 se lanzaron nuevas herramientas de limpieza independientes para detectar y eliminar Mydoom y Berbew, respectivamente.

Aunque, segn los comentarios de los clientes de Microsoft, estas herramientas diseadas para amenazas concretas fueron bien recibidas, muchos echaban de menos un sistema ms coherente y predecible. En respuesta a estas peticiones se decidi crear la Herramienta de eliminacin de software malintencionado de Windows (MSRT).

A continuacin, las caractersticas fundamentales de la herramienta:

Se lanza el segundo martes de cada mes, junto con todas las actualizaciones de seguridad de ese mes. En caso necesario, para combatir amenazas de alta prioridad, la herramienta se lanza de forma extraordinaria fuera de ese calendario. Hasta ahora, Microsoft solo ha lanzado una versin extraordinaria de la herramienta, en agosto de 005, para hacer frente al gusano Zotob. Dado que, segn los datos que se manejaban, la propagacin del gusano Zotob se limitara a determinadas organizaciones equipadas con Windows 000, la actualizacin solo se distribuy a travs del Centro de descargas de Microsoft y el sitio web de MSRT.

Todas las versiones mensuales de la herramienta se distribuyen simultneamente desde Microsoft Update (MU), Windows Update (WU), Actualizaciones automticas (AA), el Centro de descargas de Microsoft y el sitio web de MSRT (http://www.microsoft.com/security/malwareremove/default.mspx).

Todas las versiones de la herramienta son acumulativas e incluyen todas las amenazas presentes en anteriores versiones.

1

En el modo de distribucin a travs de WU/MU/AA, cada versin de la herramienta se ejecuta una sola vez y luego finaliza. Si se encuentra y elimina algn software malintencionado, la herramienta muestra un mensaje al usuario despus del siguiente reinicio del equipo. Si no se ha encontrado ningn software malintencionado, no se muestra al usuario ningn mensaje ni interfaz. Los usuarios que desean ejecutar la herramienta ms de una vez al mes pueden descargarla a peticin desde el Centro de descargas de Microsoft o ejecutarla desde el sitio web http://www.microsoft.com/malwareremove.

De forma predeterminada, la herramienta solo busca software malintencionado que est ejecutndose o que est asociado a una ubicacin de inicio automtico, como por ejemplo el registro. La herramienta ha sido diseada intencionadamente de este modo para reducir el tiempo de ejecucin, en especial a travs de WU/AA.

La herramienta contiene mecanismos que permiten implementarla y ejecutarla fcilmente en los entornos de empresa. Los casos especficos previstos incluyen la distribucin a travs de Microsoft System Management Server (SMS) o un sistema de administracin de aplicaciones similar, as como la ejecucin de la herramienta a cada inicio de sesin en la red o inicio del sistema. Los administradores que deseen implementar la herramienta usando alguno de esos mtodos pueden usar los cdigos de estado que devuelve la herramienta (consultar KB91716) para supervisar su implementacin y estado. La herramienta tambin est disponible para su implementacin a travs de Windows Server Update Services (WSUS).

El tamao de la herramienta se ha reducido al mnimo posible para facilitar el uso a los clientes con ancho de banda limitado. En junio de 005, la herramienta empez a utilizar actualizaciones delta a travs de WU/MU/AA. Gracias a ello, los usuarios que han ejecutado una versin reciente de la herramienta pueden descargar una actualizacin ms pequea, que consiste bsicamente en la diferencia entre lo que el usuario ya ha empleado en su sistema y la versin ms reciente. Actualmente, cerca del 80% de los usuarios de WU/MU/AA aprovechan estas actualizaciones ms pequeas, lo que significa un ahorro medio de 1 megabyte (MB) por usuario y aproximadamente 0 terabytes (TB) de datos por cada versin.