Progressi fatti e tendenze rilevate

Transcript

1 Progressi fatti e tendenze rilevate MSRTWhite paper del team Microsoft Antimalware Windows Malicious Software Removal Tool Matthew Braverman Program manager Team Microsoft Antimalware

2 Ringraziamenti Si ringraziano le seguenti persone per aver contribuito alla redazione di questo documento: Mike Chan, Brendan Foley, Jason Garms, Robert Hensing, Ziv Mador, Mady Marinescu, Michael Mitchell, Adam Overton, Matt Thomlinson e Jeff Williams

3 Le informazioni contenute nel presente documento rappresentano le conoscenze attuali di Microsoft Corporation sugli argomenti trattati, alla data della pubblicazione. Poiché Microsoft deve far fronte alle mutevoli condizioni del mercato, il documento non è impegnativo per Microsoft e Microsoft non garantisce l'accuratezza delle informazioni qui contenute, dopo la data della pubblicazione.questo documento è esclusivamente per scopi informativi. MICROSOFT ESCLUDE OGNI GARANZIA ESPRESSA, IMPLICITA O DI LEGGE IN QUESTO DOCUMENTO. Il rispetto di tutte le applicabili leggi in materia di copyright è esclusivamente a carico dell'utente. Fermi restando tutti i diritti coperti da copyright, nessuna parte di questo documento potrà comunque essere riprodotta o inserita in un sistema di riproduzione o trasmessa in qualsiasi forma e con qualsiasi mezzo (in formato elettronico, meccanico, su fotocopia, come registrazione o altro) per qualsiasi scopo, senza il permesso scritto di Microsoft Corporation. Microsoft può essere titolare di brevetti, domande di brevetto, marchi, copyright o altri diritti di proprietà intellettuale relativi all'oggetto del presente documento. Salvo quanto espressamente previsto in un contratto scritto di licenza Microsoft, la consegna del presente documento non implica la concessione di alcuna licenza su tali brevetti, marchi, copyright o altra proprietà intellettuale. Copyright 2006 Microsoft Corporation. Tutti i diritti riservati. Microsoft, ActiveX, Excel, MSN, Windows, Windows Server, Windows Live e Windows Vista sono marchi registrati o marchi di Microsoft Corporation negli Stati Uniti e/o in altri Paesi.

4 MSRT Windows Malicious Software Removal Tool Strumento di rimozione malware per Windows: progressi fatti e tendenze rilevate Riepilogo Negli ultimi anni Microsoft ha investito cospicuamente nella ricerca di software dannoso (cosiddetto malware ) e nello sviluppo di tecnologie finalizzate ad aiutare i clienti a ridurre i rischi di protezione a esso associati. Nell'ambito di questi investimenti, Microsoft ha creato un team specializzato, denominato Antimalware, che si occupa della ricerca di software dannoso, spyware e altri programmi indesiderati e del rilascio e della manutenzione dello Strumento di rimozione malware per Windows (MSRT, Malicious Software Removal Tool) e di Windows Defender. Il team fornisce inoltre le tecnologie antimalware di base (compresi gli aggiornamenti dei motori di scansione e delle definizioni di software dannoso) per prodotti quali Microsoft Windows Live OneCare, Windows Live Safety Center Beta, Microsoft Antigen e l'imminente Microsoft Forefront Client Security. Il 13 gennaio 2005 Microsoft ha reso disponibile in 24 lingue la prima versione di MSRT per gli utenti di Microsoft Windows 2000, Windows XP e Microsoft Windows Server Questo strumento consente di identificare e rimuovere il malware più diffuso dai computer dei clienti ed è disponibile gratuitamente per gli utenti di Windows che possiedono una regolare licenza. Al momento della stesura del presente documento, Microsoft ha già distribuito altre 15 versioni dello strumento e il secondo martedì di ogni mese pubblica una nuova versione per il rilevamento e la rimozione di nuovo malware comunemente diffuso. Dal primo rilascio di MSRT, lo strumento è stato eseguito più o meno 2,7 miliardi di volte su oltre 270 milioni di singoli computer. Questo report fornisce informazioni dettagliate sulla situazione del malware in base ai dati raccolti da MSRT1 ed evidenzia il ruolo avuto da questo strumento nel ridurre l'impatto del malware sugli utenti di Windows. Di seguito vengono riepilogati i punti chiave ricavati dall'analisi dai dati, che saranno trattati più approfonditamente nel corpo del documento. Negli ultimi 15 mesi, MSRT ha rimosso 16 milioni di istanze di software dannoso da 5,7 milioni di singoli computer che eseguono Windows. In media, lo strumento rimuove almeno un'istanza di software dannoso ogni 311 computer sui quali viene eseguito. Da quando sono state aggiunte allo strumento, 41 delle 61 famiglie di malware rilevate da MSRT tra gennaio 2005 e febbraio 2006 sono state rinvenute meno di frequente e 21 di esse hanno registrato una riduzione superiore al 75%. I Trojan backdoor, che consentono a un utente malintenzionato di controllare un computer infetto e accedere a informazioni riservate, rappresentano una minaccia grave e tangibile per gli utenti di Windows. MSRT ha rimosso almeno un Trojan backdoor da circa 3,5 milioni di singoli computer. Ciò significa che su 5,7 milioni di computer sui quali lo strumento ha rimosso malware, un Trojan backdoor era presente nel 62% dei casi. I bot, una sottocategoria di Trojan backdoor che comunica attraverso la rete Internet Relay Chat (IRC), sono associati alla maggior parte delle rimozioni. I rootkit, che apportano modifiche al sistema allo scopo di nascondere o proteggere altri componenti potenzialmente dannosi, rappresentano un pericolo emergente ma non ancora diffuso su larga scala. Su 5,7 milioni di computer sui quali lo strumento ha rimosso malware, un rootkit era presente nel 14% dei casi. Questo numero scende al 9% se si esclude WinNT/F4IRootkit, il rootkit distribuito con alcuni CD musicali della Sony. Nel 20% dei casi, quando è stato rilevato un rootkit su un computer, è stato trovato anche un Trojan backdoor. Gli attacchi di tipo social engineering rappresentano una percentuale significativa di infezioni da malware. I worm che si diffondono tramite la posta elettronica, le reti peer-to-peer e i client di messaggistica istantanea sono associati al 35% di disinfezioni eseguite da MSRT. Il problema del malware sembra essere di natura migratoria. Quasi tutti i computer ripuliti da ogni versione di MSRT sono computer sui quali lo strumento non ha mai rimosso malware prima. La versione di MSRT di marzo 2006 ha rimosso malware da circa computer (il 20% di tutti i computer ripuliti) sui quali lo strumento aveva rimosso in precedenza software dannoso. Panoramica su MSRT Lo Strumento di rimozione malware per Windows (MSRT, Windows Malicious Software Removal Tool) consente di identificare e rimuovere il malware più diffuso dai computer dei clienti ed è disponibile gratuitamente per gli utenti di Windows che possiedono una regolare licenza. Il principale meccanismo di rilascio di MSRT è costituito da Windows Update (WU), Microsoft

5 Update (MU) e Aggiornamenti automatici (AU, Automatic Updates). Alcune versioni dello strumento possono anche essere scaricate dall'area download Microsoft e come controllo Microsoft ActiveX dal sito Web malwareremove. La versione corrente dello strumento è capace di rilevare e rimuovere 61 differenti famiglie di malware. Con il rilascio e la manutenzione di MSRT, Microsoft intende soddisfare due obiettivi principali: 1. Ridurre l'impatto che il software dannoso comunemente diffuso ha sugli utenti di Windows. 2. Utilizzare i dati raccolti da MSRT per individuare un insieme significativo di tendenze riguardanti il software dannoso all'origine dei problemi che affliggono i clienti di Windows. Questi dati sono stati utilizzati dal team Microsoft Antimalware per far convergere le attività di sviluppo e ridurre al minimo i tempi necessari a rispondere alla diffusione del malware. Inoltre, grazie a report come questo, altri ricercatori responsabili della sicurezza possono utilizzare i dati pubblicati per migliorare le loro conoscenze dello scenario del malware e concentrarsi sull'obiettivo comune di ridurne l'impatto sugli utenti di Windows. Lo strumento non rimuove spyware e programmi indesiderati. Gli utenti di Windows devono scaricare e installare un'applicazione antispyware aggiornata per rilevare e rimuovere i programmi indesiderati dal computer. Windows Defender, la soluzione antispyware sviluppata da Microsoft, disponibile in versione beta al momento della stesura di questo documento, può essere scaricata gratuitamente dagli utenti di Windows in possesso di una regolare licenza dal sito Web MSRT non può sostituirsi a una soluzione antivirus aggiornata perché non garantisce protezione in tempo reale e utilizza solo la parte del database di firme antivirus Microsoft che consente di rimuovere il software dannoso più diffuso. Tuttavia, Microsoft consiglia agli utenti che possiedono un antivirus aggiornato di eseguire anche MSRT come ulteriore misura di difesa. Gli utenti possono anche beneficiare indirettamente dell'utilizzo di MSRT perché i sistemi infetti possono influire negativamente sulle risorse condivise, ad esempio Internet o una rete LAN. Gli utenti di Windows sono vivamente consigliati di installare e mantenere aggiornata una soluzione antivirus che garantisca protezione in tempo reale e abbia un database di firme antivirus completo. Microsoft Windows Live OneCare soddisfa questi requisiti, come pure altri programmi antivirus distribuiti dai partner commerciali Microsoft (riportati sul sito Web Cenni preliminari sul report Questo report fornisce dati e approfondimenti che descrivono i progressi fatti da Microsoft negli ultimi 15 mesi rispetto agli obiettivi fissati al momento del rilascio di MSRT: riduzione della quantità di software dannoso comunemente diffuso e raccolta di misurazioni utili che funzionano da indicatore dello stato corrente del malware che colpisce Windows. In futuro verranno pubblicati con maggiore frequenza altri report contenenti analisi effettuate da Microsoft sulla situazione del malware, in base a dati provenienti anche da fonti diverse da MSRT. In questo report vengono esaminati tutti i dati raccolti da tutte le versioni di MSRT fino a marzo 2006 (inclusa la versione di marzo 2006). Anche se sono state distribuite nuove versioni di MSRT dalla data di pubblicazione di questo report, era necessario stabilire una data limite per congelare i dati e consentirne il trattamento, la verifica e l'analisi. Per una descrizione dei dati raccolti da MSRT, consultare l'appendice del presente documento. I dati utilizzati in questo report derivano dalle misurazioni delle infezioni rinvenute da MSRT sui computer dei clienti. Oggigiorno esistono molte altre tecniche che consentono di misurare la diffusione del malware: alcune calcolano le richieste inviate a una rete, altre il numero di messaggi inviati da software potenzialmente dannoso. Tuttavia, queste tecniche calcolano soltanto il numero di copie di malware distribuite dai computer infetti, non il numero di computer infetti, dato che un'infezione può generare molte copie di sé. Di conseguenza, il controllo delle infezioni è il metodo più accurato per determinare la diffusione delle infezioni da malware. Nel caso di MSRT, la rilevanza dei dati diventa particolarmente significativa quando si considera il criterio del numero di esecuzioni dello strumento.

6 I profili degli utenti di MSRT sono diversi, ma è probabile che molti utenti, in ragione dei meccanismi di rilascio dello strumento, siano utenti privati o piccole aziende. La maggior parte dei dati in questo report si riferisce pertanto a questo tipo di clienti. Tuttavia, le tendenze e le indicazioni fornite sono applicabili a tutti gli utenti di Windows. In questo documento si fa riferimento ai seguenti termini relativi al software dannoso: Famiglia: gruppo di varianti simili di software dannoso. Ad esempio, Win32/Rbot è una famiglia di malware che contiene migliaia di varianti simili ma non identiche. Variante: variazione specifica di software dannoso. Ad esempio, Win32/Rbot.A è una variante all'interno della famiglia Win32/Rbot. Istanza o infezione: identificazione di una determinata variante di malware su un computer. Si osservi che un'istanza comprende tutti i componenti (file, chiavi del Registro di sistema e così via) di una singola variante e ogni volta che una variante di malware viene rimossa da un computer, viene contata come istanza a sé. Ad esempio, se lo strumento rimuove contemporaneamente le varianti Win32/Rbot.A e Win32/Rbot.B da un computer, si tratta di due infezioni o istanze. Se, tre mesi dopo, lo strumento rimuove di nuovo Win32/Rbot.A dallo stesso computer, si tratta di un'ulteriore infezione. Statistiche associate alle versioni Il principale meccanismo di rilascio di Windows MSRT è costituito da Windows Update (WU), Microsoft Update (MU) e Aggiornamenti automatici (AU). Tramite questo meccanismo, MSRT viene eseguito ogni mese su centinaia di computer in tutto il mondo e fornisce dati attendibili da analizzare riguardanti software dannoso. Figura 1. Esecuzioni di MSRT a partire da Windows Update (WU), Aggiornamenti automatici (AU) e Microsoft Update (MU) La figura 1 illustra il numero di esecuzioni di MSRT su singoli computer per ciascuna delle 15 versioni mensili rilasciate tra gennaio 2005 e marzo Si osservi che in questo grafico i valori elencati come categorie per l'asse X si riferiscono alle versioni di MSRT e non ai mesi del calendario. Ad esempio, la versione di febbraio 2006 di MSRT è stata pubblicata il 14 febbraio 2006 e poi sostituita da quella di marzo 2006 in data 14 marzo Inoltre, si tenga presente che la versione di agosto distribuita fuori programma per rimuovere il worm Zotob non è presente nella figura, perché è stata resa disponibile solo nell'area download Microsoft e come controllo ActiveX sul sito Web com/malwareremove, ma non è stata rilasciata tramite Windows Update (WU), Microsoft Update (MU) o Aggiornamenti automatici (AU). Come mostrato in figura 1, con alcune eccezioni, il numero di esecuzioni di MSRT aumenta con ciascuna versione. Particolarmente significativa è la differenza nel numero di esecuzioni tra la prima versione dello strumento e quella più recente. Tra queste versioni, il numero di esecuzioni per ciascuna versione è più che raddoppiato, passando da 125 milioni a 270 milioni di esecuzioni su singoli computer. La differenza è dovuta al maggiore utilizzo di Windows Update (WU) e Aggiornamenti automatici (AU) che, a sua volta, è attribuibile con tutta probabilità ad alcune iniziative avviate da Microsoft, quali Windows XP Service Pack 2 (che consigliava l'attivazione di AU) e Proteggi il tuo PC, come pure agli accordi con i produttori OEM per la fornitura di nuovi computer sui quali è preinstallato Windows XP SP2. La somma delle esecuzioni di ciascuna versione dà come risultato il numero totale di esecuzioni di MSRT avviate a partire da Windows Update (WU), Aggiornamenti automatici (AU), Microsoft Update (MU), ossia 2,7 miliardi di esecuzioni dal rilascio della prima versione dello strumento. Il numero di esecuzioni è anche incoraggiante rispetto all'alto numero di computer che accedono a Windows Update (WU) e Aggiornamenti automatici (AU) con cadenza regolare, tendenza questa in aumento. L'utilizzo crescente e puntuale di questi meccanismi di aggiornamento Microsoft può contribuire a diminuire l'impatto che il software dannoso ha sui clienti. 6

7 Informazioni sul malware rilevato Ogni mese, il team Microsoft Antimalware effettua ricerche sui nuovi tipi di software potenzialmente dannosi e diffusi che devono essere aggiunti alla versione successiva di MSRT. I criteri in base ai quali il team sceglie i nuovi tipi di software da aggiungere a MSRT si fondano su tre fattori: Il software deve essere ampiamente diffuso. Il software deve essere dannoso o capace di provocare una situazione dannosa. Il software sarà probabilmente in esecuzione sul sistema durante l'esecuzione di MSRT. Il primo requisito fondamentale affinché un nuovo tipo di software dannoso venga aggiunto a MSRT è la sua diffusione. Per individuare nuovi tipi di software potenzialmente dannosi e determinarne la diffusione, il team utilizza un insieme di parametri interni ed esterni. I principali parametri interni includono i dati raccolti da Windows Live Safety Center Beta ( e Windows Live OneCare, che cercano nei computer su cui vengono eseguiti tutti i programmi software dannosi noti a Microsoft. Il principale parametro esterno utilizzato è WildList ( lo standard antivirus de facto che elenca i tipi di software dannosi ampiamente diffusi e costituisce la base per quasi tutte le certificazioni antivirus (ad esempio ICSA Antivirus Certification e West Coast Labs Check-Mark, che sono state conferite di recente a Windows Live OneCare). Il secondo requisito affinché i tipi di software vengano aggiunti allo strumento è che si tratti di software dannoso (ad esempio virus, worm, Trojan horse, bot o rootkit). Nella maggior parte dei casi, il software dannoso è codice in grado di replicarsi, che causa danni evidenti o espone il sistema interessato a compromessi o ad altri rischi di protezione. Lo strumento non rimuove spyware e programmi indesiderati. Il terzo requisito è che il malware sia in esecuzione sul computer. Questo requisito dipende dal modo in cui lo strumento viene eseguito a partire da Windows Update (WU), Microsoft Update (MU) e Aggiornamenti automatici (AU). Dato che, nella maggior parte dei casi, lo strumento viene eseguito una volta al mese per cercare malware in esecuzione e in posizioni di avvio automatico e poi viene chiuso senza lasciare alcun componente residente nel sistema, MSRT sarà efficace solo se il malware è in esecuzione in quel momento o collegato a una posizione di avvio automatico. Lo strumento non rileva quindi codice che rischia di infettare file di dati, compresi i virus delle macro di Microsoft Word e Microsoft Excel. Se una nuova famiglia di software dannoso è stata ritenuta idonea ad essere aggiunta allo strumento, nella versione interessata vengono incluse anche tutte le varianti della famiglia, e in ogni versione futura tutte le nuove varianti della stessa. Figura 2. Famiglie di malware rilevate e rimosse da MSRT 7 La figura 2 elenca in ordine alfabetico le 61 famiglie di malware che MSRT è in grado di rilevare, a partire dalla versione di marzo 2006, suddivise in sette categorie che non si escludono a vicenda. Anche se esistono molti modi diversi di classificare il malware (a seconda delle capacità, del vettore di replica e così via), le sette categorie mostrate in figura - worm di posta elettronica, worm peer-to-peer (P2P), worm di messaggistica istantanea (IM, Instant Messaging), worm exploit, Trojan backdoor, rootkit e virus - costituiscono un utile sistema di classificazione generale che verrà utilizzato nel resto di questo documento. Dato che nuove varianti di malware in alcune delle famiglie menzionate compaiono ogni giorno, queste categorie potrebbero cambiare dopo la pubblicazione del presente documento. Si tenga presente che, in questa figura, un worm exploit è considerato un elemento potenzialmente dannoso che sfrutta almeno una vulnerabilità che è in grado di consentire l'esecuzione di codice senza alcuna azione da parte dell'utente. Il malware che sfrutta

8 vulnerabilità che richiedono un'azione dell'utente (ad esempio la visualizzazione di un messaggio o l'apertura di un sito Web) non è incluso in questa categoria. Affinché una famiglia di malware sia associata a una categoria, tutte le varianti note devono esibire spontaneamente il comportamento associato alla categoria. Ad esempio, solo una variante della famiglia Bagle (Bagle.O) può essere considerata un virus perché infetta file eseguibili. La famiglia Bagle non è quindi classificata come famiglia di virus. Facendo un altro esempio, molte varianti della famiglia Rbot sono in grado di sfruttare vulnerabilità software, ma Rbot non è classificata come worm exploit, perché nella maggior parte dei casi è necessario l'intervento manuale da parte del proprietario del bot per scatenare questo tipo di reazione. Come mostrato in figura 2, un'esigua quantità di famiglie non rientra in nessuna delle sette categorie. Si tenga presente che MSRT è in grado di rilevare alcune varianti di malware specifiche che non compaiono tra le famiglie elencate sopra. Queste varianti vengono rilasciate sui computer dalle famiglie elencate in figura e sono rilevate dallo strumento per garantire una disinfezione totale. Malware rimosso da MSRT Nella parte restante di questo documento vengono fornite informazioni dettagliate sul software dannoso che MSRT ha rimosso negli ultimi 15 mesi, corredate di caratteristiche importanti (quali le versioni dei sistemi operativi e le impostazioni della lingua) dei computer sui quali è stato rimosso il software. Panoramica Per iniziare, verrà illustrata l'entità delle rimozioni effettuate da MSRT. Figura 3. Malware rimosso e computer ripuliti in base alla versione di MSRT Le tre serie di dati del grafico di figura 3 forniscono le seguenti informazioni: Malware rimosso: il numero di istanze di malware rimosse da ciascuna versione di MSRT tra gennaio 2005 e marzo In totale, lo strumento ha rimosso 16 milioni di istanze di software dannoso. Computer ripuliti: il numero di singoli computer ripuliti da ciascuna versione di MSRT tra giugno 2005 e marzo Il numero di singoli computer ripuliti da ciascuna versione sarà sempre inferiore al numero di istanze di malware eliminate dalla stessa versione (perché è possibile rimuovere più infezioni da un computer). Inoltre, si osservi che questa serie di dati è stata registrata a partire da giugno 2005, perché questa versione dello strumento era la prima in grado di misurare questo parametro. Tra giugno 2005 e marzo 2006 lo strumento ha rimosso almeno un'istanza di software dannoso da 5,7 milioni di singoli computer. Il numero totale di disinfezioni dal rilascio della prima versione dello strumento supera sicuramente i 5,7 milioni ma non è noto, perché i dati relativi a questo parametro non sono disponibili prima di giugno Nuovi computer: dal numero totale di computer ripuliti da ciascuna versione si passa al numero di nuovi computer sui quali lo strumento (o meglio, ciascuna versione dello strumento) ha rimosso malware. Il termine nuovo si riferisce a un computer sul quale MSRT (o meglio, nessuna versione precedente di MSRT) non ha mai rimosso malware prima. Per ciascuna versione, questo numero non sarà mai maggiore del numero totale di computer ripuliti. Dato che questa cifra è associata al numero di computer ripuliti, la prima versione che consente di effettuare questa misurazione è quella di luglio Si osservi che se un utente reinstalla il sistema operativo sul proprio computer, questo computer verrà considerato nuovo nelle misurazioni di MSRT. Ai fini del presente report, si presume che la deviazione introdotta in questo caso sia minima e quindi irrilevante.

9 È possibile fare varie osservazioni dai dati mostrati in figura 3: L'aumento di istanze di malware rimosse e di computer ripuliti è dovuto sia all'aumento del numero di esecuzioni di MSRT (come mostrato in figura 1) sia all'aumento del numero di famiglie e varianti di software dannoso rilevate dallo strumento. In particolare, nelle versioni a partire da novembre 2005 si è assistito a un aumento significativo di disinfezioni. Ciascuno di questi aumenti è attribuibile all'integrazione nello strumento di una famiglia o di un gruppo di famiglie di software dannoso ampiamente diffuso. Poiché alcune di queste famiglie sono state scoperte in passato ed è impossibile determinare quando un utente è stato infettato per la prima volta, non sarebbe accurato interpretare questi dati come segnali di un aumento della quantità di programmi software dannosi. Novembre 2005: Win32/Mabutu, Win32/Codbot e Win32/Bugbear combinati Dicembre 2005: WinNT/F4IRootkit Gennaio 2006: Win32/Parite Febbraio 2006: Win32/Alcan Combinando i dati di figura 1 con i dati di figura 3, è possibile determinare che, nell'ultima versione di marzo 2006 di MSRT, il tasso di computer infetti per numero di esecuzioni dello strumento era pari allo 0,28%. In altre parole, lo strumento ha rimosso malware da circa uno ogni 355 computer sui quali è stato eseguito. Il tasso medio di infezioni considerando tutte le versioni da giugno 2005 a marzo 2006 è analogo e pari allo 0,32% (circa uno ogni 311 computer). Questo tasso è rimasto relativamente costante in tutte le versioni soggette a misurazioni, con una punta massima dello 0,4% ad agosto 2005 e una minima dello 0,24% a settembre Per ciascuna versione, quasi tutti i computer sui quali lo strumento rimuove malware sono computer che vengono ripuliti da MSRT per la prima volta. Per contro, lo strumento rimuove software dannoso da una quantità relativamente piccola di computer da cui ha già rimosso alcune istanze di malware. Ad esempio, nella versione di marzo 2006, circa su computer ripuliti da MSRT erano computer nuovi (ossia l'80%), mentre nel 20% dei casi una versione precedente dello strumento aveva rimosso alcune istanze di malware dagli stessi computer. Questo 20% rappresenta lo stesso computer infettato da una variante o famiglia di malware diversa o si tratta di computer reinfettati dalla stessa variante di malware (probabilmente a causa di efficaci attacchi di tipo social engineering o della mancata installazione di una patch). Malware rimosso da ciascun computer Un altro interessante parametro da analizzare è il numero di varianti differenti di malware rimosse da ciascun computer. Nella maggior parte dei casi, lo strumento ha rimosso una sola variante di malware da un computer. Tuttavia, in alcuni casi sono state rimosse decine e addirittura centinaia di varianti di malware da un singolo computer. Figura 4. Varianti differenti di malware rimosse da ciascun computer La figura 4 mostra il numero di volte in cui sono state rimosse varianti differenti di malware considerando tutte le esecuzioni dello strumento su un computer. Ad esempio, se lo strumento ha rimosso la stessa variante di malware due volte da uno stesso computer, questa operazione viene contata solamente una volta in figura 4. Utilizzando i dati in figura 4, è possibile calcolare che la quantità media di varianti differenti di malware rimosse da ciascun computer è pari a 1,59. In altre parole, è più probabile che lo strumento rimuova più di una variante di malware per ciascun computer che non una sola variante. Se vengono effettuate molte rimozioni, di solito i computer sono infettati da molteplici varianti di bot, probabilmente perché un utente è stato infettato da un bot e poi il proprietario del bot ha utilizzato questa prima backdoor per installare altri bot sul computer.

10 Anche Win32/Antinny, un worm peer-to-peer che colpisce quasi esclusivamente computer giapponesi, è un software dannoso e in grado di causare un alto numero di infezioni su un singolo computer. Questo perché Antinny utilizza tutta una serie di trucchi di social engineering per indurre l'utente a scaricare ed eseguire il worm. Di conseguenza, è probabile che un utente che ha già eseguito il worm una volta e ha infettato il computer commetta lo stesso errore più volte. Informazioni sul malware rimosso Questa sezione contiene informazioni dettagliate sulla relazione esistente tra i dati forniti nelle sezioni precedenti e le 61 famiglie di malware che MSRT è in grado di rilevare e rimuovere. Figura 5. Malware rimosso/computer ripuliti per famiglia di malware La figura 5 elenca tutte le 61 famiglie di malware che MSRT è in grado di rilevare a partire da marzo 2006 e riporta le seguenti informazioni: Il numero di volte che una famiglia di malware è stata rimossa da un computer tra gennaio 2005 e marzo Questi valori sono elencati in ordine decrescente. Il numero di singoli computer dai quali la famiglia di malware è stata rimossa fra giugno 2005 e marzo La versione dello strumento MSRT in grado di rilevare per la prima volta la famiglia di malware. Il mese e l'anno in cui è stata scoperta la prima variante della famiglia. 10

11 Alcuni punti interessanti da tenere presenti sui dati in figura 5: Le rimozioni di Win32/Parite, Win32/Alcan e WinNT/F4IRootkit sono tra le più numerose, anche se il rilevamento delle relative famiglie è stato aggiunto allo strumento solo nelle ultime cinque versioni. Parite è un virus che infetta i file particolarmente degno d'attenzione perché ha fatto la sua prima comparsa nel 2001 e continua a essere alquanto diffuso. È probabile che ciò sia dovuto alla difficoltà di eliminare completamente Parite dal computer e alla sua routine aggressiva di infezione dei file. In realtà, non vi sono legami significativi tra il numero di rimozioni e la data in cui una famiglia è stata scoperta o quella in cui è stata aggiunta allo strumento per la prima volta. I bot (Rbot, Sdbot e Gaobot) occupano tre delle prime cinque posizioni nella classifica delle rimozioni. La diffusione di queste tre famiglie di malware avvalora l'osservazione fatta nel riepilogo riguardo la capacità di riprodursi dei Trojan backdoor. Win32/Antinny, al 12 posto, si diffonde su sistemi giapponesi tramite una rete di condivisione dei file. Il fatto che il worm si trovi quasi esclusivamente su sistemi giapponesi ma sia associato a un alto numero di rimozioni dopo solo sei versioni significa che era alquanto diffuso in Giappone e rende evidente il legame tra programmi dannosi per sistemi con le stesse impostazioni internazionali e della lingua. Win32/Alcan, worm poco conosciuto che si riproduce sulle reti peer-to-peer, è già associato a una delle quantità più alte di rimozioni dopo essere stato aggiunto allo strumento solo a febbraio La diffusione del worm è probabilmente dovuta alle efficaci tecniche di social engineering di cui si avvale, comprese la capacità di camuffarsi da applicazione che rileva un errore di installazione subito dopo l'esecuzione. Win32/Zotob, che sfruttava una vulnerabilità descritta e risolta nel Bollettino Microsoft sulla sicurezza MS05-039, è stato rimosso da appena computer e costituisce pertanto il worm exploit meno diffuso presente nell'elenco. La scarsa diffusione di questo worm è dovuta al fatto che la vulnerabilità interessava solo computer Windows Per ironia della sorte, Win32/Esbot, in 30ª posizione, che sfrutta la stessa vulnerabilità, è stato rimosso da un numero di computer dieci volte superiore rispetto a Win32/Zotob ma ha ricevuto molta meno attenzione. Win32/Msblast, al 10 posto, rimane il worm exploit con il massimo numero di rimozioni. Sulla stessa scia, la famiglia di rootkit Hacker Defender riceve di solito le maggiori attenzioni fra le famigerate famiglie di rootkit anche se in realtà è una delle famiglie meno diffuse rilevate da MSRT. WinNT/FURootkit è il rootkit rimosso più frequentemente dallo strumento ed è spesso utilizzato per nascondere la presenza di un Trojan backdoor installato su un computer. Figura 6. Computer ripuliti per tipo di malware 11 La figura 6 combina i dati mostrati in figura 5 con la classificazione del malware definita in figura 2. Su 5,7 milioni di computer ripuliti, MSRT ha rimosso un Trojan backdoor da oltre 3,5 milioni di sistemi (il 62%). Come documentato di recente da alcuni casi di alto profilo, gli utenti malintenzionati utilizzano spesso questi Trojan backdoor come fonte di guadagni finanziari creando reti di computer infetti e vendendoli come punti di distribuzione di posta indesiderata, spyware e attacchi di negazione del servizio (DoS, Denial of Service). Oltre ad utilizzare una soluzione antivirus aggiornata, i clienti devono proteggersi con firewall bidirezionali per evitare intercettazioni di informazioni ed eventuali attività di controllo/monitoraggio remoto da parte di questi tipi di software dannosi. Rispetto ai Trojan backdoor, i rootkit sono stati rinvenuti in un minor numero di computer, ovvero su circa sistemi. Questo numero diminuisce però a circa se si ignorano i rilevamenti di WinNT/F4IRootkit. Il caso di WinNT/F4Irootkit è degno di nota perché, anche se in seguito è stato sviluppato malware che utilizza il rootkit per nascondersi nei computer, Sony non aveva distribuito il suo pacchetto software con intenti illeciti, ma come strumento anti-pirateria. Di conseguenza, questo rootkit si è sviluppato con caratteristiche di distribuzione al dettaglio più che con caratteristiche di distribuzione virale. Ovviamente, come accade per le altre categorie di malware illustrate nel presente report, i dati forniti

12 in questa sede si riferiscono solamente alle famiglie di malware che lo strumento è in grado di rilevare. Anche se esistono rootkit conosciuti che non vengono rilevati da MSRT a causa della loro scarsa diffusione e, probabilmente, rootkit sconosciuti non rilevati da MSRT, il feedback dei clienti e le misurazioni effettuate grazie ad altre iniziative Microsoft, quali Windows Live OneCare e Windows Live Safety Center Beta, indicano che le cinque famiglie di rootkit che MSRT è in grado di rilevare rappresentano una parte significativa dei rootkit che oggigiorno influiscono attivamente su molti utenti. La tecnica più efficace per combattere i rootkit è la prevenzione. Si consiglia ai clienti di mantenere aggiornate le firme antivirus in modo che il meccanismo di protezione in tempo reale del software sia capace di rilevare e bloccare un rootkit prima che possa essere installato sul computer e, se possibile, di connettersi al sistema come non amministratore. Gli utenti che si connettono al sistema come normali utenti non sono in grado di installare la maggior parte dei rootkit sul computer. La generazione futura di sistemi operativi sviluppati da Microsoft, Microsoft Windows Vista, include anche varie funzioni che impediscono ai rootkit di alterare le strutture interne di base del sistema operativo. Se la prevenzione non è possibile e il computer è già stato infettato da un rootkit, i clienti devono utilizzare un prodotto antivirus o uno strumento di rimozione in grado di rilevare ed eliminare il rootkit. In questo caso, gli utenti, soprattutto quelli aziendali, devono valutare i vantaggi e gli svantaggi dell'adozione di ulteriori interventi per risolvere la situazione. Riguardo ai tipi di malware che si diffondono con attacchi di tipo social engineering, la posta elettronica è la tecnica più comune di diffusione tra quelle indicate sopra, con circa il 20% dei computer ripuliti infettati da almeno uno dei tipi di malware capaci di diffondersi via . Sebbene MSRT possa rilevare e rimuovere tre dei principali worm di messaggistica istantanea (Win32/Bropia, Win32/Kelvir e Win32/Mytob), questi worm sono stati rinvenuti in un numero relativamente esiguo di computer, ossia meno di Questa cifra va raffrontata agli oltre computer ripuliti dai soli Win32/Alcan e Win32/Antinny, che si diffondono attraverso le reti peer-to-peer. I worm che si diffondono in questo modo sono in grado di rilevare l'installazione di comuni applicazioni peer-to-peer su un computer. Dopo aver rilevato tali installazioni, creano copie di se stessi, utilizzando generalmente nomi che destano curiosità, nelle directory utilizzate dalle applicazioni peer-to-peer per la condivisione dei file in rete. In questo modo, i worm risultano condivisi sulla rete peer-to-peer. Oltre a un antivirus aggiornato, le migliori tecniche per contrastare il malware di tipo social engineering sono il comportamento dell'utente e la connessione al sistema come non amministratore, che limita l'impatto dell'esecuzione del software dannoso. Uno dei motivi per cui i recenti worm IM si sono diffusi con meno facilità rispetto ai worm peer-to-peer è attribuibile al fatto che i programmi di messaggistica istantanea hanno cominciato a integrare funzioni in grado di impedire agli utenti di infettare il sistema con software dannoso. Ad esempio, MSN Messenger versione 7 impedisce agli utenti di inviare file con certi tipi di file eseguibili e richiede all'utente un'autorizzazione aggiuntiva prima di consentirgli di fare clic su collegamenti all'interno di messaggi istantanei. Tali funzioni di protezione non sono state ancora integrate nei programmi client peer-topeer. L'altro motivo significativo alla base di questa differenza è che le applicazioni peer-to-peer, essendo meccanismi per lo scambio di file, si prestano molto di più alla diffusione di file dannosi rispetto ai programmi di messaggistica istantanea basati sull'invio di messaggi. Figura 7. Correlazione tra le infezioni da malware in base al tipo La figura 7 mostra la sovrapposizione tra le rilevazioni dei tipi di malware indicati sopra su un computer. Su tutti i computer sui quali MSRT ha rilevato un worm di posta elettronica è stato anche rinvenuto un worm peer-to-peer nell'1,0% dei casi. Per contro, nell'1,9% dei casi in cui lo strumento ha rilevato un worm peer-to-peer è stato trovato anche un worm di posta elettronica. 12

13 La sovrapposizione maggiore mostrata sopra è quella tra rootkit e Trojan backdoor. Nel 20% dei casi circa, quando è stato rilevato un rootkit su un computer, è stato trovato almeno un Trojan backdoor sullo stesso computer. Ciò mette in evidenza la tendenza che molti rootkit vengono distribuiti o derivano da Trojan backdoor. Le percentuali di sovrapposizione sono anche elevate tra i worm peer-to-peer e i Trojan backdoor e tra i worm IM e i Trojan backdoor. Le alte percentuali in questo caso sono prevedibili perché molti worm peer-to-peer e IM rilasciano spesso bot sul computer quando vengono eseguiti. Cambiamenti nel numero di rimozioni di malware Il monitoraggio dei cambiamenti nel numero di rimozioni di famiglie di malware da parte di MSRT è utile per due motivi. In primo luogo, consente a Microsoft di controllare l'attività e la diffusione di determinate famiglie di malware. Le famiglie per le quali si rileva un maggior numero di rimozioni da quando sono state aggiunte allo strumento per la prima volta indicano solitamente casi di distribuzione attiva e replica di varianti. In secondo luogo, consente a Microsoft di controllare l'efficacia di MSRT nel garantire che la diffusione delle varianti delle famiglie di malware rilevate diminuisca. Anche se altri fattori possono aver contribuito alla diffusione ridotta del malware, il fatto che MSRT abbia rimosso un numero notevole di istanze di queste famiglie di malware dai computer significa che lo strumento è almeno in parte responsabile di questo fenomeno. Figura 8. Cambiamento nel numero di rimozioni di Win32/Rbot Microsoft controlla il cambiamento nel numero di rimozioni di malware da parte di MSRT tramite due parametri che sono associati ai motivi descritti in precedenza. La figura 8 illustra questi parametri utilizzando la famiglia Win32/Rbot. Si osservi che l'asse X corrisponde ai mesi e agli anni del calendario. L'utilizzo delle date in questo modello è importante per mostrare l'avanzamento nel tempo. Dato che gli utenti sono in grado di eseguire versioni precedenti di MSRT (anche se 60 giorni dopo il rilascio viene visualizzata una schermata di avviso), l'utilizzo del mese di rilascio di MSRT falserebbe tale misurazione. Cambiamento famiglia (linea nera tratteggiata): cambiamento nel numero di rimozioni di una famiglia dal momento in cui questa è stata aggiunta allo strumento per la prima volta fino all'ultima versione. Anche se questa misurazione fornisce un'ottima panoramica sul modo in cui cambiano le rimozioni di una famiglia nel tempo, tende ad essere falsata dalle famiglie che sono attive e che, quando sono state aggiunte allo strumento per la prima volta, erano associate a un numero esiguo di rimozioni. Il grafico mostra il numero totale di rimozioni della famiglia Win32/Rbot fra aprile 2005 e marzo Utilizzando questi dati, è possibile calcolare che il numero di rimozioni di questa famiglia è aumentato di circa il 16% negli ultimi 11 mesi. Sulla base di questi dati e dei dati della figura 5, si giunge alla conclusione che Rbot è una famiglia molto attiva e diffusa. Si osservi che, nel grafico, questa serie di dati è rappresentata dalla somma delle linee continue in basso. Cambiamento medio per versione (linee continue): cambiamento nel numero di rimozioni di un dato gruppo di varianti dal momento in cui questo è stato aggiunto a una versione specifica dello strumento per la prima volta fino all'ultima versione, calcolato in media su tutte le versioni. Questo parametro non viene alterato dal numero elevato di rimozioni associate a famiglie di malware attive ed è così un indicatore migliore per determinare l'efficacia dello strumento nel ridurre le istanze di una famiglia attiva. Nel grafico, le linee continue rappresentano il numero di rimozioni, nel tempo, di un gruppo di varianti Win32/Rbot aggiunto a una versione specifica di MSRT. Più lunga è la linea, più a lungo il gruppo di varianti è stato rilevato dallo strumento. Ad esempio, la linea più lunga in blu scuro rappresenta il primo gruppo di varianti Rbot aggiunto allo strumento. L'osservazione generale da fare qui è la seguente: da quando il rilevamento di un gruppo di varianti Rbot viene aggiunto allo strumento, il numero di rimozioni di queste varianti diminuisce. Se si calcola il cambiamento nel numero di rimozioni per ciascuno di questi gruppi di varianti nel tempo e poi si fa la media dei cambiamenti, si scopre che le rimozioni delle varianti Rbot sono diminuite di circa il 79% da quando queste varianti sono state aggiunte a MSRT. 13

14 Figura 9. Cambiamenti nel numero di rimozioni di malware La figura 9 mostra quasi tutte le famiglie di malware rilevate da MSRT insieme alle due misurazioni dei cambiamenti nel numero di rimozioni (descritte sopra), disposte in ordine crescente in base al valore percentuale del cambiamento. Si osservi che le tre famiglie aggiunte alla versione di marzo 2006 dello strumento (Win32/Atak, Win32/Torvil e Win32/Zlob) non sono incluse in questo elenco perché non si è ancora avuta l'opportunità di quantificare il cambiamento nel numero di rimozioni. Inoltre, Win32/Bofra, Win32/Gibe, Win32/Opaserv, Win32/Badtrans e Win32/Zotob sono escluse perché non si sono registrati cambiamenti a sufficienza (dovrebbero essere almeno 1.000) per generare una misurazione affidabile degli stessi. Come indicato in figura, è incoraggiante osservare che la diffusione della maggior parte delle famiglie (41 su 53) è diminuita da quando queste sono state aggiunte a MSRT, con 33 famiglie (su 41) che mostrano una riduzione di oltre il 50% e 21 (su 41) con una riduzione di addirittura il 75%. Delle 12 famiglie la cui diffusione è nel complesso aumentata, solo tre (Win32/Gael, Win32/Lovgate e Win32/Wukill) hanno registrato, in media, un aumento costante in ogni gruppo di varianti aggiunte a MSRT. Le restanti nove famiglie (compresa Win32/Rbot, come mostrato in figura 8) hanno sperimentato una netta diminuzione nel numero di rimozioni per ciascuna versione. Altre osservazioni da trarre da questi dati: Il numero di rimozioni di WinNT/F4IRootkit, il primo rootkit First4Internet distribuito con alcuni CD musicali della Sony, è diminuito rapidamente da quando il suo rilevamento è stato aggiunto alla versione di MSRT di dicembre Questa tendenza indica che probabilmente solo pochi utenti hanno installato o reinstallato il software dai CD incriminati dopo lo scalpore mediatico suscitato da questo problema. Il rapido aumento del numero di rimozioni della famiglia Mywife è riconducibile all'inclusione di Win32/Mywife.E in MSRT. La variante Mywife.E, comparsa per la prima volta nel gennaio 2006, era denominata dalla stampa di settore anche CME-24 e worm Kama Sutra. Il worm si diffondeva soprattutto tramite messaggi ed era in grado di danneggiare importanti file di dati il terzo giorno del mese. In questo caso, il numero di rimozioni è salito vertiginosamente da circa 700 nel gennaio 2006 a circa nel febbraio L'aumento del numero di rimozioni della famiglia Win32/Rbot è dovuto all'alto numero di varianti della stessa famiglia aggiunte a ogni nuova versione di MSRT. In media, ogni mese circa nuove varianti di Win32/Rbot sono state aggiunte finora a MSRT. Gli aumenti nel numero di rimozioni di famiglie quali Win32/Hackdef e Win32/Ryknos sono attribuibili al numero esiguo di rimozioni iniziali che, a sua volta, è dovuto al numero anch'esso esiguo di varianti inizialmente rilevate dallo strumento. Ad esempio, la versione di MSRT di aprile 2005 era in grado di rilevare 78 varianti diverse della famiglia Win32/Hackdef. Questo numero è aumentato vertiginosamente fino a raggiungere le 439 varianti nel marzo del 2006, il che rappresenta 14

15 un aumento di oltre il 400%. Analogamente, il numero di rimozioni è passato da circa a nello stesso periodo. Ciò significa che, anche se il numero di rimozioni di Hackdef è ancora basso rispetto a quello di altre famiglie di malware, questo numero è aumentato notevolmente da quando il rilevamento della famiglia è stato aggiunto per la prima volta a MSRT. Queste tendenze sono evidenziate dall'andamento dei cambiamenti per questa famiglia, mostrati in figura 9. Sebbene vi sia stato un rapido aumento nel numero di rimozioni (842%), questa cifra è esacerbata dal fatto che le prime rimozioni della famiglia erano esigue. Il numero di rimozioni della famiglia, per ciascuna versione di MSRT, è diminuito in media del 31%. Informazioni sui sistemi operativi Utilizzando le informazioni sulle misurazioni raccolte da MSRT, Microsoft è in grado di determinare la diffusione del malware rilevato sulle versioni supportate di Windows. La figura 10 mostra diverse visualizzazioni della diffusione del malware su questi sistemi operativi per la versione di marzo Nei primi due grafici a torta si prendono in considerazione tutti i tipi di malware rilevati con la versione di marzo 2006 di MSRT. Nel grafico denominato Totale si osserva che la maggior parte delle rimozioni avviene in Windows XP SP2, con Windows XP oggetto dell'89% di tutte le rimozioni effettuate da MSRT. L'alto numero di disinfezioni nei computer che eseguono Windows XP SP2 è prevedibile, perché la maggior parte delle esecuzioni dello strumento avviene su computer con questo sistema operativo. Di conseguenza, per ottenere un quadro più realistico sulla diffusione di un certo tipo di malware su determinati sistemi operativi, i dati della prima figura devono essere normalizzati. In questo caso, normalizzazione significa regolare la percentuale di disinfezioni sui vari sistemi operativi per prendere in considerazione il numero di esecuzioni dello strumento su un determinato sistema operativo. In altre parole, per ridurre la deviazione nella percentuale di disinfezioni introdotta da un alto numero di esecuzioni di MSRT su un sistema operativo, si divide il numero di disinfezioni effettuate su uno specifico sistema operativo per la percentuale relativa di esecuzioni su quel sistema operativo. In questo modo, nei sistemi operativi con un'alta percentuale di esecuzioni di MSRT, il numero di disinfezioni aumenterà di un quantità più piccola rispetto a un sistema operativo con un bassa percentuale di esecuzioni. La formula matematica specifica utilizzata in questo caso è la seguente (dove OS è l'acronimo di Operating System in inglese, ovvero sistema operativo): Disinfezioni normalizzateos = DisinfezioniOS/Percentuale esecuzionios Figura 10. Computer ripuliti con la versione di marzo 2006 in base al sistema operativo 15

16 L'applicazione di questa formula alle percentuali di disinfezioni ed esecuzioni per la versione di marzo 2006 dà come risultato il grafico nell'angolo superiore destro della figura 10. Il grafico mostra cambiamenti notevoli nelle percentuali, con Windows XP SP2 che scende ad appena il 3% delle disinfezioni normalizzate e Windows XP Gold e SP1 oggetto del 63% delle disinfezioni. Questo risultato è ragionevole sia in termini tecnici che sociali. Dal punto di vista tecnico, Windows XP SP2 integra alcune patch e funzionalità avanzate di protezione per vulnerabilità non rilevate in versioni precedenti di Windows XP, il che rende in alcuni casi più difficile l'infezione da malware. Dal punto di vista sociale, è probabile che un sistema sul quale non è stato ancora effettuato l'aggiornamento all'ultimo service pack sia più esposto agli attacchi di tipo social engineering. Questo risultato sembra corrispondere alla realtà dei fatti anche per Windows 2000 e Windows Server 2003, dato che le ultime versioni dei service pack di questi sistemi operativi registrano il numero minore di disinfezioni normalizzate rispetto alle versioni precedenti dei sistemi operativi. I grafici che seguono i due grafici principali mostrano le disinfezioni normalizzate suddivise per le stesse categorie indicate in figura 2. In generale, i risultati di questi grafici sono simili ai risultati normalizzati quando si prendono in considerazione tutte le disinfezioni e l'ordine dei sistemi operativi è identico in tutti i casi. Per quanto riguarda Windows XP SP2, è interessante osservare che le percentuali più alte per le disinfezioni su questo sistema operativo sono causate da malware che si diffonde tramite posta elettronica, messaggistica istantanea e reti peer-to-peer. Questo risultato è prevedibile perché questi tipi di malware (diversamente dai worm exploit, ad esempio) utilizzano attacchi di tipo social engineering per infettare un computer, un metodo a cui sono esposti tutti i sistemi operativi. Informazioni sulle impostazioni della lingua Figura 11. Computer ripuliti con la versione di marzo 2006 in base alla lingua La figura 11 mostra la suddivisione dei computer ripuliti in base alla lingua del sistema operativo per la versione di marzo Si osservi che le impostazioni della lingua non sono necessariamente indicative della posizione geografica. Ad esempio, la lingua Inglese (US) è piuttosto comune anche in Paesi diversi dagli Stati Uniti. Il grafico sul lato sinistro della figura 11 rivela che molti computer ripuliti hanno un sistema operativo inglese. Tuttavia, come accadeva sopra per Windows XP SP2, questa misurazione è abbastanza fuorviante poiché molti computer sui quali lo strumento viene eseguito hanno un sistema operativo inglese. Di conseguenza, analogamente alle versioni dei sistemi operativi, i computer ripuliti devono essere normalizzati dalla percentuale di esecuzioni delle impostazioni della lingua. Il calcolo è simile a quello effettuato per la versione del sistema operativo, con Percentuale esecuzionilingua utilizzato al posto di Percentuale esecuzionios. L'esito di questo calcolo viene mostrato sul lato destro della figura 11 e produce risultati interessanti. In questo caso, il processo di normalizzazione ha diviso le disinfezioni del tutto equamente tra la maggior parte delle lingue. In altre parole, quando vengono prese in considerazione tutte le istanze di malware rimosse da MSRT e i valori vengono normalizzati, le rimozioni delle istanze di malware vengono suddivise fra tutte le lingue, compresa la lingua inglese. Come risulta evidente dal grafico, l'eccezione a questa affermazione è rappresentata dalla lingua turca, associata al 20,2% delle disinfezioni di computer dopo il calcolo di normalizzazione. Un'analisi più approfondita dei dati mostra che questo fenomeno è riscontrabile anche in tutte le famiglie di malware. Il team Microsoft Antimalware continua a lavorare su questi dati, ma la ragione specifica del perché un'alta percentuale di rilevamenti normalizzati è associata alla lingua turca è tuttora sconosciuta. 16