Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
15/06/2006

< MSRT: uma ferramenta >
<
que deu certo >


A partir de janeiro de 2005, cada vez que um usuário de Windows XP, Windows 2000 ou Windows Server 2003 atualiza seu sistema operacional usando o serviço gratuito “Windows Update” da Microsoft, instala juntamente com as atualizações de segurança e “remendos” (“patches”), uma ferramenta denominada MSRT. Desde então, toda segunda terça-feira de cada mês, o dia escolhido pela MS para liberar suas atualizações mensais, é liberada uma nova versão do programa que é instalada juntamente com as demais atualizações. Até o último mês haviam sido liberadas dezesseis versões da MSRT em 24 diferentes idiomas.

É provável que a maioria dos usuários Windows nem sequer saiba disto, especialmente aqueles que mantêm habilitada a atualização automática. E muitos dos que sabem certamente não fazem idéia da função do programeto. O que faz, afinal, a MSRT?

Embora o acrônimo pareça indicar algo deste tipo, MSRT não é (mais) uma cisão do movimento dos sem terra. Trata-se da “Malicious Software Removal Tool”, ou “Ferramenta de Remoção de Programas Mal-intencionados”. Segundo a Microsoft, “sua função é ajudar a identificar e remover os principais programas mal-intencionados das máquinas dos usuários e está disponível gratuitamente aos usuários Windows licenciados”. Ou seja: quando se baixa e instala a MSRT juntamente com as demais atualizações disponíveis, ela efetua uma varredura completa na memória e no Registro de Windows em busca de indícios da presença de um determinado número de “programas mal-intencionados” (ou “malware”, uma classificação que engloba vírus, cavalos de Tróia, vermes, registradores de teclas e assemelhados) e, caso encontre algum deles, o remove, informa ao usuário e, o que é mais importante, envia uma notificação à própria Microsoft (já discutiremos o porquê disso).

A MS deixa claro que o programa não substitui um bom antivírus ou utilitário de detecção de programas espiões (“antispyware”) e recomenda a todo usuário que os mantenha em suas máquinas. Isto porque a MSRT não oferece proteção contínua (ou seja, não permanece em “segundo plano” monitorando possíveis infecções) nem inclui em seu banco de dados características de todos os programas mal-intencionados conhecidos, como fazem os bons antivírus e antispyware. Ela roda apenas uma vez por mês durante a atualização (se você deseja executá-la regularmente, pode baixar uma cópia de < http://www.microsoft.com/security/malwareremove/default.mspx >), restringe sua busca à memória e ao Registro (portanto não varre os discos rígidos) e procura por um número limitado de “famílias” de programas mal-intencionados (ou “malware”), selecionados mediante critérios que levam em conta sua prevalência e virulência (mas, apesar de todas essas limitações, pode ser imensamente útil como logo veremos). A cada nova versão da MSRT aumenta o número de “famílias” que fazem parte de seu banco de dados interno. Hoje ela consegue identificar 61 diferentes famílias de “malware”.

A MSRT nasceu da aquisição pela Microsoft em 2003 de um programa antivírus da GeCAD Software e permitiu que a então recentemente criada STU (unidade de tecnologia de segurança) da MS começasse a adquirir experiência com ferramentas de detecção e remoção de vírus. Sua primeira aparição pública deu-se em 2004 e destinava-se especificamente à remoção de vermes pertencentes à família “Blaster” (Msblast e Nachi) que então faziam um estrago mundial e se mostrou tão efetiva que conseguiu eliminar dez milhões de infecções. O resultado positivo animou a equipe da STU a incluir novas famílias de malware no banco de dados da MSRT e a distribui-la juntamente com as atualizações mensais, o que passou a ocorrer desde janeiro do ano passado. Cada nova versão é cumulativa, ou seja, é capaz de identificar tanto as novas famílias de programas mal-intencionados quanto as já identificadas pelas versões anteriores.

Mas este artigo não pretende discutir as características, excelências ou defeitos da MSRT. Visa tão somente abordar uma análise estatística feita pela própria MS sobre os dados por ele coletados até março deste ano, ou seja, durante os primeiros quinze meses de existência da ferramenta. E é por isto que ela informa a MS cada vez que identifica e remove um programa mal-intencionado da máquina de qualquer usuário: acumular uma massa de dados estatisticamente significativa que ajude a estabelecer as tendências de disseminação de malware.

Ora, em se tratando de uma ferramenta gratuita distribuída juntamente com as atualizações mensais de segurança que todo usuário de Windows munido de uma dose elementar de bom senso procura manter rigorosamente em dia, a massa de dados coletada pela MSRT e enviada à MS é respeitável. De fato, até o março de 2006 a ferramenta já havia sido executada 2,7 bilhões de vezes em pelo menos 270 milhões de máquinas diferentes (como se vê, durante o período observado, cada computador executou em média dez vezes a MSRT nas sucessivas atualizações). Uma amostra pra lá de significativa...

A Microsoft garante que “a ferramenta não coleta qualquer informação capaz de identificar o usuário”, portanto não viola a privacidade de quem quer que seja. Segundo ela, todos os dados coletados são referentes ao malware propriamente dito ou à MSRT e apenas são enviados à MS no caso de haver sido identificada uma infecção. São eles: o nome do malware detectado, o resultado da tentativa de remoção, a versão de Windows utilizada, o local onde se deu a infecção (identificado pelo idioma do sistema operacional), o tipo da UCP (unidade central de processamento) e outras informações relativas à ferramenta propriamente dita (versão, fonte de obtenção e coisas que tais).

Pois bem: com base nos dados acumulados nesses quinze meses a MS acaba de liberar o documento (“white paper”) “The Windows Malicious Software Removal Tool: Progress Made, Trends Observed”, assinado por Matthew Braverman, o gerente do programa da equipe “antimalware” da MS. O documento, em formato PDF, pode ser encontrado (em inglês) em < http://go.microsoft.com/fwlink/?linkid=67998 > e discute os resultados obtidos com o uso da ferramenta e as tendências observadas sobre a disseminação de “malware”. Vejamos aqui um breve resumo de suas interessantes conclusões.

Durante estes quinze meses a MSRT removeu 16 milhões de instâncias de programas mal-intencionados encontrados em 5,7 milhões de máquinas diferentes. Como a ferramenta foi aplicada em 270 milhões de computadores, essas cifras significam que uma em cada 311 máquinas examinadas (0,321 %) continha pelo menos um malware.

As 61 “famílias” de malware pesquisadas (a lista nominal pode ser encontrada no documento citado, assim como as porcentagens encontradas de cada uma delas) foram divididas em sete categorias não mutuamente exclusivas (o que significa que um determinado malware pode pertencer a mais de uma) a saber: verme de correio eletrônico (“e-mail worm”, que se propaga através de mensagens de correio eletrônico), verme P2P (“P2P worm”, que se propaga através de sistemas de troca de arquivos musicais, vídeo ou similares), verme de mensagens instantâneas (“IM worm”, que usa programas de trocas de mensagens instantâneas, ou “chat”), verme explorador (“exploit worm”, que se propaga explorando falhas de segurança de sistemas operacionais ou de aplicativos), cavalos de Tróia (“Trojan” ou “backdoor”, programas que enviam a terceiros dados obtidos na máquina infectada), “rootkits” (código inserido no cerne do sistema operacional, em geral visando a proteção de direitos autorais, mas que facilita a propagação de malware) e vírus.

Figura 1: janela “Meus dicionários”.

A distribuição das infecções encontradas é mostrada na figura. Percebe-se que, de longe, os Cavalos de Tróia são os mais abundantes, afetando a 3,5 milhões (62 %, ou quase dois terços) das 5,7 milhões de máquinas contaminadas. E isso não deve causar estranheza: afinal, é justamente explorando esses programas que os biltres que os “plantam” nas máquinas alheias conseguem obter as informações confidenciais que desejam capturar, como senhas bancárias e outros dados pessoais, que passam a explorar em proveito próprio. Além disso, é ainda usando os cavalos de Tróia para controlar máquinas alheias que esses mesmos calhordas montam suas redes de máquinas “zumbis” para distribuir mensagens comerciais não solicitadas (“spams”) ou para desferir os temidos ataques de “negação de serviço” (DoS, “Denial of Service”, que podem “derrubar” sem piedade servidores de grandes empresas).

Em segundo lugar, com 35% de infecções, vêm os vermes de correio eletrônico, o que também era esperado: afinal, eles são a principal forma de disseminação dos cavalos de Tróia e outros malware. Estes vermes se propagam usando a chamada “engenharia social”, aquele tipo de mensagem que leva o usuário a clicar em um atalho (e, assim, instalar o programa) motivado pelo texto da mensagem que alega tratar-se de um banco cobrando uma dívida inexistente, da Receita Federal, Serasa ou SPC informando que existe uma pendência em nome do destinatário, de um palerma qualquer prometendo exibir fotos comprometedoras ou coisas que tais.

Rootkits, programas que efetuam alterações no cerne do sistema operacional para proteger ou esconder a existência de outros programas vêm em terceiro lugar, afetando a cerca de 780.000 (14 %) das máquinas infectadas. Mas a porcentagem cai para 9 % se deste total forem excluídas as instâncias do WinNT/F4I Rootkit, usado pela Sony para impedir a cópia de alguns de seus CDs de áudio (o caso deu muito o que falar e motivou inclusive a publicação do artigo “A Sony e seu Rootkit” aqui mesmo no Informátic@ em cinco de janeiro deste ano, artigo ainda disponível na seção “Escritos / Artigos no Estado de Minas” de meu sítio, em < www.bpiropo.com.br >). O que demonstra cabalmente como uma iniciativa desastrada de uma grande empresa visando proteger seus interesses comerciais às expensas da segurança das máquinas de seus próprios clientes pode ser prejudicial. Isto porque, embora o “rootkit” plantado pela Sony não seja um malware em si mesmo, ele abre as portas para a instalação de outros programas, estes sim mal-intencionados. De fato, a mesma pesquisa da MS evidenciou que em 20 % das máquinas em que foi detectado um rootkit foi igualmente detectada a presença de um cavalo de Tróia.

Depois deles vêm os malware “plantados” por programas de troca de arquivos, os chamados programas P2P, que foram encontrados em 450 mil máquinas. Esses malware procuram na Internet por máquinas nas quais estejam instalados os programas P2P mais populares e, quando as encontram, “plantam” cópias de si mesmos com nomes atraentes nos diretórios usados pelos programas P2P para compartilhar arquivos e assim acabam se espalhando à revelia dos usuários.

As outras ameaças são menos significativas e vêm atingindo porcentagens cada vez menores ao longo do tempo.

Mas uma das conclusões mais interessantes do artigo é que a MSRT “deu certo”, ou seja, tem se mostrado uma ferramenta efetivamente eficaz para controlar a disseminação de programas mal-intencionados. O que se pode deduzir do fato de que, das 61 “famílias” de malware que é capaz de remover, 41 vêm sendo detectadas em porcentagens cada vez menores depois que a MSRT passou ser distribuída juntamente com as atualizações de segurança de Windows. E em 21 destas famílias o decréscimo ultrapassou os 75 % em quinze meses, um número altamente expressivo.

Portanto, se você usa Windows XP ou 2000 e prefere fazer as atualizações do sistema manualmente (ou seja, se suas “atualizações automáticas” não estão habilitadas), não deixe de incluir a MSRT no elenco das próximas atualizações a serem instaladas.

É o tipo da coisa que mal não faz. E pode fazer muito bem...

B. Piropo