解密最近MSE查杀突飞猛进的原因之一，MMPC技术更新！(重新编辑翻译）

驭龙

抱歉，我推迟原定11号的回归，将继续无限期推迟回归日期，甚至……


解密MSE查杀突飞猛进的原因，MMPC（微软反恶意保护中心）已经升级威胁收集方式，这就是我为什么说不久的将来，MSE查杀将势不可挡的原因之一（其它原因以后继续爆料），下面是MMPC更新的两个白皮书里的反病毒技术介绍白皮书。

虽然在这些介绍里，没有提到MMPC的技术更新，但是这足以证明MMPC的大动作降至，期待吧

当我休假回归时，送上更大的爆料。


MMPC博客原文：

你想知道更多的MMPC，和我们如何保护世界各地的电脑用户吗？我们已经发布了两个白皮书描述MMPC如何运作，并提供MMPC支持反恶意软件技术，介绍新版本。这两个新文件：

- 在微软的恶意软件研究和响应：本文讨论的恶意软件的不断变化的性质和介绍了Microsoft恶意软件保护中心（MMPC），这有助于保持世界各地的恶意软件和潜在有害软件的计算机和系统的反恶意软件研究人员组成的团队。下载白皮书http://go.microsoft.com/?linkid=9776702。

- 介绍微软反恶意软件技术：本文介绍的技术，微软使用打击恶意软件 。在使用中的一个核心技术是反恶意软件引擎，一个组件，它与许多微软的产品和服务 。下载白皮书http://go.microsoft.com/?linkid=9776701。

您还可以阅读Qakbot MMPC威胁报告“和全新的安全情报报告 Rustock的撤除有关的特别版，MMPC已经在我们最近发布的开发广泛的洞察力和情报的结果 。


Would you like to know more about the MMPC, and how we protect computer users worldwide? We have released new versions of two whitepapers which describe how the MMPC operates, and provide an introduction to the antimalware technologies that the MMPC supports. The two new papers are:

- Malware Research and Response at Microsoft: This paper discusses the evolving nature of malware and introduces the team of antimalware researchers in the Microsoft Malware Protection Center (MMPC), which helps keep computers and systems free of malicious and potentially unwanted software around the world. Download the whitepaper from http://go.microsoft.com/?linkid=9776702.

- Introducing Microsoft Antimalware Technologies: This paper describes the technologies that Microsoft uses to combat malware. One core technology in use is the antimalware engine, a component that works with many Microsoft products and services. Download the whitepaper from http://go.microsoft.com/?linkid=9776701.

You can also read the results of the extensive insight and intelligence that the MMPC has developed in our recently released Qakbot MMPC Threat Report and the brand new Security Intelligence Report Special Edition about the Rustock takedown.



介绍 Microsoft 反恶意软件技术
本文档是仅用于提供信息。MICROSOFT 不做任何的担保明示、 暗示或法定的以本文档中的信息。
本文档提供的信息和意见，包括 URL 和其他互联网网站引用，可能发生变化，恕不另行通知。你承担使用它的风险。
2011年微软公司版权所有。
实际公司和本文中所提及的产品的名称是其各自所有者的商标。
1.
目录表
执行摘要................................................ ............................................. 3
恶意软件概述................................................ ............................................... 4
检测恶意软件的挑战.............................................. ........................ 5
协会的僵尸网络恶意软件............................................. ....................... 6
反恶意软件引擎................................................ ............................................. 9
扫描·····························10
检测······························11
分类................................................. ................................................. 12
去除·····························13
更新部署................................................ ........................................... 14
防止开发软件的漏洞............................................ 15
最后一个想法：战僵尸网络............................................. ............................. 16
附录：其他资源.............................................. ........................... 18
2.
摘要：
恶意软件是一个旨在通过通过各种诈骗和其他邪恶的业务对计算机用户造成伤害，窃取个人或骗取用户的敏感信息，破坏用户计算机、 服务器或网络的软件。恶意软件是一个全球性的问题，在不同的程度上影响世界的不同地区。
本文介绍了 Microsoft 用来打击恶意软件的技术。核心技术是反恶意软件引擎，一个提供许多Microsoft 产品和服务的工作组件。反恶意软件引擎扫描每一台可能感染的恶意软件客户端计算机和在浏览器或应用程序级别下的系统文件。这些技术包括统一部署更新和创新技术，有助于防止利用 Microsoft 反恶意软件努力的软件漏洞。
这些技术由Microsoft 恶意软件保护中心所支持  ，不断地累算，并分析全球的数据，以帮助保护 Microsoft 客户。MMPC 发布的不断演变的威胁分析Microsoft 安全情报报告 1 #SIR），包括多个国家和地区在世界各地的详细的内容。有关MMPC 的详细信息，请参阅恶意软件研究和在微软 2 的响应。
3.
http://www.microsoft.com/sir
http://go.microsoft.com/?linkid=9768948
恶意软件已经成为有组织的犯罪团伙对合法企业的标准武器。通常情况下，不同类型的恶意软件一起部署，作为一个大的，复杂的设计来释放恶意软件的浪潮随着时间的推移已经融入到僵尸网络，成为损害计算机远程网络罪犯和暗中控制网络的易受攻击的计算机攻击的一部分。
在计算机上安装恶意软件，犯罪分子利用他们可以找到的任何漏洞 — — 人类自身的漏洞以及技术上的问题和脆弱的安全策略。越来越多地进入系统最简便的路径是社会工程： 导航到他们的计算机安装恶意软件的网站，（通过网站、 下载和在线广告)引诱用户。
恶意软件可以通过这种下载电子邮件和 IM 附件、 应用程序共享或网络共享、 可移动的闪存驱动器和硬盘上的共享在社交网络上传播。它还可以通过利用合法软件的安全漏洞传播。常见的恶意软件类型包括：
    流氓安全软件。流氓安全软件伪装成合法的安全软件，有时甚至模仿微软更新用户界面吓唬用户说他或她的计算机已经被攻破，然后点击一个链接来解决这个问题，它可能会造成假警报。点击这样的链接，下载到计算机上的恶意软件。恶意软件可能会假装来检测病毒，然后诱使用户支付订阅病毒删除。或者，它可能会下载其他恶意软件。
    密码大盗。密码盗用程序传输个人信息如用户名和密码。
    击键记录程序。键盘记录软件发送击键或截图给攻击者。攻击者可以使用击键记录程序收集密码、 银行帐号，或任何用户类型的敏感信息。击键记录程序经常和密码大盗一起工作。
4.
Rootkit。Rootkit 执行的功能，系统管理员不能方便地检测或撤消。Rootkit 的安装包捆绑恶意软件，通过自动隐藏自身和其他恶意软件，执行更危险的活动。Rootkit 运行在计算机的内核，检测特别困难，因为反恶意软件扫描无法信任从操作系统接收的数据。成功删除Rootkit已成为 Microsoft 反恶意软件技术的一个特别重点领域。
病毒。病毒是通过感染在计算机上的其他文件，从而使执行的恶意代码复制，当这些文件被激活时将复制恶意软件。
蠕虫。蠕虫是自蔓延的程序，它可以从一台计算机到另一台自动传播自身。
特洛伊木马。特洛伊木马程序是应用程序，显示为合法和有用，但在受影响的计算机上执行恶意和非法活动。特洛伊木马的传播产生收入，强制用户访问每个点击付费的网站或某些站点增加网络流量。木马下载器从远程计算机下载他们或直接从自己的代码中包含一份副本放到受感染的计算机上来安装其他恶意文件。
间谍软件。间谍软件未经用户的同意，并经常在用户不知情的情况下收集信息，例如用户访问的网站。
检测恶意软件的挑战
恶意软件作者使用不断发展的技术，检测和删除他们的软件很难。这些技术包括使用：
封隔器（壳）。封隔器是一个程序，恶意软件编写者可以使用的软件包或捆绑文件。最初，封隔器的目标是为了减少文件大小。随着时间的推移，攻击者开始利用它们来隐藏恶意软件文件的结构，包装一个单一的文件，在不同的包中使用不同加壳结果。封隔器的输出也使随机种子生产具有相同的恶意软件里面的许多文件。
Cryptors。 Cryptors加密的恶意代码将可读的数据转换成不可读的数据来达到保密的目的。已加密数据后，它不能被解释（人或机器），直到它被解密。许多加密的恶意软件文件包含在二进制文件本身的解密代码中，允许在运行时不解密加密二进制文件中的解密代码。恶意软件使用的一种常见和简单的加密技术是XORing，XORing运算适用于每个操作。
5.
位据为关键。恶意软件所使用的加密是很少的，它试图通过生成的恶意软件的多个版本的功能相同，但出现不同的反恶意软件程序来逃避反恶意软件检测。
添加图层的模糊处理和加密来衬托分析师和反恶意软件产品，在黑市上，随着许可协议和技术支持。犯罪分子可以使用它们争夺现有的恶意软件，或创造数以千计的现有的恶意软件家族的变种，并同时释放他们。
僵尸网络恶意软件 association
当恶意软件安装在他们招聘到的僵尸网络计算机。僵尸网络是对罪犯很有吸引力，因为他们很容易躲在有利可图的僵尸网络控制器后面，它们的使用正在上升。
因为僵尸网络利用个人和商用电脑的处理能力，存储和带宽，它们可以被用来生成大量的垃圾邮件，发动攻击大型网站，提交在线广告欺诈，以及更多恶意行为。追踪攻击来源，只能找到一个无辜的用户被劫持的计算机。
美国有最多的僵尸网络感染（2.1万美元），远远领先于第二大的巴西，感染（550000）。西班牙有（382000）在欧洲的大多数感染，随后，法国，英国，和德国。
韩国有较高的僵尸感染 （14.6 bot 清理的计算机每千人） 后,后 跟西班牙 (12.4 bot 电脑清洗每千人) 和墨西哥 (11.4 bot 电脑清洗每千人)。
6.
僵尸网络的创作者可能会尝试个别的恶意活动，或者他们可能会返回一个黑市论坛和宣传其新的网络服务。卖家可提供恶意软件的工具包提供给潜在的僵尸网络的创造者来建立。
7.
自己的僵尸网络。现有僵尸网络业主可租到垃圾邮件制造者和攻击者，他们的网络，或向新业主出售收藏的bots。
其他卖家提供的脆弱被认为不太可能采取执法的命令和控制服务器的IP地址或主机列表。或者，他们可能会出售工具，如壳和cryptors。
8.
反恶意软件引擎
在 Microsoft，反恶意软件引擎是恶意软件保护的核心。反恶意软件引擎每月扫描6 亿多台计算机上的文件。它运行在所有微软产品上，包括反恶意软件的能力，如：
MSE
微软前沿端点保护
微软前沿交流在线保护
微软最前沿的威胁管理网关 (TMG)
恶意软件删除工具
Microsoft 安全扫描程序
此外，该技术和报告的反恶意软件引擎被使用在 Windows ?7 的安全功能和 Windows Defender 扫描和清除功能。
反恶意软件引擎也是帮助防止 Windows Live ? Hotmail ? 和 Windows Live SkyDrive ?免受恶意软件 的筛选器的技术原因。
其他技术工作也随着反恶意软件引擎。例如，动态签名服务功能，帮助MSE和Forefront端点保护提高自己的能力，以确定潜在的威胁和防止误报。
反恶意软件引擎需要非常强大的快速执行，并对新出现的恶意软件威胁敏捷地作出反应的能力。这是定期更新，以添加新的特性和功能，以检测恶意软件。它会查找基于签名 （帮助您识别恶意软件的特征） 和定义 （集签名） 的恶意软件。其他组织可以参考，DAT 文件、 模式文件、 标识文件或防病毒数据库定义。
该引擎可以在多个入口点阻止恶意软件。例如，在用户收到可能表明存在 rootkit 的注册表设置的更改电子邮件附件前拦截。
有远大的恶意软件生态系统使微软更好地理解、 作出反应，并阻截恶意软件威胁。
9.
引擎，各种不同的 Microsoft 产品收集匿名的遥测 （可以用于研究的数据），从客户端计算机和网络抓取 关于恶意软件和潜在的恶意软件的工具。恶意软件研究人员能够自动筛选遥测数据 — — 通过像在 Windows 7 中的 AppLocker 的技术 — — 进一步有助于防止误报在识别恶意软件。此外，Microsoft 合作伙伴与外部行业组织共享信息和发展趋势，任何人都可以通过 MMPC 样本提交页面提交可疑的恶意软件文件。
通过使用这些来源，MMPC 建立了广泛、 非常详细的和可搜索的恶意软件百科全书，并不断更新和扩展。百科全书包含恶意软件的行为、 触发器、 感染技术和删除步骤的说明。
扫描是反恶意软件引擎执行的第一个常规任务。引擎然后检测、 分类和删除找到的任何威胁。以下各节描述了这些任务。
扫描
为了尽量减少对客户端的性能影响，反恶意软件引擎只扫描基本文件和重要文件，以检查有恶意软件的部分。引擎监视和检查计算机，例如，硬盘、 注册表和计算机的内存。它快速检查文件属性并提交元数据，以确定该代码是否有任何明显可疑的属性。它然后指向列表中包含已知的恶意软件，签名并进行一天多次更新。如果引擎已向关键组件如文件系统或注册表 （称为行为监控）标识更改，或如果文件包含已知的恶意软件或类似于已知的恶意软件的特征的签名，该引擎将移到检测模式。
Microsoft 反恶意软件解决方案提供了下列的扫描选项：
按需扫描。在按需扫描，可以在用户或管理员的请求下扫描系统部分。用户或管理员需要排除可能的感染，并且立即需要系统体检的最新结果时，此选项很有用。在此过程中，反恶意软件引擎还执行深层勘探的系统上的存档文件。
10.
计划扫描。计划扫描可以在整个系统运行一次快速或全盘扫描，（在清晨或黄昏）方便用户 。这种扫描使管理员随着时间的推移能够收集系统信息，注意发展趋势，并帮助确保计算机进行定期及在非高峰时间的安全。作为反恶意软件引擎与按需扫描，在此过程中还执行系统上的存档文件的深层勘探。
对访问 （实时） 的保护。功能更强大的扫描方法是对访问的保护，在他们打开之前扫描文件。如果检测到恶意软件时，对文件的访问被阻止以防止感染。某些 Microsoft 反恶意软件产品使用微筛选器驱动程序，拦截 Windows 内核中的文件发生更改，并允许反恶意软件引擎扫描恶意软件。警报级别的高和严重的威胁被阻止所有访问，除非被包含反恶意软件引擎的产品删除或修复。
检测
反恶意软件引擎确定了需要进一步检查的项目后，必须确定是否存在恶意软件。引擎使用各种技术来检测恶意软件：
启发式算法。启发式是用来区分它的行为和以它的静态特性为基础的方案的规则集。这些规则是基于现有的恶意软件，如果一个程序的行为同已知的恶意软件一样，它可能是某些计划赶不上变化。 Microsoft分析师平衡性能和覆盖的定义的准确性，。
静态分析。反恶意软件引擎可以通过启发式算法检查分析可疑程序性能。例如，例如，一个启发式可能研究表明，该方案是试图修改其他的可执行程序的指示。该引擎可以执行静态分析，迅速寻找某种模式的命令。
动态翻译。有些病毒是多态 — — 他们就会发生变异，通常通过更改他们的代码中的一个或多个变量而不改变其整体功能的结构，避免防病毒程序检测。静态分析通过不是可扩展的方式来检测多态病毒。在这些情况下，反恶意软件引擎可以使用动态翻译： 它可以执行的步骤，在隔离的虚拟环境中检测恶意软件。
11.
关键的变化，如自身附加到其他文件，启发式侦测可能会注意到这个可疑行动，并确定为恶意程序。
行为监测。监测程序在运行时检测任何意外的行为，如更改关键 Windows 文件或组件或行为模式类似于已知的恶意软件，是较完整的静态检测。然而，这种方法可以采取更多的处理能力，因为分析发生在虚拟机内。一些恶意软件寻找迹象显示它正在运行在虚拟机内，然后采取回避行动，企图逃避这种检测。微软反恶意软件引擎，可以检测出这些策略，并作出相应的反应。
分类
MMPC 研究者提供 Microsoft 反恶意软件引擎使用的定义。这些研究人员检查新的恶意软件样本和读取代码来确定恶意软件是什么程序的设定。如果反恶意软件引擎匹配定义的文件，它将分类为适当类型的恶意软件如病毒、 特洛伊木马、 间谍软件文件。
分类潜在的恶意软件是一项挑战。恶意程序有各种各样的行为，出现在各种情况下，涉及几乎所有 (c + +、 Java、 HTML 等） 的计算机上可用的技术。某些程序很明显是恶意的，提供用户坏处，例如，病毒、 蠕虫和特洛伊木马。一旦他们被检测到，大多数安全策略将删除这种程序。
其他程序提起了挑战，因为他们对某些用户有用，但有可能有害的副作用。例如，某些程序显示广告换取免费服务。如果用户是知情和同意的安装，这不是恶意软件。如果没有用户的同意和控制，在安装该程序，它可能是恶意的。
同样，IT专业人员可能使用的工具，使他们通过文件传输协议（FTP）或远程访问计算机能够共享文件。这些方案都没有本质上的恶意，但他们有可能被滥用。例如，远程访问软件由系统管理员可能安装，或者它可能是由恶意软件或黑客安装。微软产品使管理员能够评估这种风险，并决定哪些程序允许在其环境中。
12.
最后一步是为反恶意软件引擎采取行动打击被视为某种类型的恶意软件的文件。任何可能感染的合法软件隔离仔细检查的根据是IT 管理员选择的计算机的首选项或引擎会自动将其删除。
因为只需禁用的恶意软件的可执行部分，留在计算机上及其配套文件可能会导致不必要的副作用，反恶意软件引擎可以全面的清除恶意软件。它可以扫描单一威胁的子组件和注册表项的图标和快捷方式的所有组件，并作为一个组删除。
反恶意软件引擎包括允许自定义修正各种威胁的先进的技术。这些步骤可以包括重新创建注册表项并还原修改设置安全的默认值，但如果只是删除威胁时不会发生。
13.
更新部署
保持计算机处于最新状态是打击恶意软件的一个重要组成部分。微软反恶意软件产品，可以配置为自动下载和新的定义文件，因为它们是由MMPC公布。这些自动通道使用二进制差分技术来最大限度地保持保护更新日期所需的资源。
分发这些更新的机制包括以下内容：
Windows 更新。Windows 组件的自动更新机制。
Microsoft 更新。Windows 再加上额外的 Microsoft 软件的自动更新机制。
Windows ? 服务器更新服务 (WSUS)。可配置的技术，它使 IT 管理员能够集中收集，批准，并将更新分发到客户端按照变更控制策略。
备用的下载位置。直接从 MMPC 网站下载具体定义文件的机制。
14.
防止利用软件漏洞
前沿 TMG 入侵防御系统包括网络检测系统 (NIS) 技术，有助于防止利用已知的在 Microsoft 产品和服务上的软件漏洞。如果一个软件漏洞已披露，但 Microsoft 尚未发布安全更新 — — 或不能立即部署更新 — — NIS 使用签名的已知的安全漏洞来帮助检测和阻止恶意通信量。 MMPC出品这些签名并将其通过 Microsoft 更新服务发布。
NIS 使用下列类型的签名：
基于漏洞。这些签名检测大多数变体的特定漏洞中的漏洞。
基于利用此漏洞。这些签名检测特别易受伤害的特定漏洞。
基于策略的。这些签名通常用于审计目的和开发基于漏洞的利用。
有关配置、 监控和故障排除 NIS 的信息，请参阅在 TMG 白皮书 3 NIS。
15.
http://download.microsoft.com/do ... G%20Whitepaper.docx
最后一个想法： 对抗僵尸网络
虽然本文侧重于Microsoft 反恶意软件技术，但该公司正积极应对僵尸网络以及相关的威胁。
2010年9月8日，微软宣布采取法律行动，在与工业界和各地的学术专家合作，成功的关闭已知的一个主要的僵尸网络Waledac。关闭前微软估计 Waledac 一天感染数以十万计的世界各地的电脑和有能力将超过 1.5 亿的垃圾邮件通过电子邮件消息发送。微软还发现，从2009年12月3日到12月21日，Waledac是负责为约6.51亿定向独自Hotmail帐户的发送垃圾邮件信息，提供包括有关网上药店，仿品，就业，细价股的信息来诈骗。
对Waledac的成功运作为未来停产的情况下，使犯罪分子滥用不愿透露姓名的世界各地的受害计算机用户关机铺平了道路。微软深刻洞察到Waledac僵尸网络的运作和足迹，并开始与计算机应急准备小组（CERT）和互联网服务提供商（ISP）合作，以帮助客户从他们的计算机中删除Waledac恶意软件。
Waledac关闭被称为微软（MARS）安全项目，这是 Microsoft 数字犯罪单位、MMPC、 Microsoft 支持和微软可信赖计算团队之间共同努力消灭僵尸网络的第一任务。
在2011年3月，微软宣布了MARS的倡议下的又一个成功，当它与学界和学术界的合作伙伴和执法机构合作，采取行动对付Rustock的僵尸网络。这个僵尸网络，估计大约有100万感染的计算机在其控制下经营，并每天能够发送数十亿垃圾邮件，包括假冒的微软彩票欺诈和假冒和有潜在危险的处方药。
微软创建的病毒和安全的解决方案中心，帮助人们了解僵尸网络，并从自己的电脑中删除的恶意软件。
这个网站，项目和微软的团队和技术，不断地工作以打击恶意软件的帮助努力，使大家的计算机更安全。

驭龙

57L 一晴空提供翻译+68L白狮子翻译

微软恶意软件研究和响应中心
本文件仅供参考。 Microsoft不做任何明示，暗示，或法定的，在本文档的信息。
这份文件已打上“仅供参考”的记号，信息和本文件中所表达的意见，包括URL和其他Internet网站引用，如有变更，恕不另行通知。您承担使用它的风险。
版权所有© 2010 Microsoft Corporation版权所有。保留所有权利。
此处提及的实际公司和产品名称可能是其各自所有者的商标。

1


目录表
执行摘要................................................ ........................................... 3
原恶意软件............................................... .............................................. 4
当今的恶意软件：影子经济............................................ ................ 5
人们背后的MMPC .............................................. ................................... 8
MMPC任务................................................ ................................................ 10
帮助保护我们的客户和系统............................................. ........... 10
快速响应爆发的恶意软件............................................. ...... 11
在威胁前瞻和保护中心给客户的建议.......................... 11
MMPC网站................................................ ........................................ 11
恶意软件百科全书................................................ ............................. 12
MMPC博客................................................ .............................................. 12
安全情报报告............................................... ..................... 12
参与的伙伴关系............................................... ................................. 13
复杂的案例研究：流氓有害软件.................................... 14
打击流氓有害软件.............................................. ................ 15
统战部：微软安全中心............................................ ........... 16
微软安全工程中心.............................................. ........ 16
微软安全响应中心.............................................. ............ 16
结论................................................ .................................................. 。 18
附录：资源............................................... ........................................ 19


2
执行摘要
有害软件（恶意软件），被设计以损害用户的计算机，一台服务器，或网络;或以造成伤害的计算机用户，窃取个人或敏感信息，通过各种欺诈用户骗取资金，和其他有害的业务。蠕虫，木马，病毒，和流氓软件的一些最流行的恶意软件类型。
本文讨论的恶意软件的不断变化的性质，并介绍了Microsoft恶意软件保护中心（MMPC），这有助于帮助世界各地的恶意软件和潜在有害软件危害下的计算机和系统反恶意软件研究人员组成的团队。
研究和开发工作的MMPC支持全世界每个月600多万台计算机系统上广泛运行的Microsoft产品和服务范围。从这些系统的数据分析中提供了一个高层次的洞察力，使MMPC迅速和有效地应对恶意软件爆发无论在何时何地发生。对于客户端的反恶意软件技术，MMPC支持更多的技术讨论，请参阅微软反恶意软件技术1。

3

                                                   
1 http://go.microsoft.com/?linkid=9768949

恶意软件的起源
恶意软件在20世纪80年代开始，如在1986年的主机引导扇区病毒，1988年互联网的分布式莫里斯蠕虫程序。这些病毒大多被设计为用户创造的浩劫。使用受感染的计算机的人可能会看到嘲笑消息或奇特的视觉效果。
早期恶意软件试图在地下世界与另一个连接在戒备森严的病毒交换（VX）论坛，并了解他们所创建的破坏吹嘘黑客的恶名和尊重。微软首席架构师Jimmy Kuo在MMPC说，在那些日子里，一个软件程序员可以看看恶意代码的完整性，在一个地方，并破译它是做什么。这是独特的理解。
其实，早时引导扇区病毒是非常小的。他们融入一台计算机的主引导记录，其中只有512个字节。恶意代码不能超过大约100个​​字节，这就意味着，恶意软件可能只有30至40指示计算机组成。
在20世纪90年代后期和21世纪初，宏病毒和其他邮件群发（如Melissa和I LOVE YOU），远程访问木马（大鼠）开始广泛散发。这些程序中使用电子邮件，即时消息或电子邮件附件，自己从一台计算机传播到另一台。黑客使用恶意软件破坏网络流量或骚扰目标网站。例如，他们可以利用分布式拒绝服务（DDoS）攻击，被洪水攻击的网站接收了大量的流量，网站会崩溃，使合法用户无法使用。 （欲了解更多有关恶意软件相关的术语的信息，请参阅MMPC词汇。）
即使恶意程序开始使用1000字节到2000字节，他们足够小，程序员也可以把握代码尺寸和它的目的是做什么。 Visual Basic ®中编写的宏病毒在Microsoft ®开发系统可以打印和分析

4


当今的恶意软件：影子经济
如今，流离失所的专业罪犯成为业余病毒作者。 VX论坛已演变成广泛的网上黑市的产品和服务提供了一个全面的选择。
许多这些产品和服务有关的僵尸网络，它可以用来分发和安装其它恶意软件。僵尸网络是已经感染了恶意软件的电脑网络和犯罪分子暗中进行远程控制。恶意软件往往随着时间的推移进化成僵尸网络。越来越多，恶意用户创建简单的客户端和移动到云僵尸网络的复杂性。
攻击者经常使用社会工程手段，引诱用户安装恶意软件。社会工程，需要利用人性，而不是在软件中的缺陷。例如，网络钓鱼诈骗，使用虚假电子邮件或试图欺骗人泄露个人信息的网站。
一个僵尸网络可以被用来作为一个平台，为各种犯罪活动，根据经营它的人如何选择配置各个节点。被感染的计算机组成的僵尸网络发送垃圾邮件，攻击其他计算机，进行DDoS攻击，并试图访问机密数据。用户往往不知道自己的电脑被用于恶意目的。僵尸网络也可以用来进行点击欺诈，迫使用户访问每次点击付费的网站。
下图显示了在行动的僵尸网络的一个例子。

5



僵尸网络的创作者可能会尝试个别的恶意活动，或他们可能会返回一个黑市论坛和宣传其新的网络服务。卖方可提供恶意软件的工具包，使未来的僵尸网络的创作者建立自己的僵尸网络。现有的僵尸网络的所有者可以租他们的网络，垃圾邮件和攻击，或以新业主出售的机器人集合。
其他卖家提供的被认为不太可能采取执法的命令和控制服务器的IP地址或主机列表。或者，他们可能会出售，如加壳公用事业和加密，他们声称由目前的反恶意软件产品，使恶意软件检测不到。
下图显示了两个例子僵尸网络软件和服务在网上黑市出售。

6


                  
                  
黑色的市场往往具有合法电子商务的特点，如“卖家核实”经营者断言的网站是值得信赖的，甚至很多昼夜为了购买技术支持，这种状态的黑客日子已经一去不复返了。恶意软件是目前与世界各地的有组织犯罪。

7


人们背后的MMPC
恶意软件的崛起，产生新的领域的专家：反恶意软件的开发和研究人员。这是微软反恶意软件首席研究员彼得 - 费利，代表了发展反恶意软件行业前甚至存在于现在的MMPC这样的人。
彼得在20世纪80年代曾在高中使用苹果II系统。海盗（病毒）也相当猖獗，并迅速蔓延，这是病毒的早期形式。正如彼得解释说，“它成为写反恶意软件的必要条件，为了保护自己的软件程序和我的朋友。它能够促进我们之间的竞争思考潜在的新的病毒行为，然后击败他们“
另一个长期从事反恶意软件业务的专家是微软病毒研究和响应中心的管理者Jakub Kaminski。访问和控制计算机通过直接输入/输出，基本输入/输出系统（BIOS），操作系统调用是最有效的方式工作，对早期的电脑，Jakub和他的同事们没有经验。为反恶意软件研究员打好了良好的基础
“我一直在做一些低层次活动，编程和调试一段时间，在不同的平台和微处理器，，”Jakub说，“通过8080，8085，8086，Z80的。它只是发生在90年代初，我的知识和经验相匹配，是一个潜在的反恶意软件研究员的要求。开始在墨尔本的Cybec的工作与反恶意软件研究开始了我18年的职业生涯。“
作为今天MMPC的一个经理，Jakub仍然享有一个实用的方法：“我期待在恶意软件样本，参与实验室的日常工作​​。”但Jakub可以作证，20世纪90年代初以来，反恶意软件领域经历了极大变革。
“前所未有的，有一个恶意软件和反恶意软件相关的信息，”他说。 “与此同时，有一个有海量的信息库。不幸的是，大部分的信息或相互矛盾的数据或相同的（真实的或不真实的）的故事只是平淡返流。一是学习良好的可靠的来源和值得信赖的人的价值。当然，理想的是靠自己，但恶意软件在过去几年不断增多

8


多样性已几乎不可能。这些天，我依靠我的队友们集体的大脑。“
2006年，微软聘请了资深病毒猎人温尼文森特担任MMPC总经理。文森特带来了超过15年的经验和专长，微软，他同时在赛门铁克和McAfee的反恶意软件的反应实验室任职并有接触和联系。
文森特也带来了反恶意软件的研究和响应的视野。他知道，作为恶意软件的复杂性和隐藏风险的扩大，反病毒将需要一个新的专业知识水平。今天，反恶意软件研究员需要为数学与计算机安全奉献激情。

9


MMPC的使命
MMPC在行业最有经验的反恶意软件组织之一。它的使命是帮助保护客户和系统，快速响应恶意软件爆发，提醒客户，从事宝贵的伙伴关系。
帮助保护我们的客户和系统
微软反恶意软件产品和服务，帮助保护每个月在270个国家和地区的600多万台计算机。
MMPC团队密切合作，与微软的产品团队，以帮助确保产品有最新的反恶意软件定义，并能提供准确和可操作的，可用于进一步的研究中使用的遥测数据。 MMPC的反恶意软件研究提供许多微软的产品和服务，包括：
·Microsoft Security Essentials
· Microsoft Forefront® Endpoint Protection
· Windows Live™ products and services
· Internet Explorer®
· Bing™
· Microsoft SharePoint® products and services
· Microsoft Malicious Software Removal Tool (MSRT)
· Windows Defender
· Windows Intune™
文件扫描工具，所有这些技术使用微软的反恶意软件引擎定义文件，它包含数以千计的恶意软件和潜在有害的软件的不同检测签名。这些检测签名的安全性更新的关键环节。他们不断更新收集遥测。
微软安全产品所产生的遥测数据，包括对一般的计算机的地理位置（不准确的地方或个人信息）的信息。这个数据使MMPC能够比较在世界各地的不同地点的感染率，模式和趋势。

10


适用于IT专业人员的专家提示：
“了解你的企业，并学习如何消除像FunLove或Conficker蠕虫病毒。十年过去了，我们仍然有一些老的网络用以感知病毒。“
乔哈特曼，微软的首席架构师，MMPC
快速应对恶意软件爆发
从数以百万计的电脑接收遥测和经营的研究和响应实验室的全球网络，MMPC可以识别新的威胁，在几小时内。实验室在雷蒙德（美国华盛顿），都柏林（爱尔兰）和墨尔本（澳大利亚）与额外的研究人员在帮助世界各地的其他地点，确保响应团队始终在线。
适用于IT专业人员的专家提示：
“不要忘了紧急恢复过程。你迟早需要那些。您可以选择使用就可以了。“
Jakub，微软病毒研究和响应管理，MMPC
客户就威胁环境和保护
MMPC通过多种渠道向公众散布恶意软件的信息和安全信息。

MMPC网站
MMPC网站是一个恶意软件的信息，安全信息和定义更新的中央来源。这个网站还提供了一个地方，客户可以提交病毒到MMPC以分析样品恶意代码。因为威胁可以有所不同的产品，区域，和客户，遥测从客户端获得

11


意见书帮助MMPC更好地了解和预测的威胁环境。
恶意软件百科全书
在MMPC网站，恶意软件的百科全书提供数千当前面临的威胁，包括有关每种威胁的技术信息的详细分析，读者如何能确定自己的电脑是否被感染，以及如何从威胁中恢复或完全避免接触到它。
适用于IT专业人员的专家提示：
“允许您信任的应用程序，阻止一切其他非信任程序。”
彼得费利，微软首席反恶意软件研究员，MMPC
MMPC博客
世界各地的专家作出贡献，如当前的恶意软件爆发和安全会议的主题MMPC博客。 MMPC博客不仅讨论微软的产品，也关注攻击和漏洞，其他广泛使用的软件和网络属性，如流行的社交网站。
适用于IT专业人员的专家提示：
“不要启用ActiveX控件，在浏览网站时”
彼得费利，微软首席反恶意软件研究员，MMPC
安全情报报告
微软定期发布的安全情报报告（SIR），一个不断变化的威胁环境和趋势的综合评价。来自世界各地的600多万台计算机的数据进行详细分析，帮助IT专业人员，健全的风险管理决策和确定潜在的调整，其组织的安全态势，如更严格的安全政策。它还提供了来自Microsoft IT小组和产品，如必应（bing）和Internet Explorer团队的案例研究。

12


适用于IT专业人员的专家提示：
“如果你想为自己获得豁免，不让它使用策略。”
Jimmy Kuo，微软的首席架构师，MMPC
SIR网站上的信息分为以下部分，以帮助IT专业人员发现正是他们正在寻找他们在演示文稿中的信息，企业决策者：
·精选情报的重点专题，如僵尸网络或特定的恶意软件家庭。
·主要研究结果揭示了来自微软的安全分析师的数据和趋势分析。
·参考指南提供的主要结果（涉及的讨论点的定义）。
·风险管理建议，以帮助保护组织的软件和人的技术。
·全球威胁评估研究全球僵尸网络和恶意软件的感染率。
参与伙伴关系
MMPC从事广泛的反恶意软件行动。它与研究人员，合作伙伴，竞争对手，以及独立软件厂商（ISV）全球合作。它也与执法机构寻求逮捕袭击者。

13


复杂的案例研究：流氓安全软件（FAKEAV）
一个特别有害的恶意软件类型，说明复杂的恶意程序已成为流氓安全软件，也被称为恐吓软件。流氓安全软件的设计看起来像合法的安全软件，有时甚至模仿Windows安全中心，如下图所示。（即是fakeav之类的）

当一台计算机实际上不是病毒，流氓安全软件警告中可能会报告一个病毒。

14关于社工学利用-----FAKEAV


流氓安全软件下载后，打入一个过程的计算机名为injection。进入注册表，注入合法的程序本身，然后删除自身的原始版本。
用户开始看到覆盖在屏幕上的弹出式广告，当他或她浏览互联网。渐渐地，恶意软件禁用更多的功能，造成不便的用户，并引诱他或她付出什么，看来是一个反恶意软件程序。
用户支付程序后，程序提供代码，删除它引起的弹出式广告和其他干扰。但是，它留下的恶意代码运行的其他部分。例如，它可能会禁用Windows更新或禁用合法的反恶意软件的更新。它可能会阻止用户访问合法的反恶意软件供应商的网站。
确保它是合法的反恶意软件，流氓安全软件可能安装其它恶意软件。该软件可能潜伏，直到它检测到一个特定的事件，如当用户输入一个银行帐户号码，。然后，它激活，并开始收集用户的击键，记录密码，社会安全号码，出生日期，以及其他个人信息。
诈骗者可能再把用户的信用卡号码或密码卖给其他犯罪分子。他们可能会改变他们的公司名称，改变信贷机构，他们使用的是条例草案的用户，并消失才可确定。
打击流氓安全软件
回想了一会儿引导扇区病毒，100字节和30至40指令受感染的计算机。一个反恶意软件研究员打击流氓安全软件面临不同规模的问题：这些恶意程序运行到100千字节的范围内，或者30000的指令。
当今的恶意软件通常是压缩或加密。之前研究人员就可以开始评估代码，他们必须确定压缩算法，解压缩软件，然后破译它。评估的代码，意味着不仅是明显的恶意软件，而且键盘记录器或其他隐藏的方案，可能在稍后的日期开始收集数据，或者利用计算机控制的。
它的这种复杂的攻击软件，需要深厚的专业知识水平。 MMPC团队的专业知识，但它不单独工作。


15.
统一战线： 微软安全中心
MMPC 是致力于不断地收集反馈意见，并提供给客户和安全社区的三个微软安全中心之一。其他中心是 Microsoft 安全工程中心和微软安全响应中心 （MSRC）。
微软安全工程技术研究中心
MSEC工作帮助促进安全的 Microsoft 产品和服务。MSEC包含以下团队：
·安全开发生命周期的团队。管理更新、 释放，并宣传称为微软安全开发生命周期的软件安全过程。
·安全保证团队。有助于确保 Microsoft 发布产品满足或超过微软安全开发生命周期的需求。
·安全科学小组。通过应用研究帮助保护客户改进Microsoft 产品的安全性和保密性的 。具体来说，这个团队开发更有效的和可扩展的方式来找到漏洞，研究和创新利用适用于微软产品的漏洞缓解技术和跟踪 （并提供预警的） 新的攻击。
微软安全响应中心
MSRC 调查和回应 Microsoft 产品中的漏洞报告。MSRC 工作人员不断监视可能表明存在新的漏洞或利用此漏洞的信息沟通渠道。这些渠道包括基于互联网的安全论坛、 独立安全研究人员发送给 secure@microsoft.com 的电子邮件消息。

16.
当MSRC的研究人员研究验证漏洞或已存在漏洞，他们与受影响的微软产品团队共同开发、测试，并提供一个响应的安全更新。可供下载的安全更新通过像Windows更新，Microsoft Update和Microsoft下载中心机制发布。
MSRC 发布微软安全公告向公众通报安全通信的漏洞和利用信息。MSRC 博客提供有关漏洞、 安全公告和安全通报的其他信息。MSRC Twitter 是另一种MSRC 提供公告及其他与安全相关的信息的方法。

17.
总结
MMPC 致力于帮助 Microsoft 客户保持他们的计算机安全。通过不断地收集和分析数据，以及与组织内部和外部 Microsoft 合作，MMPC 保持敏捷打击不断演变的威胁的能力。其成员永远不会忘记他们的工作的重要性。
正如吉米郭所言：“要成为恶意软件的创造者，你只需要知道目前的。但是，反恶意软件方面有精深的专业知识。恶意软件的创造者只得到它的权利一次，但反恶意软件的人每次都得到它的权利。”

18.
附录： 更多的资源
到此文件中的概念与相关的详细信息，请参阅下列资源：
·Microsoft 恶意软件保护中心 （MMPC） 的网站。包含最大威胁、 百科全书深入恶意软件、 恶意软件工具和资源，恶意软件样本提交机制的详细的信息。
·MMPC 博客。提供与客户沟通的 MMPC 主题专家的实时方法。主题包括"幕后"、 新兴和显著的恶意软件威胁以及在计算机安全领域其他研究课题的有关信息。
·MMPC Twitter 。从 MMPC 提供及时的信息。MMPC Facebook 上的网页提供了一种方法，以保持最新MMPC 活动。
·恶意软件删除工具 (MSRT)。帮助识别和从客户计算机运行 Windows 7、 Windows Vista 、 Windows XP、 Windows Server 2008、 Windows Server 2003 和 Windows 2000 操作系统的系统中删除特定的流行恶意软件。这个免费的工具发布作为重要更新通过 Windows Update、 Microsoft 更新，并自动更新。它的版本可从 Microsoft 下载中心下载。2011 年 4 月，该工具检测和删除 155 恶意软件家族。检测和删除过程完成时，该工具将显示描述结果的报告。注： MSRT 不是最新的防病毒解决方案，因为它缺乏实时保护，并只使用部分Microsoft 防病毒签名数据库，使它能够针对特别选定的流行恶意软件 。
·微软安全响应中心 （MSRC） 的网站。提供了有关 MSRC 和它所运行的程序的信息。
·MSRC Twitter 。 MSRC 提供及时的信息。
·可信计算的安全和隐私博客聚合。Microsoft 可信赖计算组，工程提供更安全、 保密和可靠的计算体验的特色博客。此外提供有关 Microsoft信息计算的隐私和安全的 长远目标和策略。

expensive6688

英文，看不明白

一晴空

英语的这么多，力不从心啊

曜辉

那就期待查杀率的上升吧,到时候我就可以继续回归MSE啦!

zazaqo

期待3.0的精彩表现哦

polluxkyo

MSE我只期待XP的不卡EXE

sb321

盼望mse有上佳的表现！

追梦空间

其实不用放这么多英语，放在附件不更好？期待mse的快速更大进步

wakin

期待MSE！！！我也想回归了