Microsoft Windows Malicious Software Removal Tool, jest jedną z "poprawek", która od wielu miesięcy instalowana jest na systemach Windows poprzez Automatic Updates. Na ogół zauważamy ją przeglądając listę udostępnionych w danym miesiącu poprawek.

Narzędzie to możemy również ściągnąć bezpośrednio ze strony Microsoft.

Lista złośliwego oprogramowania jakie MSRT jest w stanie usunąć z naszych systemów jest dość obszerna. Znajdują się na niej między innymi takie rodzynki jak Blaster, Sasser, czy też Mydoom. Do najmłodszych co prawda już nie należą, ale wciąż, niestety, można je  znaleźć na wielu systemach.

Aktywność MSRT możemy sprawdzić zaglądając do pliku mrt.log, który znajdziemy w folderze %WINDIR%\debug.

Jego zawartość może przedstawiać się mniej więcej tak:

---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v2.5, December 2008
Started On Mon Dec 15 10:33:20 2008

Results Summary:
----------------
No infection found.

Return code: 0
Microsoft Windows Malicious Software Removal Tool Finished On Mon Dec 15 10:35:01 2008

---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v2.6, January 2009
Started On Sat Jan 17 10:57:39 2009

Results Summary:
----------------
No infection found.

Return code: 0
Microsoft Windows Malicious Software Removal Tool Finished On Sat Jan 17 10:59:26 2009

---------------------------------------------------------------------------------------

Nic jednak nie stoi na przeszkodzie aby z MSRT korzystać częściej. Sami możemy uruchomić skanowanie  naszego systemu w dogodnym dla nas czasie. Wystarczy, że wpiszemy mrt w Start > Run.

Wybór rodzaju skanowania:

Tutaj mała uwaga. Po wybraniu opcji 'Full scan', skanowanie mojego systemu trwało ponad 24 godziny (!), a MSRT informował, że analizie zostało poddanych ponad 4 500 000 plików! Nie miałem pojęcia, że jest ich na moich dyskach aż tyle. :) W trakcie skanowania można jednak było zauważyć, że MSRT "zagląda" np. również do archiwów .rar, a następnie do plików .cab znajdujących się w tychże archiwach. Mając to na uwadze, 4,5 miliona plików nie dziwi już aż tak bardzo.

Dostępne informacje podczas skanowania:

Efekt skanowania.

Pozytywny:                                              Już nie tak bardzo pozytywny ;)

Po kliknięciu na "View detailed result of the scan" możemy obejrzeć listę tego co rozpoznaje MSRT, jak i tego co ewentualnie udało mu się usunąć.

Garść uwag...

Zadaniem MSRT nie jest zastąpienie programu antywirusowego. Przede wszystkim wykrywa  tylko część ze znanych programów. MSRT usuwa istniejącą infekcję, a nie chroni przed jej powstaniem.

Standardowo MSRT jest uruchamiany w trybie cichym, a użytkownik zostaje poinformowany tylko w przypadku wykrycia infekcji.

Z MSRT możemy korzystać także z poziomu wiersza poleceń. mrt /? wyświetli okno z listą dostępnych przełączników:

O tym jak ewentualnie wdrożyć Microsoft Windows Malicious Software Removal Tool w firmie, traktuje artykuł "Wdrażanie Narzędzia Microsoft Windows do usuwania złośliwego oprogramowania w środowisku przedsiębiorstwa"

Dla zainteresowanych...

11-02-2009 ukazała się wersja beta czwartej wersji BackTrack.
ISO i VMware image można ściągnąć jak zawsze:

http://www.remote-exploit.org/backtrack_download.html

Kilka z nowości w BackTrack 4 Beta:

- Kernel został uaktualniony do wersji 2.6.28.1 czego rezultatem jest między innymi lepsze wsparcie sprzętowe;
- BackTrack 4 Beta może być uruchamiany poprzez sieć, jeżeli korzysta z kart sieciowych obsługujących PXE;
- Zawiera SAINTexploit (Penetration Testing Tool) i Maltego 2.0.2 (open source intelligence and forensics application);
- W pełni funkcjonalny Unicornscan (information gathering and correlation engine)
- Wsparcie dla RFID;
- Wsparcie Pyrit CUDA;

Dla mniej zainteresowanych:

BackTrack jest bardzo popularną dystrybucją Linuxa, do badania zabezpieczeń i diagnostyki systemów i sieci. BackTrack może być uruchamiany bezpośrednio z CD.