Microsoft heeft laten weten dat het opnieuw succesvol is in de strijd tegen malware. Het bedrijf stuurt sinds enige tijd automatisch haar Malicious Software Removal Tool mee met haar maandelijkse patchronde en deze maand was de MSRT gericht op nep-antivirusprogramma’s uit de ‘W32/FakeXPA’-familie.

Crackers probeerden Windows-gebruikers afgelopen jaar steeds vaker te verleiden tot het downloaden van een nep-antivirusprogramma, dat eigenlijk helemaal niet werkt. Gebruikers die het programma installeren krijgen echter constant nep-virusmeldingen en pop-ups die melden dat de gebruiker zijn computer kan schoonmaken als hij 40 of 50 dollar betaalt. Maar ook na die betaling krijgt de gebruiker een applicatie die totaal niet werkt. De inkomsten van een cracker kunnen bij succes echter oplopen tot meer dan vijf miljoen dollar per jaar.

Voor Microsoft reden genoeg om deze vorm van malware hard aan te pakken en om er zeker van te zijn dat zoveel mogelijk Windows-gebruikers verschoond blijven van deze malware stuurt Microsoft de zogenaamde Malicious Software Removal Tool (MSRT) automatisch mee bij de maandelijkse patchronde ‘Patch Tuesday’.

In november van dit jaar was de MSRT gericht op een nep-antivirusfamilie met programma’s als ‘Advanced Antivirus’, ‘Ultimate Antivirus 2008’, en ‘XPert Antivirus’. Eind november liet Microsoft weten dat MSRT op bijna een miljoen Windows-computers het gewraakte nep-antivirusprogramma had aangetroffen en verwijderd.


Deze maand was MSRT gericht op de ‘W32/FakeXPA’-malwarefamilie, waar programma’s als ‘Antivirus XP’, ‘AntivirusXP 2008’ en ‘Antivirus 2009’ deel van uitmaken. Daarnaast was MSRT deze maand ook gericht op de ‘W32/Yektel’-malware die gelieerd is aan de ‘W32/FakeXPA’-malware. Deze malware zorgt ervoor dat Windows-gebruikers in Internet Explorer meldingen krijgen dat ze een virus hebben opgelopen. Deze meldingen zien er bijna hetzelfde uit als de dropdown-meldingen die IE zelf weergeeft als er iets aan de hand is. Nieuwe varianten van de ‘W32/Yektel’-malware gaan nog een stapje verder en voegen automatisch nepmeldingen toe aan zoekresultaten van Google. Als Internet Explorer gebruikt wordt krijgen gebruikers een melding te zien dat ze een ongeregistreerde versie van Antivirus 2009 gebruiken en dat Google adviseert om het programma te activeren. De links die hierbij worden getoond leiden uiteraard naar een website die de gebruikers 50 euro laat betalen om het nep-programma te registreren.

Microsoft heeft laten weten dat MSRT ook deze maand weer succesvol is, sinds 9 december zijn er al 394.000 pc’s schoongemaakt door de tool. Mensen die geen automatische updates draaien en de tool handmatig willen downloaden kunnen terecht op de website van Microsoft.