De gratis virusscanner van Microsoft wordt door 400.000 Nederlanders gebruikt, zo liet de softwaregigant gisteren tijdens de presentatie van het achtste Security Intelligence Rapport weten. In de laatste helft van vorig jaar controleerde Microsoft een half miljard Windows machines via de Malicious Software Removal Tool (MSRT) en Security Essentials. Ook via diensten als Windows Live Hotmail en Bing bracht de softwaregigant het malwarelandschap in kaart. Zo blijkt dat het aantal besmettingen op pc’s met Windows 7 en Windows Vista SP2 de helft minder is dan op pc’s met Windows XP. Daarbij maakt het vooral het gebruikte Service Pack uit. XP met Service Pack 3 heeft met veel minder infecties te maken dan installaties die nog SP1 of SP2 gebruiken.

Nederland
In tegenstelling tot vorig jaar, zijn er nu wel specifieke gegevens over Nederland in het 22MB grote en 248 pagina's tellende beveiligingsrapport opgenomen. Van elke duizend gescande Nederlandse computers in de tweede helft van vorig jaar, waren er 3,3 met malware besmet. In Nederland zijn er 5 miljoen Windows computers, wat betekent dat er 16.500 geïnfecteerd zijn. Toch verwijderde Microsoft hier in de laatste zes maanden van 2009 ruim 750.000 malware exemplaren. Het gaat dan voornamelijk om Trojaanse paarden en droppers en downloaders die weer Trojaanse paarden installeren. Deze categorieën waren voor bijna de helft van alle besmettingen verantwoordelijk.

Andere malware die hier in vergelijking met andere landen zeer actief is, zijn ASX/Wimad en PlayMP3z. Wimad is een kwaadaardig Windows mediabestand, dat bij het openen de browser start en een website laadt. PlayMP3z is een adware programma dat advertenties laat zien. Verder zag Microsoft de Rustock rootkit vrij veel in Nederland, maar komen hier weinig wachtwoordstelers voor online games voor. Over het geheel genomen doet Nederland het vrij goed, hoewel Finland het met 1,4 per duizend net iets beter doet. Wereldwijd zijn er gemiddeld 7 per 1.000 computers geïnfecteerd. Het slechtste jongetje van de klas is Turkije, met een verhouding van 20 per 1.000 computers. Goed nieuws was er ook voor China en Brazilië, die door het uitkomen van Security Essentials met veel minder malware te maken hebben.

Trends
De softwaregigant ziet verder dat beveiligingslekken steeds sneller worden misbruikt. In veel gevallen wachten aanvallers daarbij op het uitkomen van een patch, om die te reverse engineeren. De recordtijd tussen het uitkomen van een patch en verschijnen van een exploit is tot nu toe twee uur. Verder nam het totaal aantal gerapporteerde beveiligingslekken af, maar zag Microsoft het aantal lekken in de tweede helft van 2009 ten opzichte van de eerste helft licht stijgen. Het aantal gepatchte lekken per bulletin neemt dan wel weer af. Eerste waren het drie lekken per bulletin, dat daalde naar twee.

Een andere trend die al jaren gaande is, is het aanvallen van third-party applicaties zoals Adobe Reader en QuickTime. Van alle ontdekte browser exploits misbruikte 33% een lek in Adobe Reader. Een kwetsbaarheid in Internet Explorer was met bijna 16% tweede, gevolgd door wederom Adobe Reader (11%), Microsoft Video Control (5%) en RealPlayer (3,3%). Daarbij hebben Vista-gebruikers veel last van de Adobe exploits, terwijl het IE-lek een probleem voor XP-gebruikers is.

Windows XP en Office
Het rapport laat een duidelijk verschil tussen Windows XP, Vista en Windows 7 zien. Meer dan de helft van alle aanvallen op Windows XP vindt plaats via lekken in het oude besturingssysteem, terwijl dit bij Windows 7 en Vista 25% is. Hoewel het updaten van Windows volgens Microsoft vrij succesvol is, geldt dit niet voor Office. Dat wordt onderstreept door de meest gebruikte exploit (75%), die een drie jaar oud lek in het kantoorprogramma misbruikt. Zo blijkt meer dan de helft van de aangevallen Office installaties niet meer sinds 2003 te zijn geüpdatet.

ZeelandNet
Bij de vorige editie van het rapport ontstond de nodige commotie door de vermelding van ZeelandNet, waar 5,5% van alle gehoste websites bezoekers probeerde te infecteren. De Zeeuwse provider vroeg tevergeefs om cijfers en kon zich ook niet in het beeld herkennen. Nu maakt Microsoft er speciaal melding van dat ZeelandNet alle drive-by download websites heeft verwijderd. "Het lijkt erop dat veranderingen van het aantal infecties per provider normaal zijn. Als providers hun beveiligingsbeleid aanpassen en handhaven, wordt het lastiger voor aanvallers om websites van deze providers te infecteren en gaan ze ergens anders naar toe", zo is in het rapport te lezen.

Vanwege de omvang van het rapport, zullen we vanmiddag het tweede gedeelte behandelen