Поделиться через

Как корпорация Майкрософт определяет вредоносные программы и потенциально нежелательные приложения

Корпорация Майкрософт стремится обеспечить восхитительный и продуктивный интерфейс Windows, работая над тем, чтобы обеспечить безопасность и контроль над своими устройствами. Корпорация Майкрософт помогает защитить вас от потенциальных угроз путем выявления и анализа программного обеспечения и содержимого в Интернете. При скачивании, установке и запуске программного обеспечения корпорация Майкрософт проверяет репутацию скачанных программ и гарантирует, что вы защищены от известных угроз. Вы также будете предупреждены о программном обеспечении, неизвестном корпорации Майкрософт.

Вы можете помочь корпорации Майкрософт , отправив неизвестное или подозрительное программное обеспечение для анализа. Отправка помогает гарантировать, что неизвестное или подозрительное программное обеспечение проверяется системой, чтобы начать устанавливать репутацию. Дополнительные сведения об отправке файлов для анализа.

В следующих разделах приводятся общие сведения о классификациях, которые корпорация Майкрософт использует для приложений, а также о типах поведения, которые приводят к этой классификации.

Примечание.

Новые формы вредоносных программ и потенциально нежелательных приложений разрабатываются и распространяются быстро. Приведенный ниже список может быть неполным, и корпорация Майкрософт оставляет за собой право изменять, расширять и обновлять эти классификации без предварительного уведомления или объявления.

Неизвестно — нераспознанное программное обеспечение

Ни антивирусная программа, ни технология защиты не являются идеальными. Для выявления и блокировки вредоносных сайтов и приложений или доверия недавно выпущенным программам и сертификатам требуется время. С почти 2 миллиарда веб-сайтов в Интернете и программного обеспечения постоянно обновляется и выпускается, невозможно иметь информацию о каждом отдельном сайте и программе.

Подумайте о неизвестных или редко скачиваемых предупреждениях как о системе раннего предупреждения о потенциально незамеченных вредоносных программах. Обычно происходит задержка с момента выпуска новой вредоносной программы, пока она не будет идентифицирована. Не все необычные программы являются вредоносными, но риск в неизвестной категории выше для обычного пользователя. Предупреждения для неизвестного программного обеспечения не являются блоками. При желании пользователи могут скачать и запустить приложение в обычном режиме.

После того как корпорация Майкрософт соберет достаточно данных, ее решения по обеспечению безопасности могут принять решение. Они либо не находят угроз, либо классифицируют приложение или программное обеспечение как вредоносное по или потенциально нежелательное программное обеспечение.

Вредоносная программа

Вредоносная программа — это приложение или код, который ставит под угрозу безопасность пользователей. Вредоносные программы могут украсть вашу личную информацию, заблокировать устройство до тех пор, пока вы не заплатите выкуп, использовать устройство для отправки спама или скачать другие вредоносные программы. Как правило, вредоносная программа хочет обмануть, обмануть или обмануть пользователей, помещая их в уязвимое состояние.

Корпорация Майкрософт классифицирует большинство вредоносных программ в одну из следующих категорий:

  • Бэкдор: Тип вредоносных программ, которые предоставляют злоумышленникам удаленный доступ к устройству и управление ими.

  • Команда и управление: Тип вредоносных программ, которые заражают ваше устройство и устанавливают связь с сервером команд и управления хакеров для получения инструкций. После установления связи хакеры могут отправлять команды, которые могут украсть данные, отключить и перезагрузить устройство, а также нарушить работу веб-служб.

  • Downloader: Тип вредоносных программ, которые загружают другие вредоносные программы на устройство. Для скачивания файлов необходимо подключиться к Интернету.

  • Капельницы: Тип вредоносных программ, который устанавливает другие файлы вредоносных программ на устройство. В отличие от загрузчика, капельнику не нужно подключаться к Интернету для удаления вредоносных файлов. Удаленные файлы обычно внедряются в сам капельник.

  • Использовать: Фрагмент кода, который использует уязвимости программного обеспечения для получения доступа к устройству и выполнения других задач, таких как установка вредоносных программ.

  • Hacktool: Тип средства, который можно использовать для получения несанкционированного доступа к устройству.

  • Макровирусов: Тип вредоносных программ, которые распространяются через зараженные документы, такие как документы Microsoft Word или Excel. Вирус запускается при открытии зараженного документа.

  • Маскатор: Тип вредоносных программ, которые скрывают свой код и назначение, что затрудняет обнаружение или удаление программного обеспечения безопасности.

  • Средство кражи паролей: Тип вредоносных программ, которые собирают ваши персональные данные, такие как имена пользователей и пароли. Он часто работает вместе с регистратором ключей, который собирает и отправляет сведения о нажимающих клавишах и веб-сайтах, которые вы посещаете.

  • Вымогателей: Тип вредоносного ПО, который шифрует файлы или вносит другие изменения, которые могут препятствовать использованию устройства. Затем такие программы отображают требование заплатить выкуп: вам предлагается заплатить деньги или выполнить другие действия, прежде чем вы сможете снова пользоваться устройством. См. дополнительные сведения о программе-шантажистах.

  • Несанкционированное программное обеспечение для обеспечения безопасности: Вредоносная программа, которая притворяется программным обеспечением безопасности, но не обеспечивает никакой защиты. Этот тип вредоносных программ обычно отображает оповещения о несуществующих угрозах на вашем устройстве. Он также пытается убедить вас оплатить свои услуги.

  • Троян: Тип вредоносных программ, которые пытаются показаться безвредными. В отличие от вирусов или червей, трояны не распространяются сами по себе. Троян обманом побуждает пользователей скачать и установить его, выдавая себя за безвредную программу. После установки трояны выполняют различные вредоносные действия: крадут личные сведения, скачивают другие вредоносные программы, предоставляют атакующим доступ к вашему устройству и т. д.

  • Троянский щелчок: Тип трояна, который автоматически нажимает кнопки или аналогичные элементы управления на веб-сайтах или в приложениях. Злоумышленники могут использовать этот троян, чтобы щелкнуть рекламу в Интернете. Эти щелчки могут исказить онлайн-опросы или другие системы отслеживания и даже устанавливать приложения на вашем устройстве.

  • Червь: Тип вредоносного ПО, который распространяется на другие устройства. Черви могут распространяться по электронной почте, с помощью мгновенных сообщений, платформ общего доступа к файлам, социальных сетей, сетевых папок и съемных носителей. Усовершенствованные черви распространяются, используя для этого уязвимости программного обеспечения.

Нежелательное программное обеспечение

Корпорация Майкрософт считает, что вы должны контролировать работу с Windows. Программное обеспечение, работающее в Windows, должно держать вас под контролем устройства с помощью информированных вариантов и доступных элементов управления. Корпорация Майкрософт определяет поведение программного обеспечения, которое гарантирует, что вы остаетесь под контролем. Корпорация Майкрософт классифицирует программное обеспечение, которое не полностью демонстрирует такое поведение, как "нежелательное программное обеспечение".

Отсутствие выбора

Вы должны быть уведомлены о том, что происходит на вашем устройстве, в том числе о том, что программное обеспечение делает и является ли оно активным.

Программное обеспечение, которое не имеет выбора, может:

  • Не следует предоставлять заметное уведомление о поведении программного обеспечения, его назначении и намерениях.

  • Не укажите, когда программное обеспечение активно. Он также может попытаться скрыть или замаскировать свое присутствие.

  • Установите, переустановите или удалите программное обеспечение без вашего разрешения, взаимодействия или согласия.

  • Установите другое программное обеспечение без четкого указания его связи с основным программным обеспечением.

  • Обходить диалоговые окна согласия пользователя из браузера или операционной системы.

  • Ложное утверждение о том, что является программным обеспечением корпорации Майкрософт.

Программное обеспечение не должно вводить в заблуждение или принудить вас к принятию решений о вашем устройстве. Это поведение ограничивает ваш выбор. В дополнение к предыдущему списку программное обеспечение, которое не имеет выбора, может:

  • Отображение преувеличенных утверждений о работоспособности устройства.

  • Вводя в заблуждение или неточные утверждения о файлах, записях реестра или других элементах на устройстве.

  • Отображение утверждений в тревожной форме о работоспособности устройства и требование оплаты или определенных действий в обмен на устранение предполагаемой проблемы.

Программное обеспечение, которое хранит или передает ваши действия или данные, должно:

  • Дайте уведомление и получите согласие на это. Программное обеспечение не должно включать параметр, который настраивает его для скрытия действий, связанных с хранением или передачей данных.

Отсутствие контроля

Вы должны иметь возможность управлять программным обеспечением на устройстве. Вы должны иметь возможность запускать, останавливать или иным образом отзывать авторизацию для программного обеспечения.

Программное обеспечение, которое демонстрирует отсутствие контроля, может:

  • Запретить или ограничить просмотр или изменение функций или параметров браузера.

  • Откройте окна браузера без авторизации.

  • Перенаправление веб-трафика без уведомления и получения согласия.

  • Изменять содержимое веб-страницы или управлять ими без вашего согласия.

Программное обеспечение, изменяющее возможности браузера, должно использовать только поддерживаемую браузером модель расширяемости для установки, выполнения, отключения или удаления. Браузеры, которые не предоставляют поддерживаемые модели расширяемости, считаются нерасширимыми и не должны изменяться.

Установка и удаление

Вы должны иметь возможность запуска, остановки или иным образом отозвать авторизацию, предоставленную программному обеспечению. Программное обеспечение должно получить ваше согласие перед установкой, и оно должно предоставить четкий и простой способ установки, удаления или отключения.

Программное обеспечение, которое обеспечивает плохую установку , может упаковывание или скачивание другого "нежелательного программного обеспечения", классифицированного корпорацией Майкрософт.

Программное обеспечение, которое обеспечивает плохое удаление , может:

  • При попытке удалить подсказки или всплывающие окна отображаются сбивающие с толку или вводящие в заблуждение подсказки.

  • Не используйте стандартные функции установки или удаления, такие как установка и удаление программ.

Реклама и реклама

Программное обеспечение, которое продвигает продукт или службу за пределами самого программного обеспечения, может мешать работе с вашими вычислениями. Вы должны иметь четкий выбор и контроль при установке программного обеспечения, которое представляет рекламу.

Рекламные объявления, которые представляют программное обеспечение, должны:

  • Включите очевидный способ закрытия объявления пользователями. Акт закрытия объявления не должен открывать другое объявление.

  • Укажите имя программного обеспечения, которое представило объявление.

Программное обеспечение, показывающее эти объявления, должно:

  • Предоставьте стандартный метод удаления для программного обеспечения с тем же именем, которое показано в объявлении, которое оно представляет.

Объявления, отображаемые для вас, должны:

  • Отличайтесь от содержимого веб-сайта.

  • Не вводите в заблуждение, не обманывайте и не путайте.

  • Не содержат вредоносный код.

  • Не вызывать скачивание файла.

Мнение потребителей

Корпорация Майкрософт поддерживает глобальную сеть аналитиков и аналитических систем, в которой можно отправлять программное обеспечение для анализа. Ваше участие помогает корпорации Майкрософт быстро выявлять новые вредоносные программы. После анализа корпорация Майкрософт создает аналитику безопасности для программного обеспечения, соответствующего описанным критериям. Эта аналитика безопасности определяет программное обеспечение как вредоносную программу и доступна всем пользователям через Microsoft Defender антивирусную программу и другие решения Майкрософт для защиты от вредоносных программ.

Незаконное программное обеспечение

Незаконное программное обеспечение включает в себя широкий спектр средств и угроз, которые прямо или косвенно снижают общую безопасность устройств. Ниже приведены примеры распространенных действий по незаконному копированию.

  • Отключение или удаление программного обеспечения для обеспечения безопасности. Средства и угрозы, которые пытаются обойти механизмы защиты путем отключения или удаления программного обеспечения безопасности, такого как антивирусная программа, EDR или системы защиты сети. Эти действия оставляют систему уязвимой для дальнейших атак.

  • Злоупотребление функциями и параметрами операционной системы. Средства и угрозы, которые используют функции и параметры в операционной системе для нарушения безопасности. Вот некоторые примеры.

    • Злоупотребление брандмауэром. Злоумышленники используют компоненты брандмауэра для косвенного изменения программного обеспечения безопасности или блокировки допустимых сетевых подключений, что может привести к несанкционированному доступу или краже данных.

    • Манипуляции с DNS. Изменение параметров DNS для перенаправления трафика или блокировки обновлений системы безопасности, что делает систему уязвимой для вредоносных действий.

    • Использование безопасного режима. Использование допустимого параметра безопасного режима для передачи устройства в состояние, в котором решения безопасности могут быть обойдены, что обеспечивает несанкционированный доступ или выполнение вредоносных программ.

  • Управление системными компонентами. Средства и угрозы, предназначенные для критически важных системных компонентов, таких как драйверы ядра или системные службы, для нарушения общей безопасности и стабильности устройства.

  • Повышение привилегий. Методы повышения привилегий пользователей для получения контроля над ресурсами системы и потенциального управления параметрами безопасности.

  • Вмешательство в работу обновлений системы безопасности. Попытки блокировать обновления безопасности или управлять ими, что делает систему уязвимой для известных уязвимостей.

  • Нарушение работы критически важных служб. Действия, которые нарушают работу основных системных служб или процессов, которые могут привести к нестабильности системы и открывают возможности для других атак.

  • Несанкционированные изменения в реестре: изменения в реестре Windows или системных параметрах, влияющие на состояние безопасности устройства.

  • Изменение процессов загрузки. Усилия по манипулирование процессом загрузки, что может привести к загрузке вредоносного кода во время запуска.

Потенциально нежелательное приложение (PUA)

Защита от pua защищает производительность пользователей и обеспечивает приятные возможности Windows. Эта защита помогает обеспечить более продуктивные, эффективные и восхитительные возможности Windows. Инструкции по включению защиты puA в Microsoft Edge на основе Chromium и антивирусной Microsoft Defender см. в статье Обнаружение и блокировка потенциально нежелательных приложений.

PuA не считаются вредоносными программами.

Корпорация Майкрософт использует определенные категории и определения категорий для классификации программного обеспечения в качестве pua.

  • Рекламное программное обеспечение: Программное обеспечение, которое отображает объявления или рекламные акции или предлагает вам пройти опросы для других продуктов или служб в программном обеспечении, отличном от самого себя. Эта категория включает программное обеспечение, которое вставляет объявления на веб-страницы.

  • Программное обеспечение Torrent (только для предприятий): Программное обеспечение, используемое для создания или скачивания торрентов или других файлов, используемых с технологиями однорангового обмена файлами.

  • Программное обеспечение для майнинга (только для предприятий): Программное обеспечение, использующее ресурсы устройства для добычи криптовалют.

  • Объединение программного обеспечения: Программное обеспечение, которое предлагает установить другое программное обеспечение, которое не разработано той же сущностью или не требуется для запуска программного обеспечения. В эту категорию также входит программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифифициируется как PUA на основе критериев, описанных в этом документе.

  • Маркетинговое программное обеспечение: Программное обеспечение, которое отслеживает и передает действия пользователей в приложения или службы, отличные от самих себя, для маркетинговых исследований.

  • Программное обеспечение Evasion: Программное обеспечение, которое активно пытается избежать обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя по-разному в присутствии продуктов безопасности.

  • Плохая репутация отрасли: Доверенные поставщики безопасности обнаруживают это программное обеспечение с помощью своих продуктов безопасности. Отрасль безопасности занимается защитой клиентов и улучшением их возможностей. Корпорация Майкрософт и другие организации в отрасли безопасности постоянно обмениваются знаниями о файлах, которые они анализируют, чтобы предоставить пользователям наилучшую защиту.

Уязвимое программное обеспечение

Уязвимое программное обеспечение — это приложение или код с недостатками или недостатками системы безопасности. Злоумышленники могут использовать эти уязвимости для выполнения различных вредоносных и потенциально разрушительных действий. Эти уязвимости могут возникать из-за непреднамеренных ошибок кодирования или недостатков проектирования. В случае использования они могут привести к вредоносным действиям, таким как несанкционированный доступ, повышение привилегий, незаконное изменение и т. д.

Уязвимые водители

Несмотря на строгие требования и проверки, налагаемые на код, выполняемый в режиме ядра, драйверы устройств по-прежнему подвержены различным типам уязвимостей и ошибок. К этим уязвимостям и ошибкам относятся преднамеренные оплошности проектирования, которые подрывают надежды операционной системы на обеспечение безопасности. Примеры включают повреждение памяти и произвольные ошибки чтения и записи. Злоумышленники могут использовать эти ошибки для выполнения более серьезных вредоносных и разрушительных действий — действий, обычно ограниченных в пользовательском режиме. Примером таких вредоносных действий является прекращение критических процессов на устройстве.

  • Last updated on