Поделиться через

Как корпорация Майкрософт определяет вредоносные программы и потенциально нежелательные приложения

  • Статья

Корпорация Майкрософт стремится обеспечить восхитительный и продуктивный интерфейс Windows, работая над тем, чтобы обеспечить безопасность и контроль над своими устройствами. Корпорация Майкрософт помогает защитить вас от потенциальных угроз путем выявления и анализа программного обеспечения и содержимого в Интернете. При скачивании, установке и запуске программного обеспечения мы проверка репутацию скачанных программ и обеспечить защиту от известных угроз. Вы также предупреждены о программном обеспечении, которое нам неизвестно.

Вы можете помочь корпорации Майкрософт , отправив неизвестное или подозрительное программное обеспечение для анализа. Отправка помогает гарантировать, что наша система проверяет неизвестное или подозрительное программное обеспечение, чтобы начать создание репутации. Дополнительные сведения об отправке файлов для анализа

В следующих разделах представлен обзор классификаций, используемых для приложений, и типов поведения, которые приводят к этой классификации.

Примечание.

Новые формы вредоносных программ и потенциально нежелательных приложений разрабатываются и распространяются быстро. Приведенный ниже список может быть неполным, и корпорация Майкрософт оставляет за собой право изменять, расширять и обновлять их без предварительного уведомления или объявления.

Неизвестно — нераспознанное программное обеспечение

Ни антивирусная программа, ни технология защиты не являются идеальными. Для выявления и блокировки вредоносных сайтов и приложений или доверия недавно выпущенным программам и сертификатам требуется время. С почти 2 миллиарда веб-сайтов в Интернете и программного обеспечения постоянно обновляется и выпускается, невозможно иметь информацию о каждом отдельном сайте и программе.

Подумайте о неизвестных или редко скачиваемых предупреждениях как о системе раннего предупреждения о потенциально незамеченных вредоносных программах. Обычно происходит задержка с момента выпуска новой вредоносной программы, пока она не будет идентифицирована. Не все необычные программы являются вредоносными, но риск в неизвестной категории гораздо выше для обычного пользователя. Предупреждения для неизвестного программного обеспечения не являются блоками. При желании пользователи могут скачать и запустить приложение в обычном режиме.

После сбора достаточного количества данных решения майкрософт по обеспечению безопасности могут принять решение. Либо угрозы не найдены, либо приложение или программное обеспечение классифицируется как вредоносная программа или потенциально нежелательное программное обеспечение.

Вредоносная программа

Вредоносная программа — это всеобъемлющее имя для приложений и другого кода, например программного обеспечения, которое корпорация Майкрософт более детально классифицирует как вредоносное программное обеспечение, нежелательное программное обеспечение или программное обеспечение для незаконного изменения.

Вредоносное программное обеспечение

Вредоносное программное обеспечение — это приложение или код, который ставит под угрозу безопасность пользователей. Вредоносные программы могут украсть ваши персональные данные, заблокировать устройство до тех пор, пока вы не заплатите выкуп, использовать свое устройство для отправки спама или скачать другое вредоносное программное обеспечение. Как правило, вредоносное программное обеспечение хочет обмануть, обмануть или обмануть пользователей, помещая их в уязвимое состояние.

Корпорация Майкрософт классифицирует большинство вредоносных программ по одной из следующих категорий:

  • Тайный: Тип вредоносных программ, которые предоставляют злоумышленникам удаленный доступ к устройству и управление ими.

  • Команда и управление: Тип вредоносных программ, которые заражают ваше устройство и устанавливают связь с сервером команд и управления хакеров для получения инструкций. После установления связи хакеры могут отправлять команды, которые могут украсть данные, отключить и перезагрузить устройство, а также нарушить работу веб-служб.

  • Загрузчик: Тип вредоносных программ, которые загружают другие вредоносные программы на устройство. Для скачивания файлов необходимо подключиться к Интернету.

  • Капельница: Тип вредоносных программ, который устанавливает другие файлы вредоносных программ на устройство. В отличие от загрузчика, капельнику не нужно подключаться к Интернету, чтобы удалить вредоносные файлы. Удаленные файлы обычно внедряются в сам капельник.

  • Эксплуатировать: Фрагмент кода, который использует уязвимости программного обеспечения для получения доступа к устройству и выполнения других задач, таких как установка вредоносных программ.

  • Hacktool: Тип средства, который можно использовать для получения несанкционированного доступа к устройству.

  • Макровирусов: Тип вредоносных программ, которые распространяются через зараженные документы, такие как документы Microsoft Word или Excel. Вирус запускается при открытии зараженного документа.

  • Маскатор: Тип вредоносных программ, которые скрывают свой код и назначение, что затрудняет обнаружение или удаление программного обеспечения безопасности.

  • Средство кражи паролей: Тип вредоносных программ, которые собирают ваши персональные данные, такие как имена пользователей и пароли. Он часто работает вместе с регистратором ключей, который собирает и отправляет сведения о нажимающих клавишах и веб-сайтах, которые вы посещаете.

  • Программа-шантажист: Тип вредоносного ПО, который шифрует файлы или вносит другие изменения, которые могут препятствовать использованию устройства. Затем такие программы отображают требование заплатить выкуп: вам предлагается заплатить деньги или выполнить другие действия, прежде чем вы сможете снова пользоваться устройством. См. дополнительные сведения о программе-шантажистах.

  • Несанкционированное программное обеспечение для обеспечения безопасности: Вредоносная программа, которая притворяется программным обеспечением безопасности, но не обеспечивает никакой защиты. Этот тип вредоносных программ обычно отображает оповещения о несуществующих угрозах на вашем устройстве. Он также пытается убедить вас оплатить свои услуги.

  • Троянский: Тип вредоносных программ, которые пытаются показаться безвредными. В отличие от вирусов или червей, трояны не распространяются сами по себе. Вместо этого он пытается выглядеть законным, чтобы обмануть пользователей при скачивании и установке. После установки трояны выполняют различные вредоносные действия: крадут личные сведения, скачивают другие вредоносные программы, предоставляют атакующим доступ к вашему устройству и т. д.

  • Троянский щелчок: Тип трояна, который автоматически нажимает кнопки или аналогичные элементы управления на веб-сайтах или в приложениях. Злоумышленники могут использовать этот троян, чтобы щелкнуть рекламу в Интернете. Эти щелчки могут исказить онлайн-опросы или другие системы отслеживания и даже устанавливать приложения на вашем устройстве.

  • Червь: Тип вредоносного ПО, который распространяется на другие устройства. Черви могут распространяться по электронной почте, с помощью мгновенных сообщений, платформ общего доступа к файлам, социальных сетей, сетевых папок и съемных носителей. Усовершенствованные черви распространяются, используя для этого уязвимости программного обеспечения.

Нежелательное программное обеспечение

Корпорация Майкрософт считает, что вы должны контролировать работу с Windows. Программное обеспечение, работающее в Windows, должно держать вас под контролем устройства с помощью информированных вариантов и доступных элементов управления. Корпорация Майкрософт определяет поведение программного обеспечения, которое гарантирует, что вы остаетесь под контролем. Мы классифицируем программное обеспечение, которое не полностью демонстрирует такое поведение, как "нежелательное программное обеспечение".

Отсутствие выбора

Вы должны быть уведомлены о том, что происходит на вашем устройстве, в том числе о том, что программное обеспечение делает и является ли оно активным.

Программное обеспечение, которое не имеет выбора, может:

  • Не следует предоставлять заметное уведомление о поведении программного обеспечения, его назначении и намерениях.

  • Не укажите, когда программное обеспечение активно. Он также может попытаться скрыть или замаскировать свое присутствие.

  • Установите, переустановите или удалите программное обеспечение без вашего разрешения, взаимодействия или согласия.

  • Установите другое программное обеспечение без четкого указания его связи с основным программным обеспечением.

  • Обходить диалоговые окна согласия пользователя из браузера или операционной системы.

  • Ложное утверждение о том, что является программным обеспечением корпорации Майкрософт.

Программное обеспечение не должно вводить в заблуждение или принудить вас к принятию решений о вашем устройстве. Это считается поведением, которое ограничивает ваш выбор. В дополнение к предыдущему списку программное обеспечение, которое не имеет выбора, может:

  • Отображение преувеличенных утверждений о работоспособности устройства.

  • Вводя в заблуждение или неточные утверждения о файлах, записях реестра или других элементах на устройстве.

  • Отображение утверждений в тревожной форме о работоспособности устройства и требование оплаты или определенных действий в обмен на устранение предполагаемой проблемы.

Программное обеспечение, которое хранит или передает ваши действия или данные, должно:

  • Дайте уведомление и получите согласие на это. Программное обеспечение не должно включать параметр, который настраивает его для скрытия действий, связанных с хранением или передачей данных.

Отсутствие контроля

Вы должны иметь возможность управлять программным обеспечением на устройстве. Вы должны иметь возможность запускать, останавливать или иным образом отзывать авторизацию для программного обеспечения.

Программное обеспечение, которое демонстрирует отсутствие контроля, может:

  • Запретить или ограничить просмотр или изменение функций или параметров браузера.

  • Откройте окна браузера без авторизации.

  • Перенаправление веб-трафика без уведомления и получения согласия.

  • Изменять содержимое веб-страницы или управлять ими без вашего согласия.

Программное обеспечение, изменяющее возможности браузера, должно использовать только поддерживаемую браузером модель расширяемости для установки, выполнения, отключения или удаления. Браузеры, которые не предоставляют поддерживаемые модели расширяемости, считаются нерасширимыми и не должны изменяться.

Установка и удаление

Вы должны иметь возможность запуска, остановки или иным образом отозвать авторизацию, предоставленную программному обеспечению. Программное обеспечение должно получить ваше согласие перед установкой, а также предоставить понятный и простой способ установки, удаления или отключения.

Программное обеспечение, которое обеспечивает неудовлетворительную установку , может упаковывание или скачивание другого "нежелательного программного обеспечения", классифицированного корпорацией Майкрософт.

Программное обеспечение, которое обеспечивает плохое удаление , может:

  • При попытке удалить подсказки или всплывающие окна отображаются сбивающие с толку или вводящие в заблуждение подсказки.

  • Не удается использовать стандартные функции установки и удаления, такие как установка и удаление программ.

Реклама и реклама

Программное обеспечение, которое продвигает продукт или службу за пределами самого программного обеспечения, может мешать работе с вашими вычислениями. Вы должны иметь четкий выбор и контроль при установке программного обеспечения, которое представляет рекламу.

Рекламные объявления, представленные программным обеспечением, должны:

  • Включите очевидный способ закрытия объявления пользователями. Акт закрытия объявления не должен открывать другое объявление.

  • Укажите имя программного обеспечения, которое представило объявление.

Программное обеспечение, показывающее эти объявления, должно:

  • Предоставьте стандартный метод удаления для программного обеспечения с тем же именем, которое показано в объявлении, которое оно представляет.

Объявления, отображаемые для вас, должны:

  • Отличайтесь от содержимого веб-сайта.

  • Не вводите в заблуждение, не обманывайте и не путайте.

  • Не содержат вредоносный код.

  • Не вызывать скачивание файла.

Мнение потребителей

Корпорация Майкрософт поддерживает глобальную сеть аналитиков и аналитических систем, в которой можно отправлять программное обеспечение для анализа. Ваше участие помогает корпорации Майкрософт быстро выявлять новые вредоносные программы. После анализа корпорация Майкрософт создает аналитику безопасности для программного обеспечения, соответствующего описанным критериям. Эта аналитика безопасности определяет программное обеспечение как вредоносную программу и доступна всем пользователям с помощью Microsoft Defender антивирусной программы и других антивредоносных решений Майкрософт.

Незаконное программное обеспечение

Незаконное программное обеспечение охватывает широкий спектр средств и угроз, которые прямо или косвенно снижают общий уровень безопасности устройств. Ниже приведены примеры распространенных действий по незаконному копированию.

  • Отключение или удаление программного обеспечения для обеспечения безопасности. Средства и угрозы, которые пытаются обойти механизмы защиты путем отключения или удаления программного обеспечения безопасности, такого как антивирусная программа, EDR или системы защиты сети. Эти действия оставляют систему уязвимой для дальнейших атак.

  • Злоупотребление функциями и параметрами операционной системы. Средства и угрозы, которые используют функции и параметры в операционной системе для нарушения безопасности. Вот некоторые примеры.

    • Злоупотребление брандмауэром. Злоумышленники используют компоненты брандмауэра для косвенного изменения программного обеспечения безопасности или блокировки допустимых сетевых подключений, что может привести к несанкционированному доступу или краже данных.

    • Манипуляции с DNS. Изменение параметров DNS для перенаправления трафика или блокировки обновлений системы безопасности, в результате чего система будет подвержена вредоносным действиям.

    • Использование безопасного режима. Использование допустимого параметра безопасного режима для передачи устройства в состояние, в котором решения безопасности можно обойти, что позволяет обеспечить несанкционированный доступ или выполнение вредоносных программ.

  • Управление системными компонентами. Средства и угрозы, предназначенные для критически важных системных компонентов, таких как драйверы ядра или системные службы, для нарушения общей безопасности и стабильности устройства.

  • Повышение привилегий. Методы, направленные на повышение привилегий пользователей для получения контроля над ресурсами системы и потенциального управления параметрами безопасности.

  • Вмешательство в работу обновлений системы безопасности. Попытки блокировать обновления безопасности или управлять ими, что делает систему уязвимой для известных уязвимостей.

  • Нарушение работы критически важных служб. Действия, которые нарушают работу основных системных служб или процессов, что может привести к нестабильности системы и открыть дверь для других атак.

  • Несанкционированные изменения в реестре: изменения в реестре Windows или системных параметрах, влияющие на состояние безопасности устройства.

  • Изменение процессов загрузки. Усилия по манипулирование процессом загрузки, что может привести к загрузке вредоносного кода во время запуска.

Потенциально нежелательное приложение (PUA)

Наша защита от pua направлена на защиту производительности пользователей и обеспечение приятных возможностей Windows. Эта защита помогает обеспечить более продуктивные, эффективные и восхитительные возможности Windows. Инструкции по включению защиты puA в Microsoft Edge на основе Chromium и антивирусной Microsoft Defender см. в статье Обнаружение и блокировка потенциально нежелательных приложений.

PuA не считаются вредоносными программами.

Корпорация Майкрософт использует определенные категории и определения категорий для классификации программного обеспечения в качестве pua.

  • Рекламное программное обеспечение: Программное обеспечение, которое отображает объявления или рекламные акции или предлагает вам пройти опросы для других продуктов или служб в программном обеспечении, отличном от самого себя. Сюда входит программное обеспечение, которое вставляет объявления на веб-страницы.

  • Программное обеспечение Torrent (только для предприятий): Программное обеспечение, используемое для создания или скачивания торрентов или других файлов, специально используемых с технологиями однорангового обмена файлами.

  • Программное обеспечение для майнинга (только для предприятий): Программное обеспечение, использующее ресурсы устройства для добычи криптовалют.

  • Объединение программного обеспечения: Программное обеспечение, которое предлагает установить другое программное обеспечение, которое не разработано той же сущностью или не требуется для запуска программного обеспечения. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифифициируется как PUA на основе критериев, описанных в этом документе.

  • Маркетинговое программное обеспечение: Программное обеспечение, которое отслеживает и передает действия пользователей в приложения или службы, отличные от самих себя, для маркетинговых исследований.

  • Программное обеспечение Evasion: Программное обеспечение, которое активно пытается избежать обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя по-разному в присутствии продуктов безопасности.

  • Плохая репутация отрасли: Программное обеспечение, которое доверяет поставщикам безопасности, обнаруживает с их продуктами безопасности. Отрасль безопасности занимается защитой клиентов и улучшением их возможностей. Корпорация Майкрософт и другие организации в отрасли безопасности постоянно обмениваются знаниями о файлах, которые мы проанализировали, чтобы предоставить пользователям наилучшую защиту.

Уязвимое программное обеспечение

Уязвимое программное обеспечение — это приложение или код с недостатками или недостатками системы безопасности, которые могут быть использованы злоумышленниками для выполнения различных вредоносных и потенциально разрушительных действий. Эти уязвимости могут возникать из-за непреднамеренных ошибок программирования или ошибок проектирования, а в случае использования могут привести к таким вредоносным действиям, как несанкционированный доступ, повышение привилегий, незаконное изменение и т. д.

Уязвимые водители

Несмотря на строгие требования и проверки, налагаемые на код, выполняемый в ядре, драйверы устройств по-прежнему подвержены различным типам уязвимостей и ошибок. Примеры включают повреждение памяти и произвольные ошибки чтения и записи, которые могут использоваться злоумышленниками для выполнения более серьезных вредоносных и разрушительных действий . Действия, как правило, ограничены в пользовательском режиме. Примером таких вредоносных действий является прекращение критических процессов на устройстве.