كيف تحدد Microsoft البرامج الضارة والتطبيقات غير المرغوب فيها
تهدف Microsoft إلى توفير تجربة Windows مبهجة ومنتجة من خلال العمل على ضمان سلامتك والتحكم في أجهزتك. تساعد Microsoft في حمايتك من التهديدات المحتملة من خلال تحديد البرامج والمحتوى عبر الإنترنت وتحليلها. عند تنزيل البرامج وتثبيتها وتشغيلها، نتحقق من سمعة البرامج التي تم تنزيلها ونتأكد من حمايتك من التهديدات المعروفة. يتم تحذيرك أيضا من البرامج غير المعروفة لنا.
يمكنك مساعدة Microsoft عن طريق إرسال برامج غير معروفة أو مريبة للتحليل. تساعد عمليات الإرسال على ضمان فحص البرامج غير المعروفة أو المشبوهة بواسطة نظامنا لبدء تأسيس السمعة. تعرف على المزيد حول إرسال الملفات للتحليل
توفر الأقسام التالية نظرة عامة على التصنيفات التي نستخدمها للتطبيقات وأنواع السلوكيات التي تؤدي إلى هذا التصنيف.
ملاحظة
ويجري تطوير أشكال جديدة من البرامج الضارة والتطبيقات التي يحتمل أن تكون غير مرغوب فيها وتوزيعها بسرعة. قد لا تكون القائمة التالية شاملة، وتحتفظ Microsoft بالحق في ضبطها وتوسيعها وتحديثها دون إشعار أو إعلان مسبق.
لا توجد تقنية للحماية من الفيروسات أو الحماية مثالية. يستغرق تحديد المواقع والتطبيقات الضارة وحظرها وقتا، أو الثقة في البرامج والشهادات التي تم إصدارها حديثا. مع ما يقرب من 2 مليار موقع على شبكة الإنترنت والبرامج التي تم تحديثها وإصدارها باستمرار، من المستحيل الحصول على معلومات حول كل موقع وبرنامج واحد.
فكر في التحذيرات غير المعروفة/غير المألوفة التي تم تنزيلها كنظام تحذير مبكر للبرامج الضارة التي يحتمل أن تكون غير مكتشفة. عادة ما يكون هناك تأخير من وقت إصدار برامج ضارة جديدة حتى يتم تحديدها. ليست جميع البرامج غير الشائعة ضارة، ولكن المخاطر في الفئة غير المعروفة أعلى بكثير للمستخدم النموذجي. تحذيرات البرامج غير المعروفة ليست كتلا. يمكن للمستخدمين اختيار تنزيل التطبيق وتشغيله بشكل طبيعي إذا كانوا يرغبون في ذلك.
بمجرد جمع بيانات كافية، يمكن لحلول الأمان من Microsoft اتخاذ قرار. إما أنه لم يتم العثور على أي تهديدات، أو يتم تصنيف تطبيق أو برنامج على أنه برامج ضارة أو برامج غير مرغوب فيها.
البرامج الضارة هي الاسم الأساسي للتطبيقات وغيرها من التعليمات البرمجية، مثل البرامج، التي تصنفها Microsoft بشكل أكثر دقة على أنها برامج ضارة أو برامج غير مرغوب فيها أو برامج عبث.
البرامج الضارة هي تطبيق أو تعليمة برمجية تعرض أمان المستخدم للخطر. يمكن للبرامج الضارة سرقة معلوماتك الشخصية أو قفل جهازك حتى تدفع فدية أو تستخدم جهازك لإرسال البريد العشوائي أو تنزيل برامج ضارة أخرى. بشكل عام، تريد البرامج الضارة خداع المستخدمين أو غشهم أو الاحتيال عليهم، ووضعهم في حالات ضعيفة.
تصنف Microsoft البرامج الأكثر خبيثة في إحدى الفئات التالية:
مستتر: نوع من البرامج الضارة التي تمنح المتسللين الضارين إمكانية الوصول عن بعد إلى جهازك والتحكم فيه.
الأمر والتحكم: نوع من البرامج الضارة التي تصيب جهازك وتنشئ الاتصال بخادم الأوامر والتحكم الخاص بالقراصنة لتلقي الإرشادات. بمجرد إنشاء الاتصال، يمكن للمتسللين إرسال أوامر يمكنها سرقة البيانات، وإيقاف تشغيل الجهاز وإعادة تشغيله، وتعطيل خدمات الويب.
تنزيل: نوع من البرامج الضارة التي تقوم بتنزيل برامج ضارة أخرى على جهازك. يجب أن يتصل بالإنترنت لتنزيل الملفات.
القطاره: نوع من البرامج الضارة التي تقوم بتثبيت ملفات برامج ضارة أخرى على جهازك. على عكس التنزيل، لا يتعين على الإفلات الاتصال بالإنترنت لإسقاط الملفات الضارة. عادة ما يتم تضمين الملفات التي تم إسقاطها في إسقاط نفسها.
استغل: جزء من التعليمات البرمجية يستخدم الثغرات الأمنية في البرامج للوصول إلى جهازك وتنفيذ مهام أخرى، مثل تثبيت البرامج الضارة.
Hacktool: نوع من الأدوات التي يمكن استخدامها للوصول غير المصرح به إلى جهازك.
فيروس الماكرو: نوع من البرامج الضارة التي تنتشر عبر المستندات المصابة، مثل مستندات Microsoft Word أو Excel. يتم تشغيل الفيروس عند فتح مستند مصاب.
Obfuscator: نوع من البرامج الضارة التي تخفي التعليمات البرمجية والغرض منها، مما يجعل من الصعب على برامج الأمان اكتشافها أو إزالتها.
مسرق كلمة المرور: نوع من البرامج الضارة التي تجمع معلوماتك الشخصية، مثل أسماء المستخدمين وكلمات المرور. غالبا ما يعمل مع مسجل المفاتيح، الذي يجمع ويرسل معلومات حول المفاتيح التي تضغط عليها ومواقع الويب التي تزورها.
برامج الفدية الضارة: نوع من البرامج الضارة التي تشفر ملفاتك أو تقوم بإجراء تعديلات أخرى يمكن أن تمنعك من استخدام جهازك. ثم يعرض ملاحظة الفدية التي تنص على أنه يجب عليك دفع المال أو تنفيذ إجراءات أخرى قبل أن تتمكن من استخدام جهازك مرة أخرى. راجع المزيد من المعلومات حول برامج الفدية الضارة.
برامج الأمان المارقة: البرامج الضارة التي تتظاهر بأنها برنامج أمان ولكنها لا توفر أي حماية. يعرض هذا النوع من البرامج الضارة عادة تنبيهات حول التهديدات غير الموجودة على جهازك. كما يحاول إقناعك بالدفع مقابل خدماته.
طرواده: نوع من البرامج الضارة التي تحاول أن تظهر غير ضارة. على عكس فيروس أو دودة، لا ينتشر حصان طروادة بنفسه. بدلا من ذلك، يحاول أن يبدو شرعيا لخداع المستخدمين لتنزيله وتثبيته. بمجرد تثبيتها، تقوم أجنة طروادة بأنشطة ضارة مختلفة مثل سرقة المعلومات الشخصية أو تنزيل برامج ضارة أخرى أو منح المهاجمين حق الوصول إلى جهازك.
منقر طروادة: نوع من حصان طروادة ينقر تلقائيا فوق الأزرار أو عناصر التحكم المماثلة على مواقع الويب أو التطبيقات. يمكن للمهاجمين استخدام حصان طروادة هذا للنقر على الإعلانات عبر الإنترنت. يمكن لهذه النقرات انحراف الاستقصاءات عبر الإنترنت أو أنظمة التعقب الأخرى ويمكنها حتى تثبيت التطبيقات على جهازك.
دودة: نوع من البرامج الضارة التي تنتشر إلى أجهزة أخرى. يمكن أن تنتشر Worms من خلال البريد الإلكتروني والمراسلة الفورية ومنصات مشاركة الملفات والشبكات الاجتماعية ومشاركات الشبكة ومحركات الأقراص القابلة للإزالة. تستفيد الديدان المتطورة من الثغرات الأمنية في البرامج لنشرها.
تعتقد Microsoft أنه يجب أن يكون لديك التحكم في تجربة Windows. يجب أن تحافظ البرامج التي تعمل على Windows على التحكم في جهازك من خلال خيارات مستنيرة وعناصر تحكم يمكن الوصول إليها. تحدد Microsoft سلوكيات البرامج التي تضمن لك التحكم. نقوم بتصنيف البرامج التي لا توضح هذه السلوكيات بشكل كامل على أنها "برامج غير مرغوب فيها".
يجب إعلامك بما يحدث على جهازك، بما في ذلك البرامج التي يقوم بها وما إذا كان نشطا.
قد تظهر البرامج التي تفتقر إلى الاختيار ما يلي:
فشل تقديم إشعار بارز حول سلوك البرنامج والغرض منه وهدفه.
فشل الإشارة بوضوح إلى وقت تنشيط البرنامج. قد يحاول أيضا إخفاء وجوده أو إخفاءه.
تثبيت البرامج أو إعادة تثبيتها أو إزالتها دون إذن أو تفاعل أو موافقة.
قم بتثبيت برامج أخرى دون الإشارة بوضوح إلى علاقتها بالبرامج الأساسية.
التحايل على مربعات حوار موافقة المستخدم من المستعرض أو نظام التشغيل.
يدعي خطأ أنه برنامج من Microsoft.
يجب ألا يقوم البرنامج بتضليلك أو إكراهك على اتخاذ قرارات حول جهازك. يعتبر سلوكا يحد من اختياراتك. بالإضافة إلى القائمة السابقة، قد تظهر البرامج التي تظهر عدم الاختيار ما يلي:
عرض مطالبات مبالغ فيها حول صحة جهازك.
قم بإجراء مطالبات مضللة أو غير دقيقة حول الملفات أو إدخالات السجل أو العناصر الأخرى على جهازك.
عرض المطالبات بطريقة مثيرة للقلق حول صحة جهازك وتتطلب الدفع أو إجراءات معينة مقابل إصلاح المشكلات المزعومة.
يجب على البرامج التي تخزن أنشطتك أو بياناتك أو تنقلها ما يلي:
- امنحك إشعارا والحصول على الموافقة للقيام بذلك. يجب ألا يتضمن البرنامج خيارا يقوم بتكوينه لإخفاء الأنشطة المرتبطة بتخزين بياناتك أو إرسالها.
يجب أن تكون قادرا على التحكم في البرامج على جهازك. يجب أن تكون قادرا على بدء التخويل للبرنامج أو إيقافه أو إبطاله.
قد تظهر البرامج التي تفتقر إلى التحكم ما يلي:
منعك أو تقييدك من عرض ميزات المستعرض أو إعداداته أو تعديلها.
افتح نوافذ المستعرض دون تخويل.
إعادة توجيه حركة مرور الويب دون إعطاء إشعار والحصول على الموافقة.
تعديل محتوى صفحة الويب أو معالجته دون موافقتك.
يجب أن يستخدم البرنامج الذي يغير تجربة الاستعراض نموذج القابلية للتوسعة المدعوم من المستعرض فقط للتثبيت أو التنفيذ أو التعطيل أو الإزالة. تعتبر المستعرضات التي لا توفر نماذج قابلية توسعة مدعومة غير قابلة للتوسعة ولا ينبغي تعديلها.
يجب أن تكون قادرا على بدء أو إيقاف أو إبطال التخويل الممنوح للبرنامج. يجب أن يحصل البرنامج على موافقتك قبل التثبيت، ويجب أن يوفر طريقة واضحة ومباشرة لتثبيته أو إلغاء تثبيته أو تعطيله.
قد تقوم البرامج التي توفر تجربة تثبيت ضعيفة بتجميع أو تنزيل "برامج غير مرغوب فيها" أخرى كما تصنفها Microsoft.
قد تؤدي البرامج التي توفر تجربة إزالة رديئة إلى ما يلي:
تقديم مطالبات أو نوافذ منبثقة مربكة أو مضللة عند محاولة إلغاء تثبيتها.
فشل استخدام ميزات التثبيت/إلغاء التثبيت القياسية، مثل إضافة/إزالة البرامج.
يمكن أن يتداخل البرنامج الذي يروج لمنتج أو خدمة خارج البرنامج نفسه مع تجربة الحوسبة الخاصة بك. يجب أن يكون لديك خيار واضح والتحكم عند تثبيت البرامج التي تقدم الإعلانات.
يجب أن تكون الإعلانات التي يقدمها البرنامج:
قم بتضمين طريقة واضحة للمستخدمين لإغلاق الإعلان. يجب ألا يؤدي إغلاق الإعلان إلى فتح إعلان آخر.
قم بتضمين اسم البرنامج الذي قدم الإعلان.
يجب على البرنامج الذي يقدم هذه الإعلانات:
- قم بتوفير طريقة إلغاء تثبيت قياسية للبرنامج باستخدام نفس الاسم كما هو موضح في الإعلان الذي يقدمه.
يجب أن تكون الإعلانات المعروضة لك:
كن مميزا عن محتوى موقع الويب.
لا تضلل أو تخدع أو تخلط.
لا تحتوي على تعليمات برمجية ضارة.
عدم استدعاء تنزيل ملف.
تحتفظ Microsoft بشبكة عالمية من المحللين وأنظمة التحليل الذكي حيث يمكنك إرسال البرامج للتحليل. تساعد مشاركتك Microsoft على تحديد البرامج الضارة الجديدة بسرعة. بعد التحليل، تنشئ Microsoft معلومات الأمان للبرامج التي تفي بالمعايير الموضحة. يعرف هذا التحليل الذكي للأمان البرنامج على أنه برنامج ضار ومتاح لجميع المستخدمين من خلال برنامج الحماية من الفيروسات Microsoft Defender وحلول Microsoft الأخرى لمكافحة البرامج الضارة.
تشمل برامج العبث مجموعة واسعة من الأدوات والتهديدات التي تقلل بشكل مباشر أو غير مباشر من المستوى العام لأمن الأجهزة. تتضمن أمثلة إجراءات العبث الشائعة ما يلي:
تعطيل برامج الأمان أو إلغاء تثبيتها: الأدوات والتهديدات التي تحاول التهرب من آليات الدفاع عن طريق تعطيل برامج الأمان أو إلغاء تثبيتها، مثل برامج الحماية من الفيروسات أو EDR أو أنظمة حماية الشبكة. وتترك هذه الإجراءات النظام عرضة لمزيد من الهجمات.
إساءة استخدام ميزات نظام التشغيل وإعداداته: الأدوات والتهديدات التي تستغل الميزات والإعدادات داخل نظام التشغيل لتهديد الأمان. ومن الأمثلة على ذلك ما يلي:
إساءة استخدام جدار الحماية: يستخدم المهاجمون مكونات جدار الحماية للعبث غير المباشر ببرامج الأمان أو حظر اتصالات الشبكة المشروعة، مما قد يتيح الوصول غير المصرح به أو النقل غير المصرح به للبيانات.
معالجة DNS: العبث بإعدادات DNS لإعادة توجيه نسبة استخدام الشبكة أو حظر تحديثات الأمان، مما يترك النظام معرضا للأنشطة الضارة.
استغلال الوضع الآمن: الاستفادة من إعداد الوضع الآمن المشروع لوضع الجهاز في حالة قد يتم فيها تجاوز حلول الأمان، ما يسمح بالوصول غير المصرح به أو تنفيذ البرامج الضارة.
معالجة مكونات النظام: الأدوات والتهديدات التي تستهدف مكونات النظام الهامة، مثل برامج تشغيل النواة أو خدمات النظام، لتهديد الأمان والاستقرار العامين للجهاز.
تصعيد الامتيازات: التقنيات التي تهدف إلى رفع امتيازات المستخدم للتحكم في موارد النظام ومن المحتمل أن تعالج إعدادات الأمان.
التدخل في تحديثات الأمان: محاولات حظر تحديثات الأمان أو معالجتها، مما يجعل النظام عرضة للثغرات الأمنية المعروفة.
تعطيل الخدمات الهامة: الإجراءات التي تعطل خدمات النظام أو العمليات الأساسية، مما قد يتسبب في عدم استقرار النظام ويفتح الباب لهجمات أخرى.
تغييرات السجل غير المصرح بها: تعديلات على Windows Registry أو إعدادات النظام التي تؤثر على الوضع الأمني للجهاز.
العبث بعمليات التمهيد: جهود معالجة عملية التمهيد، والتي يمكن أن تؤدي إلى تحميل التعليمات البرمجية الضارة أثناء بدء التشغيل.
تهدف حماية PUA الخاصة بنا إلى حماية إنتاجية المستخدم وضمان تجارب Windows الممتعة. تساعد هذه الحماية على تقديم تجارب Windows أكثر إنتاجية وأداء ومبهجة. للحصول على إرشادات حول كيفية تمكين حماية PUA في Microsoft Edge المستند إلى Chromium ومكافحة الفيروسات Microsoft Defender، راجع الكشف عن التطبيقات التي يحتمل أن تكون غير مرغوب فيها وحظرها.
لا تعتبر PUAs برامج ضارة.
تستخدم Microsoft فئات محددة وتعريفات الفئات لتصنيف البرامج على أنها PUA.
البرامج الإعلانية: البرامج التي تعرض الإعلانات أو العروض الترويجية، أو تطالبك بإكمال الاستطلاعات لمنتجات أو خدمات أخرى في برامج أخرى غير نفسها. يتضمن ذلك البرامج التي تدرج إعلانات إلى صفحات الويب.
برنامج تورنت (المؤسسة فقط): البرامج المستخدمة لإنشاء أو تنزيل السيول أو الملفات الأخرى المستخدمة خصيصا مع تقنيات مشاركة الملفات من نظير إلى نظير.
برنامج التشفير (المؤسسة فقط): البرامج التي تستخدم موارد جهازك لإزالة العملات المشفرة.
تجميع البرامج: البرامج التي تقدم لتثبيت برامج أخرى لم يتم تطويرها من قبل نفس الكيان أو غير مطلوبة لتشغيل البرنامج. أيضا، البرامج التي تقدم لتثبيت برامج أخرى مؤهلة ك PUA استنادا إلى المعايير الموضحة في هذا المستند.
برامج التسويق: البرامج التي تراقب وترسل أنشطة المستخدمين إلى تطبيقات أو خدمات أخرى غير نفسها للبحث التسويقي.
برنامج التهرب: البرامج التي تحاول بنشاط التهرب من الكشف عن منتجات الأمان، بما في ذلك البرامج التي تتصرف بشكل مختلف في وجود منتجات الأمان.
سمعة الصناعة الضعيفة: البرامج التي يكتشفها موفرو الأمان الموثوق بهم باستخدام منتجات الأمان الخاصة بهم. صناعة الأمان مخصصة لحماية العملاء وتحسين تجاربهم. تتبادل Microsoft والمؤسسات الأخرى في صناعة الأمان باستمرار المعرفة حول الملفات التي قمنا بتحليلها لتزويد المستخدمين بأفضل حماية ممكنة.
البرامج المعرضة للخطر هي تطبيق أو تعليمة برمجية تحتوي على عيوب أمنية أو نقاط ضعف يمكن للمهاجمين استغلالها لتنفيذ إجراءات ضارة وربما مدمرة مختلفة. قد تنبع هذه الثغرات الأمنية من أخطاء الترميز غير المقصودة أو عيوب التصميم، وإذا تم استغلالها، يمكن أن تؤدي إلى أنشطة ضارة مثل الوصول غير المصرح به، وتصعيد الامتيازات، والعبث، والمزيد.
على الرغم من المتطلبات والمراجعات الصارمة المفروضة على التعليمات البرمجية التي تعمل في النواة، تظل برامج تشغيل الأجهزة عرضة لمختلف أنواع الثغرات الأمنية والأخطاء. تتضمن الأمثلة تلف الذاكرة وأخطاء القراءة والكتابة العشوائية، والتي يمكن للمهاجمين استغلالها لتنفيذ إجراءات ضارة ومدمرة أكثر أهمية -- الإجراءات المقيدة عادة في وضع المستخدم. يعد إنهاء العمليات الهامة على الجهاز مثالا على مثل هذا الإجراء الضار.