Jak Microsoft identifikuje malware a potenciálně nežádoucí aplikace
Microsoft si klade za cíl poskytovat nádherné a produktivní prostředí Windows tím, že pracuje na tom, abyste měli jistotu, že máte svá zařízení v bezpečí a máte pod kontrolou. Microsoft vás pomáhá chránit před potenciálními hrozbami tím, že identifikuje a analyzuje software a online obsah. Když stahujete, instalujete a spouštíte software, kontrolujeme reputaci stažených programů a zajišťujeme, že jste chráněni před známými hrozbami. Jste také varováni před softwarem, který je pro nás neznámý.
Microsoftu můžete pomoct odesláním neznámého nebo podezřelého softwaru k analýze. Odeslání pomáhá zajistit, aby byl neznámý nebo podezřelý software prohledáván naším systémem, aby se začal navazovat reputace. Další informace o odesílání souborů k analýze
Další části poskytují přehled klasifikací, které používáme pro aplikace, a typů chování, které vedou k této klasifikaci.
Poznámka
Nové formy malwaru a potenciálně nežádoucích aplikací se vyvíjejí a distribuují rychle. Následující seznam nemusí být úplný a společnost Microsoft si vyhrazuje právo je upravovat, rozšiřovat a aktualizovat bez předchozího upozornění nebo oznámení.
Neznámý – nerozpoznaný software
Žádná antivirová nebo ochranná technologie není dokonalá. Identifikace a blokování škodlivých webů a aplikací nebo důvěryhodnost nově vydaných programů a certifikátů chvíli trvá. Díky téměř 2 miliardám webových stránek na internetu a softwaru, který se průběžně aktualizuje a vydává, není možné mít informace o každém webu a programu.
Neznámá nebo neobvykle stažená upozornění si můžete představit jako systém včasného upozornění na potenciálně nezjištěný malware. Od vydání nového malwaru do jeho identifikace obvykle dochází ke zpoždění. Ne všechny neobvyklé programy jsou škodlivé, ale riziko v neznámé kategorii je pro typického uživatele mnohem vyšší. Upozornění pro neznámý software nejsou bloky. Uživatelé si můžou aplikaci stáhnout a spustit normálně, pokud chtějí.
Jakmile se nashromáždí dostatek dat, mohou se bezpečnostní řešení Microsoftu rozhodnout. Buď nejsou nalezeny žádné hrozby, nebo jsou aplikace nebo software zařazeny do kategorií jako malware nebo potenciálně nežádoucí software.
Malware
Malware je zastřešující název pro aplikace a další kód, jako je software, který Microsoft klasifikuje podrobněji jako škodlivý software, nežádoucí software nebo neoprávněný software.
Škodlivý software
Škodlivý software je aplikace nebo kód, který ohrožuje zabezpečení uživatelů. Škodlivý software může ukrást vaše osobní údaje, uzamknout zařízení, dokud nezaplatíte výkupné, používat zařízení k odesílání spamu nebo stahovat jiný škodlivý software. Obecně platí, že škodlivý software chce uživatele podvádět, podvádět nebo podvádět a umisťovat je do zranitelného stavu.
Microsoft klasifikuje většinu škodlivého softwaru do jedné z následujících kategorií:
Zadní vrátka: Typ malwaru, který hackerům se zlými úmysly umožňuje vzdálený přístup k vašemu zařízení a kontrolu nad ním.
Příkazy a řízení: Typ malwaru, který napadá vaše zařízení a naváže komunikaci se serverem příkazů a řízení hackerů, aby dostával pokyny. Po navázání komunikace můžou hackeři odesílat příkazy, které můžou ukrást data, vypnout a restartovat zařízení a narušit webové služby.
Downloader: Typ malwaru, který do vašeho zařízení stahuje jiný malware. Aby bylo možné stahovat soubory, musí se připojit k internetu.
Kapátko: Typ malwaru, který do vašeho zařízení nainstaluje další soubory malwaru. Na rozdíl od stahovacího nástroje se kapát nemusí připojovat k internetu, aby vyřadil škodlivé soubory. Vyřazené soubory jsou obvykle vloženy do samotného kapátku.
Využít: Část kódu, která používá ohrožení zabezpečení softwaru k získání přístupu k vašemu zařízení a provádění dalších úloh, jako je instalace malwaru.
Hacktool: Typ nástroje, který lze použít k získání neoprávněného přístupu k vašemu zařízení.
Virus makra: Typ malwaru, který se šíří prostřednictvím napadených dokumentů, jako jsou dokumenty Microsoft Word nebo Excel. Virus se spustí při otevření infikovaného dokumentu.
Obfuskátor: Typ malwaru, který skrývá kód a účel, což ztěžuje detekci nebo odebrání bezpečnostního softwaru.
Krádež hesla: Typ malwaru, který shromažďuje vaše osobní údaje, jako jsou uživatelská jména a hesla. Často funguje společně s nástrojem pro protokolování klíčů, který shromažďuje a odesílá informace o klávesách, které stisknete, a webových stránkách, které navštívíte.
Ransomware: Typ malwaru, který šifruje vaše soubory nebo provádí jiné úpravy, které vám můžou bránit v používání vašeho zařízení. Pak se zobrazí výkupné, ve které je uvedeno, že před dalším použitím zařízení musíte zaplatit peníze nebo provést jiné akce. Přečtěte si další informace o ransomwaru.
Podvodný bezpečnostní software: Malware, který předstírá, že je bezpečnostním softwarem, ale neposkytuje žádnou ochranu. Tento typ malwaru obvykle zobrazuje upozornění na neexistující hrozby na vašem zařízení. Také se snaží přesvědčit vás, abyste zaplatili za své služby.
Trojský: Typ malwaru, který se pokouší vypadat neškodně. Na rozdíl od viru nebo červa se trojský kůň sám o sobě nerozšíří. Místo toho se snaží vypadat oprávněně, aby uživatele ošidí, aby si ho stáhli a nainstalovali. Po instalaci trojské koně provádějí různé škodlivé aktivity, jako je krádež osobních údajů, stahování jiného malwaru nebo poskytnutí přístupu útočníkům k vašemu zařízení.
Clicker trojského koně: Typ trojského koně, který automaticky kliká na tlačítka nebo podobné ovládací prvky na webech nebo aplikacích. Útočníci mohou tento trojský kůň použít ke kliknutí na online reklamy. Tato kliknutí můžou zkrušovat online hlasování nebo jiné sledovací systémy a dokonce i instalovat aplikace na vaše zařízení.
Červ: Typ malwaru, který se šíří do dalších zařízení. Červi se můžou šířit prostřednictvím e-mailu, zasílání rychlých zpráv, platforem pro sdílení souborů, sociálních sítí, sdílených síťových složek a vyměnitelných jednotek. Sofistikovaní červi využívají k šíření softwarových ohrožení zabezpečení.
Nežádoucí software
Společnost Microsoft se domnívá, že byste měli mít kontrolu nad svými zkušenostmi s Windows. Software spuštěný ve Windows by vám měl zajistit kontrolu nad vaším zařízením prostřednictvím informovaných voleb a přístupných ovládacích prvků. Microsoft identifikuje chování softwaru, které vám zajistí, abyste měli kontrolu. Software, který toto chování plně neprokazuje, klasifikujeme jako "nežádoucí software".
Nedostatek výběru
Musíte být upozorněni na to, co se na vašem zařízení děje, včetně toho, co software dělá a jestli je aktivní.
Software, který vykazuje nedostatek volby, může:
Neposkytnou se důležité informace o chování softwaru a jeho účelu a záměru.
Nepodařilo se jasně určit, kdy je software aktivní. Může se také pokusit skrýt nebo skrýt svou přítomnost.
Nainstalujte, přeinstalujte nebo odeberte software bez vašeho svolení, interakce nebo souhlasu.
Nainstalujte jiný software bez jasného označení jeho vztahu k primárnímu softwaru.
Obejití dialogových oken souhlasu uživatele z prohlížeče nebo operačního systému.
Falešně tvrdí, že je software od Microsoftu.
Software nesmí svádět do omylu ani ho ho vodit k rozhodování o vašem zařízení. Jedná se o chování, které omezuje vaše volby. Kromě předchozího seznamu může software, který vykazuje nedostatek volby,:
Zobrazení přehnaných deklarací o stavu zařízení
Vytvořte zavádějící nebo nepřesná tvrzení o souborech, položkách registru nebo jiných položkách na vašem zařízení.
Zobrazovat alarmující tvrzení o stavu vašeho zařízení a vyžadovat platbu nebo určité akce výměnou za vyřešení domnělých problémů.
Software, který ukládá nebo přenáší vaše aktivity nebo data, musí:
- Dejte vám oznámení a získejte k tomu souhlas. Software by neměl obsahovat možnost, která ho nakonfiguruje tak, aby skrýval aktivity spojené s ukládáním nebo přenosem dat.
Nedostatek kontroly
Musíte být schopni ovládat software na svém zařízení. Musíte být schopni spustit, zastavit nebo jinak odvolat autorizaci softwaru.
Software, který vykazuje nedostatek kontroly, může:
Zakázat nebo omezit zobrazení nebo úpravu funkcí nebo nastavení prohlížeče.
Otevřete okna prohlížeče bez autorizace.
Přesměrovat webový provoz bez upozornění a získání souhlasu.
Upravte obsah webové stránky nebo s ním manipulujte bez vašeho souhlasu.
Software, který změní vaše prostředí procházení, musí používat pouze podporovaný model rozšiřitelnosti prohlížeče pro instalaci, spuštění, zakázání nebo odebrání. Prohlížeče, které neposkytují podporované modely rozšiřitelnosti, se považují za nevyčerpatelné a neměly by se upravovat.
Instalace a odebrání
Musíte být schopni spustit, zastavit nebo jinak odvolat autorizaci udělenou softwaru. Software by měl před instalací získat váš souhlas a musí poskytovat jasný a jednoduchý způsob, jak ho nainstalovat, odinstalovat nebo zakázat.
Software, který poskytuje špatné instalační prostředí , může sbalovat nebo stahovat jiný "nežádoucí software", jak ho klasifikuje Microsoft.
Software, který poskytuje špatné prostředí pro odebrání , může:
Při pokusu o odinstalaci se zobrazí matoucí nebo zavádějící výzvy nebo automaticky otevíraná okna.
Nepoužijí se standardní funkce instalace nebo odinstalace, například Přidat nebo odebrat programy.
Reklama a inzerce
Software, který propaguje produkt nebo službu mimo samotný software, může narušovat vaše výpočetní prostředí. Při instalaci softwaru, který prezentuje reklamy, byste měli mít jasnou volbu a kontrolu.
Reklamy, které software prezentuje, musí:
Zahrňte zřejmý způsob, jak uživatelé reklamu zavřít. Při zavření reklamy nesmí být otevřená jiná reklama.
Uveďte název softwaru, který reklamu předložil.
Software, který zobrazuje tyto reklamy, musí:
- Zadejte standardní metodu odinstalace pro software se stejným názvem, jaký je uveden v reklamě, která se zobrazí.
Reklamy, které se vám zobrazují, musí:
Rozlišovat od obsahu webu.
Nenechte se oklamat, neoklamat ani zmást.
Neobsahuje škodlivý kód.
Nevyvolává stahování souborů.
Názor spotřebitele
Microsoft udržuje celosvětovou síť analytiků a analytických systémů, kde můžete odesílat software k analýze. Vaše účast pomáhá Microsoftu rychle identifikovat nový malware. Po analýze Microsoft vytvoří bezpečnostní informace pro software, který splňuje popsaná kritéria. Tato analýza zabezpečení identifikuje software jako malware a je dostupná všem uživatelům prostřednictvím Microsoft Defender Antivirové ochrany a dalších antimalwarových řešení společnosti Microsoft.
Falšování softwaru
Falšování softwaru zahrnuje široké spektrum nástrojů a hrozeb, které přímo nebo nepřímo snižují celkovou úroveň zabezpečení zařízení. Příklady běžných akcí manipulace:
Zakázání nebo odinstalace bezpečnostního softwaru: Nástroje a hrozby, které se pokoušejí obejít mechanismy ochrany zakázáním nebo odinstalací bezpečnostního softwaru, jako je antivirový software, EDR nebo systémy ochrany sítě. Díky těmto akcím je systém zranitelný vůči dalším útokům.
Zneužití funkcí a nastavení operačního systému: Nástroje a hrozby, které využívají funkce a nastavení v operačním systému k ohrožení zabezpečení. Mezi příklady patří:
Zneužití brány firewall: Útočníci používající komponenty brány firewall k nepřímé manipulaci s bezpečnostním softwarem nebo blokování legitimních síťových připojení, což může umožnit neoprávněný přístup nebo exfiltraci dat.
Manipulace s DNS: Manipulace s nastavením DNS za účelem přesměrování provozu nebo blokování aktualizací zabezpečení a ponechání systému vystavené škodlivým aktivitám.
Zneužití v nouzovém režimu: Využití legitimního nastavení nouzového režimu k uvedení zařízení do stavu, kdy by se mohla obejít řešení zabezpečení, což umožňuje neoprávněný přístup nebo spuštění malwaru.
Manipulace s komponentami systému: Nástroje a hrozby, které cílí na důležité systémové komponenty, jako jsou ovladače jádra nebo systémové služby, a ohrozit tak celkové zabezpečení a stabilitu zařízení.
Eskalace oprávnění: Techniky zaměřené na zvýšení uživatelských oprávnění, aby získaly kontrolu nad prostředky systému a potenciálně manipulovaly s nastavením zabezpečení.
Zasahování do aktualizací zabezpečení: Pokusy o blokování nebo manipulaci s aktualizacemi zabezpečení, takže je systém zranitelný známými ohroženími zabezpečení.
Narušování kritických služeb: Akce, které narušují základní systémové služby nebo procesy, potenciálně způsobují nestabilitu systému a otevírají dveře dalším útokům.
Neautorizované změny registru: Změny v registru systému Windows nebo nastavení systému, které mají vliv na stav zabezpečení zařízení.
Manipulace se spouštěcími procesy: Úsilí o manipulaci s procesem spouštění, což může vést k načtení škodlivého kódu během spouštění.
Potenciálně nežádoucí aplikace (PUA)
Cílem naší ochrany PUA je chránit produktivitu uživatelů a zajistit příjemné prostředí Windows. Tato ochrana pomáhá poskytovat produktivnější, výkonnější a příjemnější prostředí Windows. Pokyny k povolení ochrany proti pua v prohlížečích Microsoft Edge založených na Chromium a Microsoft Defender Antivirus najdete v tématu Detekce a blokování potenciálně nežádoucích aplikací.
PUA se nepovažují za malware.
Společnost Microsoft používá konkrétní kategorie a definice kategorií ke klasifikaci softwaru jako pua.
Reklamní software: Software, který zobrazuje reklamy nebo propagační akce nebo vás vyzve k dokončení průzkumů pro jiné produkty nebo služby v jiném softwaru, než je sám o sobě. To zahrnuje software, který vkládá reklamy na webové stránky.
Software Torrent (jenom Enterprise): Software, který se používá k vytváření nebo stahování torrentů nebo jiných souborů speciálně používaných s technologiemi peer-to-peer sdílení souborů.
Cryptomining software (jenom Enterprise): Software, který využívá prostředky vašeho zařízení k těžbě kryptoměn.
Sdružování softwaru: Software, který nabízí instalaci jiného softwaru, který není vyvinut stejnou entitou nebo který není nutný ke spuštění softwaru. Dále software, který nabízí instalaci jiného softwaru, který se kvalifikuje jako PUA na základě kritérií uvedených v tomto dokumentu.
Marketingový software: Software, který monitoruje a přenáší aktivity uživatelů do aplikací nebo služeb, které jsou jiné než vlastní, za účelem marketingového výzkumu.
Software pro únik: Software, který se aktivně snaží vyhnout detekci bezpečnostními produkty, včetně softwaru, který se v přítomnosti bezpečnostních produktů chová odlišně.
Špatná pověst odvětví: Software, který důvěryhodní poskytovatelé zabezpečení detekují pomocí svých bezpečnostních produktů. Odvětví zabezpečení se zaměřuje na ochranu zákazníků a zlepšování jejich prostředí. Microsoft a další organizace v oboru zabezpečení si průběžně vyměňují znalosti o souborech, které jsme analyzovali, aby uživatelům poskytly nejlepší možnou ochranu.
Ohrožený software
Ohrožený software je aplikace nebo kód, který má chyby zabezpečení nebo slabiny, které můžou útočníci zneužít k provádění různých škodlivých a potenciálně destruktivních akcí. Tato ohrožení zabezpečení můžou být důsledkem neúmyslných chyb kódování nebo chyb návrhu, a pokud jsou zneužity, můžou vést k škodlivým aktivitám, jako je neoprávněný přístup, eskalace oprávnění, manipulace a další.
Ohrožené faktory
Navzdory přísným požadavkům a kontrolám uloženým na kód spuštěný v jádru zůstávají ovladače zařízení náchylné k různým typům ohrožení zabezpečení a chyb. Mezi příklady patří poškození paměti a libovolné chyby čtení a zápisu, které můžou útočníci zneužít k provádění významnějších škodlivých a destruktivních akcí – akce obvykle omezené v uživatelském režimu. Příkladem takové škodlivé akce je ukončení kritických procesů na zařízení.