Miten Microsoft tunnistaa haittaohjelmia ja mahdollisesti ei-toivottuja sovelluksia
Microsoft pyrkii tarjoamaan ihastuttavan ja tuottavan Windows-käyttökokemuksen varmistamalla, että olet turvassa ja hallitset laitteitasi. Microsoft auttaa suojaamaan sinua mahdollisilta uhilta tunnistamalla ja analysoimalla ohjelmistoja ja verkkosisältöä. Kun lataat, asennat ja suoritat ohjelmistoa, tarkistamme ladattujen ohjelmien maineen ja varmistamme, että olet suojattu tunnettuja uhkia vastaan. Sinua varoitetaan myös ohjelmistosta, jota emme tunne.
Voit auttaa Microsoftia lähettämällä tuntematonta tai epäilyttävää ohjelmistoa analyysia varten. Lähetykset auttavat varmistamaan, että järjestelmämme tarkistaa tuntemattoman tai epäilyttävän ohjelmiston maineen luomisen aloittamiseksi. Lisätietoja tiedostojen lähettämisestä analyysia varten
Seuraavissa osioissa on yleiskatsaus sovelluksiin käyttämistämme luokituksista ja tähän luokitukseen johtavien toimintatyyppien tyypeistä.
Huomautus
Uusia haittaohjelmamuotoja ja mahdollisesti ei-toivottuja sovelluksia kehitetään ja jaetaan nopeasti. Seuraava luettelo ei ehkä ole kattava, ja Microsoft pidättää oikeuden muokata, laajentaa ja päivittää niitä ilman ennakkoilmoitusta tai ilmoitusta.
Mikään virustentorjuntaohjelma tai suojaustekniikka ei ole täydellinen. Haittaohjelmien ja sovellusten tunnistaminen ja estäminen vie aikaa tai uusien julkaistujen ohjelmien ja varmenteiden luottaminen. Lähes 2 miljardia verkkosivustoa Internetissä ja ohjelmistoja päivitetään ja julkaistaan jatkuvasti, joten on mahdotonta saada tietoa jokaisesta sivustosta ja ohjelmasta.
Ajattele tuntemattomia tai harvinaisesti ladattuja varoituksia varoitusjärjestelmänä mahdollisesti havaitsemattomille haittaohjelmille. Uuden haittaohjelman julkaisusta on yleensä viive, kunnes se tunnistetaan. Kaikki harvinaiset ohjelmat eivät ole haitallisia, mutta riski tuntemattomassa luokassa on paljon suurempi tyypilliselle käyttäjälle. Tuntemattoman ohjelmiston varoitukset eivät ole lohkoja. Käyttäjät voivat halutessaan ladata ja suorittaa sovelluksen normaalisti.
Kun tietoja on kerätty tarpeeksi, Microsoftin suojausratkaisut voivat tehdä päätöksen. Uhkia ei löydy, tai sovellus tai ohjelmisto luokitellaan haittaohjelmaksi tai mahdollisesti ei-toivotuksi ohjelmistoksi.
Haittaohjelma on sovellusten ja muiden koodien, kuten ohjelmistojen, kaikenkattava nimi, jonka Microsoft luokittelee tarkemmin haittaohjelmiksi, ei-toivotuiksi ohjelmistoiksi tai peukalointiohjelmistoiksi.
Haittaohjelma on sovellus tai koodi, joka vaarantaa käyttäjän suojauksen. Haittaohjelmat voivat varastaa henkilökohtaisia tietojasi, lukita laitteesi, kunnes maksat lunnaat, käyttää laitettasi roskapostin lähettämiseen tai ladata muita haittaohjelmia. Yleisesti ottaen haittaohjelmat haluavat huijata, huijata tai huijata käyttäjiä sijoittamalla heidät haavoittuviin valtioihin.
Microsoft luokittelee useimmat haittaohjelmat johonkin seuraavista luokista:
Takaovi: Haittaohjelmatyyppi, joka antaa haitallisille hakkereille etäyhteyden laitteeseesi ja hallita sitä.
Komento ja hallinta: Haittaohjelmatyyppi, joka tartuttaa laitteesi ja muodostaa yhteyden hakkereiden komento- ja hallintapalvelimeen ohjeiden vastaanottamista varten. Kun viestintä on muodostettu, hakkerit voivat lähettää komentoja, jotka voivat varastaa tietoja, sammuttaa ja käynnistää laitteen uudelleen ja häiritä verkkopalveluita.
Lataaja: Haittaohjelmatyyppi, joka lataa laitteeseesi muita haittaohjelmia. Tiedostojen lataaminen edellyttää Internet-yhteyttä.
Pipetti: Haittaohjelmatyyppi, joka asentaa laitteeseesi muita haittaohjelmatiedostoja. Lataajasta poiketen dropperin ei tarvitse muodostaa Internet-yhteyttä haitallisten tiedostojen pudottamiseksi. Pudotetut tiedostot upotetaan yleensä itse dropperiin.
Hyödyntää: Koodi, joka käyttää ohjelmistohaavoittuvuuksia päästäkseen laitteeseesi käsiksi ja suorittaakseen muita tehtäviä, kuten haittaohjelmien asentamisen.
Hacktool: Työkalutyyppi, jonka avulla voit käyttää laitettasi luvattomasti.
Makrovirus: Haittaohjelmatyyppi, joka leviää tartunnan saaneiden asiakirjojen, kuten Microsoft Word- tai Excel-asiakirjojen, kautta. Virus suoritetaan, kun avaat tartunnan saaneen asiakirjan.
Obfuscator: Haittaohjelmatyyppi, joka piilottaa koodinsa ja tarkoituksensa, mikä vaikeuttaa suojausohjelmiston havaitsemista tai poistamista.
Salasanavaras: Haittaohjelmatyyppi, joka kerää henkilökohtaisia tietojasi, kuten käyttäjänimet ja salasanat. Se toimii usein yhdessä avainten lokitoiminnon kanssa, joka kerää ja lähettää tietoja painamistasi näppäimistä ja vierailemistasi sivustoista.
Kiristysohjelma: Haittaohjelmatyyppi, joka salaa tiedostot tai tekee muita muutoksia, jotka voivat estää sinua käyttämästä laitettasi. Sitten se näyttää lunnasrahan, jossa ilmoitetaan, että sinun on maksettava rahaa tai suoritettava muita toimia, ennen kuin voit käyttää laitettasi uudelleen. Katso lisätietoja kiristyshaittaohjelmista.
Rogue security software: Haittaohjelma, joka teeskentelee olevansa suojausohjelmisto, mutta ei tarjoa mitään suojausta. Tämäntyyppinen haittaohjelma näyttää yleensä hälytyksiä ei-olemattomista uhista laitteessasi. Se yrittää myös saada sinut maksamaan palveluistaan.
Troijalainen: Haittaohjelmatyyppi, joka yrittää näyttää vaarattomalta. Toisin kuin virus tai mato, troijalainen ei leviä itsestään. Sen sijaan se yrittää näyttää lailliselta huijatakseen käyttäjiä lataamaan ja asentamaan sen. Asennuksen jälkeen troijalaiset suorittavat erilaisia haitallisia toimia, kuten varastavat henkilökohtaisia tietoja, lataavat muita haittaohjelmia tai antavat hyökkääjille pääsyn laitteeseesi.
Troijan napsauttaja: Troijan tyyppi, joka napsauttaa automaattisesti painikkeita tai vastaavia ohjausobjekteja verkkosivustoilla tai sovelluksissa. Hyökkääjät voivat käyttää tätä troijalaista online-mainosten napsauttamiseen. Nämä napsautukset voivat vääristää online-kyselyitä tai muita seurantajärjestelmiä ja jopa asentaa sovelluksia laitteeseesi.
Mato: Haittaohjelmatyyppi, joka leviää muihin laitteisiin. Madot voivat levitä sähköpostin, pikaviestien, tiedostojen jakamisympäristöjen, sosiaalisten verkostojen, verkkoresurssien ja siirrettävien asemien kautta. Kehittyneet matomatot hyödyntävät levitettävien ohjelmistohaavoittuvuuksien ohjelmistoja.
Microsoft uskoo, että sinun pitäisi hallita Windows-käyttökokemustasi. Windowsissa suoritettavien ohjelmistojen pitäisi pitää sinut laitteesi hallinnassa tietoisten valintojen ja helppokäyttöisten ohjausobjektien kautta. Microsoft tunnistaa ohjelmiston toiminnot, jotka varmistavat, että pysyt hallinnassa. Luokittelemme ohjelmistot, jotka eivät täysin osoita näitä käyttäytymismalleja "ei-toivotuiksi ohjelmistoiksi".
Sinun täytyy saada ilmoitus siitä, mitä laitteessasi tapahtuu, mukaan lukien mitä ohjelmisto tekee ja onko se aktiivinen.
Ohjelmistot, joissa on valinnan puutetta, voivat:
Ohjelmistojen toiminnasta ja sen tarkoituksesta ei saada näkyvää ilmoitusta.
Ohjelmistoa aktiivisesta ajankohdasta ei voi ilmaista selkeästi. Se saattaa myös yrittää piilottaa tai peittää läsnäolonsa.
Asenna, asenna uudelleen tai poista ohjelmisto ilman lupaasi, toimiasi tai suostumustasi.
Asenna muu ohjelmisto ilman selkeää viitteitä sen suhteesta ensisijaiseen ohjelmistoon.
Kiertää käyttäjän suostumusvalintaikkunat selaimesta tai käyttöjärjestelmästä.
Virheellisesti väite, että se on Microsoftin ohjelmisto.
Ohjelmisto ei saa johtaa harhaan tai pakottaa sinua tekemään päätöksiä laitteestasi. Valintaasi rajoittavana pidetään toimintaa. Edellisen luettelon lisäksi ohjelmistot, joissa on valinnan puutetta, saattavat:
Näytä liioitellut väitteet laitteesi kunnosta.
Esittää harhaanjohtavia tai virheellisiä väitteitä laitteen tiedostoista, rekisterimerkinnöistä tai muista kohteista.
Näytä laitteen kuntoa koskevat väitteet hälyttävällä tavalla ja edellytä maksua tai tiettyjä toimintoja vastineeksi väitettyjen ongelmien korjaamisesta.
Ohjelmiston, joka tallentaa tai lähettää toimintojasi tai tietojasi, on oltava:
- Anna sinulle ilmoitus ja hanki siihen suostumus. Ohjelmistossa ei pitäisi olla vaihtoehtoa, joka määrittää sen piilottamaan tietojen tallentamiseen tai siirtämiseen liittyviä toimintoja.
Sinun on voitava hallita ohjelmistoa laitteessasi. Sinun on voitava käynnistää, lopettaa tai muulla tavoin kumota käyttöoikeus ohjelmistoon.
Ohjelmistot, joissa on merkkejä hallinnan puutteesta:
Estä selainominaisuuksien tai -asetusten tarkasteleminen tai muokkaaminen tai rajoittaminen.
Avaa selainikkunat ilman valtuutusta.
Ohjaa verkkoliikenne uudelleen ilmoittamatta siitä ja saamatta suostumusta.
Muokkaa tai käsittele verkkosivun sisältöä ilman lupaasi.
Selauskokemustasi muuttavat ohjelmistot voivat käyttää vain selaimen tukemaa laajennusmallia asennukseen, suorittamiseen, käytöstä poistamiseen tai poistamiseen. Selaimia, jotka eivät tarjoa tuettuja laajennettavuusmalleja, pidetään ei-sallittuina, eikä niitä tule muokata.
Sinun on voitava käynnistää, lopettaa tai muulla tavoin kumota ohjelmistolle annettu valtuutus. Ohjelmiston on hankittava suostumuksesi ennen asentamista, ja sen on tarjottava selkeä ja suoraviivainen tapa asentaa, poistaa tai poistaa se käytöstä.
Ohjelmisto, joka tarjoaa huonon asennuskokemuksen , saattaa niputtaa tai ladata muita Microsoftin luokittelemia "ei-toivottuja ohjelmistoja".
Ohjelmistot, jotka tuottavat huonon poistokokemuksen , saattavat
Näytä hämmentäviä tai harhaanjohtavia kehotteita tai ponnahdusikkuntoja, kun yrität poistaa sen asennuksen.
Vakioasentamis- tai asennuksen poisto-ominaisuuksia, kuten Lisää tai poista sovellus -toimintoa, ei voi käyttää.
Ohjelmisto, joka mainostaa tuotetta tai palvelua itse ohjelmiston ulkopuolella, voi häiritä tietojenkäsittelykokemustasi. Sinulla pitäisi olla selkeä valinta ja hallinta, kun asennat mainoksia esittävää ohjelmistoa.
Ohjelmistojen esittämien mainosten tulee:
Sisällytä käyttäjien ilmeinen tapa sulkea mainos. Mainosten sulkeminen ei saa avata toista mainosta.
Mainitse mainoksen esittäneen ohjelmiston nimi.
Näiden mainosten esittäjän ohjelmiston on:
- Anna ohjelmistolle tavallinen asennuksen poistomenetelmä, jolla on sama nimi kuin sen esittämässä mainoksessa.
Sinulle näytettyjen mainosten on oltava:
Ole erotettavissa verkkosivuston sisällöstä.
Ei harhaanjohtamista, pettää tai hämmentää.
Ei sisällä haitallista koodia.
Tiedostoa ei voi ladata.
Microsoft ylläpitää maailmanlaajuista analyytikko- ja tiedustelujärjestelmien verkostoa, jossa voit lähettää ohjelmistoja analysoitaessa. Osallistuminen auttaa Microsoftia tunnistamaan uusia haittaohjelmia nopeasti. Analyysin jälkeen Microsoft luo suojaustietoja ohjelmistolle, joka täyttää kuvatut ehdot. Tämä suojaustieto tunnistaa ohjelmiston haittaohjelmaksi ja on kaikkien käyttäjien käytettävissä virustentorjunnan Microsoft Defender ja muiden Microsoftin haittaohjelmien torjuntaratkaisujen kautta.
Ohjelmistojen peukalointi käsittää laajan työkalujen ja uhkien kirjon, joka suoraan tai epäsuorasti alentaa laitteiden yleistä suojaustasoa. Yleisiä peukalointitoimintoja ovat esimerkiksi seuraavat:
Suojausohjelmiston poistaminen käytöstä tai poistaminen: Työkalut ja uhat, jotka yrittävät välttää puolustusmekanismeja poistamalla käytöstä tai poistamalla suojausohjelmiston, kuten virustentorjuntaohjelman, EDR:n tai verkon suojausjärjestelmät. Nämä toimet altistavat järjestelmän uusille hyökkäyksille.
Käyttöjärjestelmän ominaisuuksien ja asetusten väärinkäyttö: Työkalut ja uhat, jotka hyödyntävät käyttöjärjestelmän ominaisuuksia ja asetuksia tietoturvan vaarantumiseksi. Esimerkkeinä:
Palomuurin väärinkäyttö: Hyökkääjät, jotka käyttävät palomuurin osia epäsuorasti suojausohjelmiston peukalointiin tai laillisen verkkoyhteyden estämiseen, mikä saattaa mahdollistaa luvattoman käytön tai tietojen suodattimen.
DNS-käsittely: DNS-asetusten käsittely liikenteen uudelleenohjaamiseksi tai tietoturvapäivitysten estämiseksi, jolloin järjestelmä altistuu haitallisille toiminnoille.
Vikasietotilan hyödyntäminen: Hyödyntämällä laillista vikasietotila-asetusta laite asetetaan tilaan, jossa suojausratkaisut saatetaan ohittaa, mikä mahdollistaa luvattoman käytön tai haittaohjelmien suorittamisen.
Järjestelmän osien käsittely: Työkalut ja uhat, jotka kohdistuvat kriittisiin järjestelmän komponentteihin, kuten ydinohjaimiin tai järjestelmäpalveluihin, laitteen yleisen suojauksen ja vakauden vaarantumiseksi.
Oikeuksien eskalointi: Tekniikoita, joiden avulla voidaan korottaa käyttöoikeuksia järjestelmän resurssien hallinnan saamiseksi ja mahdollisesti suojausasetusten muokkaamiseksi.
Häiritsee tietoturvapäivityksiä: Yritetään estää tai käsitellä tietoturvapäivityksiä, jolloin järjestelmä on alttiina tunnetuille haavoittuvuuksille.
Kriittisten palvelujen häiritseminen: Toimet, jotka häiritsevät olennaisia järjestelmäpalveluita tai -prosesseja, voivat aiheuttaa järjestelmän epävakautta ja avata oven muille hyökkäyksille.
Luvattomat rekisterimuutokset: Muutokset Windowsin rekisteriin tai järjestelmän asetuksiin, jotka vaikuttavat laitteen suojausasentoon.
Käynnistysprosessien peukalointi: Käynnistysprosessin käsittely voi johtaa haittakoodin lataamiseen käynnistyksen aikana.
PUA-suojauksen tarkoituksena on turvata käyttäjien tuottavuus ja varmistaa nautinnollinen Windows-käyttökokemus. Tämä suojaus auttaa tarjoamaan tuottavampia, suorituskykyisempiä ja ilahduttavia Windows-käyttökokemuksia. Lisätietoja PUA-suojauksen käyttöönotosta Chromium Microsoft Edgessä ja Microsoft Defender virustentorjunta on artikkelissa Mahdollisesti ei-toivottujen sovellusten tunnistaminen ja estäminen.
PUA:t eivät ole haittaohjelmia.
Microsoft luokittelee ohjelmistot PUA:ksi tiettyjen luokkien ja luokkamääritysten avulla.
Mainosohjelmisto: Ohjelmisto, joka näyttää mainoksia tai tarjouksia tai kehottaa sinua tekemään kyselyjä muista tuotteista tai palveluista muissa kuin itse ohjelmistoissa. Tämä sisältää ohjelmiston, joka lisää mainoksia verkkosivuille.
Torrent-ohjelmisto (vain Enterprise): Ohjelmistot, joilla luodaan tai ladataan torrentteja tai muita tiedostoja, joita käytetään erityisesti vertaistiedostojen jakamistekniikoiden kanssa.
Salausohjelmisto (vain enterprise): Ohjelmisto, joka käyttää laiteresurssejasi kryptovaluuttojen louhimiseen.
Niputtamisohjelmisto: Ohjelmisto, joka tarjoaa asentaakseen muita ohjelmistoja, joita sama entiteetti ei ole kehittänyt tai joita ohjelmiston suorittaminen ei vaadi. Lisäksi ohjelmisto, joka tarjoaa asentaa muita ohjelmistoja, jotka ovat kelvollinen PUA tässä asiakirjassa määritettyjen ehtojen perusteella.
Markkinointiohjelmisto: Ohjelmisto, joka valvoo ja välittää käyttäjien toimintaa muihin sovelluksiin tai palveluihin kuin itseensä markkinointitutkimusta varten.
Veronkierto-ohjelmisto: Ohjelmistot, jotka yrittävät aktiivisesti välttää suojaustuotteiden tunnistamista, mukaan lukien ohjelmistot, jotka toimivat eri tavalla suojaustuotteiden läsnä ollessa.
Huono alan maine: Ohjelmisto, jonka luotetut suojauspalvelut havaitsevat suojaustuotteillaan. Tietoturva-ala on omistautunut suojaamaan asiakkaita ja parantamaan heidän kokemuksiaan. Microsoft ja muut suojausalan organisaatiot vaihtavat jatkuvasti tietoja analysoiduista tiedostoista tarjotakseen käyttäjille parhaan mahdollisen suojauksen.
Haavoittuvassa asemassa oleva ohjelmisto on sovellus tai koodi, jossa on suojausvirheitä tai heikkouksia, joita hyökkääjät voivat hyödyntää suorittaakseen erilaisia haitallisia ja mahdollisesti tuhoisia toimia. Nämä haavoittuvuudet voivat johtua tahattomista koodausvirheistä tai suunnitteluvirheistä, ja jos niitä hyödynnetään, ne voivat johtaa haitallisiin toimiin, kuten luvattomaan pääsyyn, oikeuksien eskalointiin, peukalointiin ja paljon muuhun.
Huolimatta tiukoista vaatimuksista ja tarkistuksista, jotka on asetettu koodin suorittamiselle ytimessä, laiteohjaimet ovat edelleen alttiita erilaisille haavoittuvuuksille ja virheille. Esimerkkejä ovat muistin vioittuminen sekä mielivaltaiset luku- ja kirjoitusvirheet, joita hyökkääjät voivat hyödyntää suorittaakseen merkittävämpiä haitallisia ja tuhoisia toimia – toimia, joita yleensä rajoitetaan käyttäjätilassa. Kriittisten prosessien lopettaminen laitteessa on esimerkki tällaisesta haitallisesta toiminnosta.