Come Microsoft identifica malware e applicazioni potenzialmente indesiderate
Microsoft mira a offrire un'esperienza Windows piacevole e produttiva lavorando per garantire la sicurezza e il controllo dei dispositivi. Microsoft consente di proteggere l'utente da potenziali minacce identificando e analizzando software e contenuti online. Quando si scarica, installa ed esegue il software, si verifica la reputazione dei programmi scaricati e si garantisce di essere protetti da minacce note. L'utente viene anche avvisato del software che ci è sconosciuto.
È possibile assistere Microsoft inviando software sconosciuto o sospetto per l'analisi. Gli invii consentono di garantire che il software sconosciuto o sospetto venga analizzato dal nostro sistema per iniziare a stabilire la reputazione. Altre informazioni sull'invio di file per l'analisi
Le sezioni successive forniscono una panoramica delle classificazioni usate per le applicazioni e dei tipi di comportamenti che portano a tale classificazione.
Nota
Nuove forme di malware e applicazioni potenzialmente indesiderate vengono sviluppate e distribuite rapidamente. L'elenco seguente potrebbe non essere completo e Microsoft si riserva il diritto di modificarli, espanderli e aggiornarli senza preavviso o annuncio.
Nessuna tecnologia antivirus o di protezione è perfetta. L'identificazione e il blocco di siti e applicazioni dannosi o l'attendibilità dei nuovi programmi e certificati rilasciati richiedono tempo. Con quasi 2 miliardi di siti Web su Internet e software continuamente aggiornati e rilasciati, è impossibile avere informazioni su ogni singolo sito e programma.
Si pensi agli avvisi sconosciuta/scaricata in modo non comune come un sistema di avviso rapido per malware potenzialmente non rilevato. C'è in genere un ritardo dal momento in cui viene rilasciato il nuovo malware fino a quando non viene identificato. Non tutti i programmi non comuni sono dannosi, ma il rischio nella categoria sconosciuta è molto più alto per l'utente tipico. Gli avvisi per il software sconosciuto non sono blocchi. Gli utenti possono scegliere di scaricare ed eseguire normalmente l'applicazione, se lo desiderano.
Dopo aver raccolto un numero sufficiente di dati, le soluzioni di sicurezza di Microsoft possono prendere una decisione.Once enough data is gathered, Microsoft's security solutions can make a determination. Non vengono trovate minacce o un'applicazione o un software è classificato come malware o software potenzialmente indesiderato.
Il malware è il nome generale per le applicazioni e altro codice, come il software, che Microsoft classifica in modo più granulare come software dannoso, software indesiderato o software manomissione.
Il software dannoso è un'applicazione o un codice che compromette la sicurezza degli utenti. Il software dannoso potrebbe rubare le informazioni personali, bloccare il dispositivo fino a quando non si paga un riscatto, usare il dispositivo per inviare spam o scaricare altro software dannoso. In generale, il software dannoso vuole ingannare, ingannare o defraudizzare gli utenti, posizionandoli in stati vulnerabili.
Microsoft classifica il software più dannoso in una delle categorie seguenti:
Backdoor: Un tipo di malware che fornisce agli hacker malintenzionati l'accesso remoto e il controllo del dispositivo.
Comando e controllo: Un tipo di malware che infetta il dispositivo e stabilisce la comunicazione con il server di comando e controllo degli hacker per ricevere le istruzioni. Una volta stabilita la comunicazione, gli hacker possono inviare comandi che possono rubare dati, arrestare e riavviare il dispositivo e interrompere i servizi Web.
Downloader: Tipo di malware che scarica altro malware nel dispositivo. Deve connettersi a Internet per scaricare i file.
Contagocce: Un tipo di malware che installa altri file di malware nel dispositivo. A differenza di un downloader, un dropper non deve connettersi a Internet per eliminare file dannosi. I file eliminati vengono in genere incorporati nel dropper stesso.
Sfruttare: Parte di codice che usa vulnerabilità software per ottenere l'accesso al dispositivo ed eseguire altre attività, ad esempio l'installazione di malware.
Hacktool: Tipo di strumento che può essere usato per ottenere l'accesso non autorizzato al dispositivo.
Macro virus: Tipo di malware che si diffonde attraverso documenti infetti, ad esempio documenti di Microsoft Word o Excel. Il virus viene eseguito quando si apre un documento infetto.
Obfuscator: Un tipo di malware che nasconde il codice e lo scopo, rendendo più difficile per il software di sicurezza rilevare o rimuovere.
Ruba password: Tipo di malware che raccoglie le informazioni personali, ad esempio nomi utente e password. Funziona spesso insieme a un key logger, che raccoglie e invia informazioni sui tasti premuti e sui siti Web visitati.
Ransomware: Un tipo di malware che crittografa i file o apporta altre modifiche che possono impedire l'uso del dispositivo. Viene quindi visualizzata una nota di riscatto che indica che è necessario pagare denaro o eseguire altre azioni prima di poter usare di nuovo il dispositivo. Vedere altre informazioni sul ransomware.
Software di sicurezza non autorizzato: Malware che finge di essere software di sicurezza, ma non fornisce alcuna protezione. Questo tipo di malware visualizza in genere avvisi sulle minacce inesistenti nel dispositivo. Cerca anche di convincerti a pagare per i suoi servizi.
Troiano: Tipo di malware che tenta di apparire innocuo. A differenza di un virus o un verme, un trojan non si diffonde da solo. Al contrario, cerca di sembrare legittimo per trucchi utenti a scaricare e installare. Dopo l'installazione, i trojan eseguono varie attività dannose, ad esempio il furto di informazioni personali, il download di altro malware o l'accesso al dispositivo da parte di utenti malintenzionati.
Clicker Trojan: Un tipo di trojan che fa clic automaticamente sui pulsanti o controlli simili su siti Web o applicazioni. Gli utenti malintenzionati possono utilizzare questo trojan per fare clic su annunci online. Questi clic possono sfasare i sondaggi online o altri sistemi di rilevamento e possono anche installare applicazioni nel dispositivo.
Verme: Un tipo di malware che si diffonde ad altri dispositivi. I worm possono essere distribuiti tramite posta elettronica, messaggistica istantanea, piattaforme di condivisione file, social network, condivisioni di rete e unità rimovibili. I worm sofisticati sfruttano le vulnerabilità software per la propagazione.
Microsoft ritiene che dovresti avere il controllo sull'esperienza di Windows. Il software in esecuzione in Windows dovrebbe mantenere il controllo del dispositivo tramite scelte informate e controlli accessibili. Microsoft identifica i comportamenti software che garantiscono il controllo dell'utente. Si classifica il software che non dimostra completamente questi comportamenti come "software indesiderato".
È necessario ricevere una notifica su ciò che sta accadendo nel dispositivo, incluso il software e se è attivo.
Il software che presenta una mancanza di scelta potrebbe:
Non è possibile fornire informazioni importanti sul comportamento del software e sul suo scopo e finalità.
Non è possibile indicare chiaramente quando il software è attivo. Potrebbe anche tentare di nascondere o mascherare la sua presenza.
Installare, reinstallare o rimuovere software senza l'autorizzazione, l'interazione o il consenso.
Installare altro software senza una chiara indicazione della sua relazione con il software primario.
Aggirare le finestre di dialogo di consenso utente dal browser o dal sistema operativo.
Dichiara falsamente di essere software da Microsoft.
Il software non deve ingannare o costringere l'utente a prendere decisioni sul dispositivo. È considerato un comportamento che limita le scelte. Oltre all'elenco precedente, il software che presenta una mancanza di scelta potrebbe:
Visualizza affermazioni esagerate sull'integrità del dispositivo.
Fare affermazioni fuorvianti o imprecise su file, voci del Registro di sistema o altri elementi nel dispositivo.
Visualizzare le attestazioni in modo allarmante sull'integrità del dispositivo e richiedere il pagamento o determinate azioni in cambio della correzione dei problemi pretesi.
Il software che archivia o trasmette le attività o i dati deve:
- Darti un preavviso e ottieni il consenso per farlo. Il software non deve includere un'opzione che lo configura per nascondere le attività associate all'archiviazione o alla trasmissione dei dati.
È necessario essere in grado di controllare il software nel dispositivo. È necessario essere in grado di avviare, arrestare o revocare in altro modo l'autorizzazione al software.
Il software che presenta mancanza di controllo potrebbe:
Impedire o limitare la visualizzazione o la modifica delle funzionalità o delle impostazioni del browser.
Aprire le finestre del browser senza autorizzazione.
Reindirizzare il traffico Web senza preavviso e ottenere il consenso.
Modificare o modificare il contenuto della pagina Web senza il consenso dell'utente.
Il software che modifica l'esperienza di esplorazione deve usare solo il modello di estendibilità supportato del browser per l'installazione, l'esecuzione, la disabilitazione o la rimozione. I browser che non forniscono modelli di estendibilità supportati sono considerati non estensibili e non devono essere modificati.
È necessario essere in grado di avviare, arrestare o revocare in altro modo l'autorizzazione concessa al software. Il software deve ottenere il consenso prima dell'installazione e deve fornire un modo chiaro e semplice per l'installazione, la disinstallazione o la disabilitazione.
Il software che offre un'esperienza di installazione scarsa potrebbe aggregare o scaricare altri "software indesiderati" classificati da Microsoft.
Il software che offre un'esperienza di rimozione scadente potrebbe:
Presentare richieste o popup fuorvianti o confusi quando si tenta di disinstallarlo.
Non è possibile usare le funzionalità di installazione/disinstallazione standard, ad esempio Installazione applicazioni.
Il software che promuove un prodotto o un servizio al di fuori del software stesso può interferire con l'esperienza di elaborazione. Si dovrebbe avere una scelta chiara e il controllo quando si installa il software che presenta annunci pubblicitari.
Gli annunci pubblicitari presentati dal software devono:
Includere un modo ovvio per consentire agli utenti di chiudere l'annuncio. L'atto di chiusura dell'annuncio non deve aprire un altro annuncio pubblicitario.
Includere il nome del software che ha presentato l'annuncio.
Il software che presenta questi annunci pubblicitari deve:
- Fornire un metodo di disinstallazione standard per il software usando lo stesso nome come mostrato nell'annuncio che presenta.
Gli annunci visualizzati devono:
Sii distinguibile dal contenuto del sito Web.
Non fuorviare, ingannare o confondere.
Non contengono codice dannoso.
Non richiamare un download di file.
Microsoft gestisce una rete mondiale di analisti e sistemi di intelligence in cui è possibile inviare software per l'analisi. La tua partecipazione aiuta Microsoft a identificare rapidamente nuovi malware. Dopo l'analisi, Microsoft crea security intelligence per il software che soddisfa i criteri descritti. Questa intelligence di sicurezza identifica il software come malware e sono disponibili per tutti gli utenti tramite Microsoft Defender Antivirus e altre soluzioni antimalware Microsoft.
Il software di manomissione comprende un'ampia gamma di strumenti e minacce che riducono direttamente o indirettamente il livello complessivo di sicurezza dei dispositivi. Esempi di azioni comuni di manomissione includono:
Disabilitazione o disinstallazione del software di sicurezza: strumenti e minacce che tentano di eludere i meccanismi di difesa disabilitando o disinstallando il software di sicurezza, ad esempio antivirus, EDR o sistemi di protezione di rete. Queste azioni lasciano il sistema vulnerabile ad altri attacchi.
Uso improprio delle funzionalità e delle impostazioni del sistema operativo: strumenti e minacce che sfruttano le funzionalità e le impostazioni all'interno del sistema operativo per compromettere la sicurezza. Alcuni esempi:
Abuso del firewall: utenti malintenzionati che usano componenti del firewall per manomettere indirettamente il software di sicurezza o bloccare le connessioni di rete legittime, abilitando potenzialmente l'accesso non autorizzato o l'esfiltrazione dei dati.
Manipolazione DNS: manomissione delle impostazioni DNS per reindirizzare il traffico o bloccare gli aggiornamenti della sicurezza, lasciando il sistema esposto ad attività dannose.
Sfruttamento in modalità sicura: sfruttando l'impostazione della modalità provvisoria legittima per mettere il dispositivo in uno stato in cui le soluzioni di sicurezza potrebbero essere ignorate, consentendo l'accesso non autorizzato o l'esecuzione di malware.
Modifica dei componenti del sistema: strumenti e minacce destinati a componenti di sistema critici, ad esempio driver del kernel o servizi di sistema, per compromettere la sicurezza e la stabilità complessive del dispositivo.
Escalation dei privilegi: tecniche volte a elevare i privilegi utente per ottenere il controllo sulle risorse del sistema e potenzialmente modificare le impostazioni di sicurezza.
Interferenza con gli aggiornamenti della sicurezza: tenta di bloccare o modificare gli aggiornamenti della sicurezza, lasciando il sistema vulnerabile alle vulnerabilità note.
Interruzione dei servizi critici: azioni che interrompono i processi o i servizi di sistema essenziali, causando potenzialmente instabilità del sistema e aprendo la porta ad altri attacchi.
Modifiche del Registro di sistema non autorizzate: modifiche al Registro di sistema di Windows o alle impostazioni di sistema che influiscono sul comportamento di sicurezza del dispositivo.
Manomissione dei processi di avvio: sforzi per modificare il processo di avvio, che può comportare il caricamento di codice dannoso durante l'avvio.
La nostra protezione PUA mira a salvaguardare la produttività degli utenti e garantire esperienze di Windows piacevoli. Questa protezione consente di offrire esperienze Windows più produttive, efficienti e piacevoli. Per istruzioni su come abilitare la protezione PUA in Microsoft Edge basato su Chromium e Microsoft Defender Antivirus, vedere Rilevare e bloccare applicazioni potenzialmente indesiderate.
Le PUA non sono considerate malware.
Microsoft usa categorie specifiche e le definizioni di categoria per classificare il software come pua.
Software pubblicitario: Software che visualizza annunci pubblicitari o promozioni o richiede di completare sondaggi per altri prodotti o servizi in software diversi da se stesso. Questo include il software che inserisce annunci pubblicitari nelle pagine Web.
Software Torrent (solo Enterprise): Software usato per creare o scaricare torrent o altri file usati in modo specifico con tecnologie di condivisione di file peer-to-peer.
Software di cryptomining (solo Enterprise): Software che usa le risorse del dispositivo per estrarre criptovalute.
Software di aggregazione: Software che offre l'installazione di altri software non sviluppati dalla stessa entità o non necessari per l'esecuzione del software. Inoltre, il software che offre l'installazione di altro software che si qualifica come PUA in base ai criteri descritti in questo documento.
Software di marketing: Software che monitora e trasmette le attività degli utenti ad applicazioni o servizi diversi da se stesso per la ricerca di marketing.
Software di evasione: Software che tenta attivamente di eludere il rilevamento da parte di prodotti di sicurezza, incluso il software che si comporta in modo diverso in presenza di prodotti di sicurezza.
Scarsa reputazione del settore: Software rilevato dai provider di sicurezza attendibili con i prodotti di sicurezza. Il settore della sicurezza è dedicato alla protezione dei clienti e al miglioramento delle loro esperienze. Microsoft e altre organizzazioni del settore della sicurezza scambino continuamente informazioni sui file analizzati per offrire agli utenti la migliore protezione possibile.
Il software vulnerabile è un'applicazione o un codice con difetti di sicurezza o punti deboli che possono essere sfruttati dagli utenti malintenzionati per eseguire varie azioni dannose e potenzialmente distruttive. Queste vulnerabilità possono derivare da errori di codifica involontari o difetti di progettazione e, se sfruttate, possono portare ad attività dannose come l'accesso non autorizzato, l'escalation dei privilegi, la manomissione e altro ancora.
Nonostante i rigorosi requisiti e le revisioni imposti al codice in esecuzione nel kernel, i driver di dispositivo rimangono soggetti a vari tipi di vulnerabilità e bug. Gli esempi includono il danneggiamento della memoria e bug arbitrari di lettura e scrittura, che possono essere sfruttati dagli utenti malintenzionati per eseguire azioni dannose e distruttive più significative- azioni in genere limitate in modalità utente. La terminazione di processi critici in un dispositivo è un esempio di tale azione dannosa.