Hvordan Microsoft identifiserer skadelig programvare og potensielt uønskede programmer
Artikkel
Microsoft har som mål å gi en herlig og produktiv Windows-opplevelse ved å arbeide for å sikre at du er trygg og har kontroll over enhetene dine. Microsoft bidrar til å beskytte deg mot potensielle trusler ved å identifisere og analysere programvare og nettinnhold. Når du laster ned, installerer og kjører programvare, kontrollerer vi omdømmet til nedlastede programmer og sikrer at du er beskyttet mot kjente trusler. Du blir også advart om programvare som er ukjent for oss.
De neste inndelingene gir en oversikt over klassifiseringene vi bruker for programmer og virkemåtetypene som fører til denne klassifiseringen.
Obs!
Nye former for skadelig programvare og potensielt uønskede programmer utvikles og distribueres raskt. Listen nedenfor er kanskje ikke fullstendig, og Microsoft forbeholder seg retten til å justere, utvide og oppdatere disse uten forhåndsvarsel eller kunngjøring.
Ukjent – ukjent programvare
Ingen antivirus- eller beskyttelsesteknologi er perfekt. Det tar tid å identifisere og blokkere skadelige nettsteder og programmer, eller klarere nylig utgitte programmer og sertifikater. Med nesten 2 milliarder nettsteder på internett og programvare kontinuerlig oppdatert og utgitt, er det umulig å ha informasjon om hvert enkelt nettsted og program.
Tenk på ukjente/uvanlig nedlastede advarsler som et tidlig varslingssystem for potensielt uoppdaget skadelig programvare. Det er vanligvis en forsinkelse fra den nye skadelige programvaren lanseres til den identifiseres. Ikke alle uvanlige programmer er skadelige, men risikoen i den ukjente kategorien er mye høyere for den typiske brukeren. Advarsler for ukjent programvare er ikke blokker. Brukere kan velge å laste ned og kjøre programmet normalt hvis de ønsker det.
Når nok data samles inn, kan Microsofts sikkerhetsløsninger bestemme noe. Ingen trusler blir funnet, eller et program eller en programvare kategoriseres som skadelig programvare eller potensielt uønsket programvare.
Skadelig programvare
Skadelig programvare er det overordnede navnet for programmer og annen kode, for eksempel programvare, som Microsoft klassifiserer mer detaljert som skadelig programvare, uønsket programvare eller manipulering av programvare.
Skadelig programvare
Skadelig programvare er et program eller en kode som kompromitterer brukersikkerheten. Skadelig programvare kan stjele personlige opplysninger, låse enheten til du betaler løsepenger, bruke enheten til å sende søppelpost eller laste ned annen skadelig programvare. Generelt ønsker skadelig programvare å lure, jukse eller svindle brukere, plassere dem i sårbare tilstander.
Microsoft klassifiserer mest skadelig programvare i én av følgende kategorier:
Bakdør: En type skadelig programvare som gir ondsinnede hackere ekstern tilgang til og kontroll over enheten.
Kommando og kontroll: En type skadelig programvare som infiserer enheten og etablerer kommunikasjon med hackernes kommando- og kontrollserver for å motta instruksjoner. Når kommunikasjonen er etablert, kan hackere sende kommandoer som kan stjele data, slå av og starte enheten på nytt og forstyrre nettjenester.
Nedlaster: En type skadelig programvare som laster ned annen skadelig programvare på enheten. Den må koble til Internett for å laste ned filer.
Dropper: En type skadelig programvare som installerer andre filer med skadelig programvare på enheten. I motsetning til en nedlaster trenger ikke en dropper å koble til Internett for å slippe skadelige filer. Filene som slippes, er vanligvis innebygd i selve dropperen.
Utnytte: En kode som bruker programvaresårbarheter til å få tilgang til enheten og utføre andre oppgaver, for eksempel installere skadelig programvare.
Hacktool: En type verktøy som kan brukes til å få uautorisert tilgang til enheten.
Makrovirus: En type skadelig programvare som sprer seg gjennom infiserte dokumenter, for eksempel Microsoft Word- eller Excel-dokumenter. Viruset kjøres når du åpner et infisert dokument.
Obfuscator: En type skadelig programvare som skjuler koden og formålet, noe som gjør det vanskeligere for sikkerhetsprogramvaren å oppdage eller fjerne den.
Passordstjeler: En type skadelig programvare som samler inn personlige opplysninger, for eksempel brukernavn og passord. Det fungerer ofte sammen med en nøkkellogger, som samler inn og sender informasjon om nøklene du trykker og nettsteder du besøker.
Løsepengevirus: En type skadelig programvare som krypterer filene dine eller foretar andre endringer som kan hindre deg i å bruke enheten. Den viser deretter et løsepengenotat som sier at du må betale penger eller utføre andre handlinger før du kan bruke enheten på nytt.
Se mer informasjon om løsepengevirus.
Rogue sikkerhetsprogramvare: Skadelig programvare som utgir seg for å være sikkerhetsprogramvare, men som ikke gir noen beskyttelse. Denne typen skadelig programvare viser vanligvis varsler om ikke-eksisterende trusler på enheten. Den prøver også å overbevise deg om å betale for sine tjenester.
Trojansk: En type skadelig programvare som forsøker å virke ufarlig. I motsetning til et virus eller en orm, sprer en trojaner seg ikke av seg selv. I stedet prøver den å se legitim ut for å lure brukere til å laste ned og installere den. Når installert, trojanere utføre ulike ondsinnede aktiviteter som stjele personlige opplysninger, laste ned annen skadelig programvare, eller gi angripere tilgang til enheten.
Trojansk klikker: En type trojansk som automatisk klikker knapper eller lignende kontroller på nettsteder eller programmer. Angripere kan bruke denne trojaneren til å klikke på nettannonser. Disse klikkene kan forskyve undersøkelser på nettet eller andre sporingssystemer og kan til og med installere programmer på enheten.
Orm: En type skadelig programvare som sprer seg til andre enheter. Ormer kan spre seg via e-post, direktemeldinger, fildelingsplattformer, sosiale nettverk, delte nettverksressurser og flyttbare stasjoner. Sofistikerte ormer drar nytte av programvaresårbarheter for å overføre.
Uønsket programvare
Microsoft mener at du bør ha kontroll over Windows-opplevelsen. Programvare som kjører på Windows, bør holde deg i kontroll over enheten gjennom informerte valg og tilgjengelige kontroller. Microsoft identifiserer programvarevirkemåter som sikrer at du holder kontrollen. Vi klassifiserer programvare som ikke fullstendig demonstrerer disse virkemåtene som «uønsket programvare».
Mangel på valg
Du må bli varslet om hva som skjer på enheten, inkludert hvilken programvare som gjør det, og om den er aktiv.
Programvare som viser manglende valgmuligheter, kan:
Ikke klarer å gi fremtredende varsel om virkemåten til programvaren og dens formål og hensikt.
Kan ikke tydelig angi når programvaren er aktiv. Det kan også forsøke å skjule eller skjule sin tilstedeværelse.
Installer, installer på nytt eller fjern programvare uten din tillatelse, samhandling eller samtykke.
Installer annen programvare uten en klar indikasjon på forholdet til den primære programvaren.
Omgå dialogbokser for brukersamtykke fra nettleseren eller operativsystemet.
Hevder feilaktig å være programvare fra Microsoft.
Programvaren må ikke villede eller tvinge deg til å ta avgjørelser om enheten. Det anses som virkemåte som begrenser valgene dine. I tillegg til den forrige listen kan programvare som viser manglende valgmuligheter:
Vis overdrevne påstander om enhetens helse.
Kom med villedende eller unøyaktige påstander om filer, registeroppføringer eller andre elementer på enheten.
Vis krav på en alarmerende måte om enhetens helse og krev betaling eller visse handlinger i bytte for å løse de påståtte problemene.
Programvare som lagrer eller overfører aktiviteter eller data, må:
Gi deg varsel og få samtykke til å gjøre det. Programvare bør ikke inkludere et alternativ som konfigurerer det for å skjule aktiviteter som er knyttet til lagring eller overføring av dataene dine.
Mangel på kontroll
Du må kunne kontrollere programvaren på enheten. Du må kunne starte, stoppe eller på annen måte tilbakekalle autorisasjon til programvare.
Programvare som viser mangel på kontroll, kan:
Hindre eller begrense deg fra å vise eller endre nettleserfunksjoner eller -innstillinger.
Åpne nettleservinduer uten autorisasjon.
Omadresser netttrafikk uten å varsle og få samtykke.
Endre eller manipulere nettsideinnhold uten ditt samtykke.
Programvare som endrer nettleseropplevelsen, må bare bruke nettleserens støttede utvidelsesmodell for installasjon, kjøring, deaktivering eller fjerning. Nettlesere som ikke tilbyr støttede utvidelsesmodeller, anses som ikke-synlige og bør ikke endres.
Installasjon og fjerning
Du må kunne starte, stoppe eller på annen måte tilbakekalle autorisasjon gitt til programvare. Programvare bør innhente ditt samtykke før du installerer, og det må gi en klar og enkel måte å installere, avinstallere eller deaktivere den på.
Programvare som leverer dårlig installasjonsopplevelse , kan samle eller laste ned annen «uønsket programvare» som klassifisert av Microsoft.
Programvare som leverer dårlig fjerningsopplevelse kan:
Presenter forvirrende eller villedende ledetekster eller popup-vinduer når du prøver å avinstallere den.
Kan ikke bruke standard installasjons-/avinstalleringsfunksjoner, for eksempel Legg til / fjern programmer.
Reklame og annonser
Programvare som fremmer et produkt eller en tjeneste utenfor selve programvaren, kan forstyrre databehandlingsopplevelsen. Du bør ha klare valg og kontroll når du installerer programvare som presenterer annonser.
Annonsene som presenteres av programvaren, må:
Inkluder en åpenbar måte for brukere å lukke annonsen på. Handlingen med å lukke annonsen må ikke åpne en annen annonse.
Inkluder navnet på programvaren som presenterte annonsen.
Programvaren som presenterer disse annonsene, må:
Angi en standard avinstalleringsmetode for programvaren med samme navn som vist i annonsen den presenterer.
Annonser som vises til deg, må:
Skilles fra nettstedsinnhold.
Ikke villede, lure eller forvirre.
Inneholder ikke skadelig kode.
Ikke aktiver filnedlasting.
Forbrukeruttalelser
Microsoft opprettholder et verdensomspennende nettverk av analytikere og etterretningssystemer der du kan sende inn programvare for analyse. Deltakelsen hjelper Microsoft med å identifisere ny skadelig programvare raskt. Etter analyse oppretter Microsoft sikkerhetsintelligens for programvare som oppfyller de beskrevne kriteriene. Denne sikkerhetsintelligensen identifiserer programvaren som skadelig programvare og er tilgjengelig for alle brukere gjennom Microsoft Defender Antivirus og andre Microsoft-løsninger mot skadelig programvare.
Manipulering av programvare
Manipulering av programvare omfatter et bredt spekter av verktøy og trusler som direkte eller indirekte senker det generelle sikkerhetsnivået for enheter. Eksempler på vanlige manipuleringshandlinger inkluderer:
Deaktivere eller avinstallere sikkerhetsprogramvare: Verktøy og trusler som forsøker å unngå forsvarsmekanismer ved å deaktivere eller avinstallere sikkerhetsprogramvare, for eksempel antivirus-, EDR- eller nettverksbeskyttelsessystemer. Disse handlingene gjør systemet sårbart for ytterligere angrep.
Misbruker funksjoner og innstillinger i operativsystemet: Verktøy og trusler som utnytter funksjoner og innstillinger i operativsystemet for å kompromittere sikkerheten. Eksempler inkluderer:
Brannmurmisbruk: Angripere som bruker brannmurkomponenter til indirekte å tukle med sikkerhetsprogramvare eller blokkere legitime nettverkstilkoblinger, noe som potensielt muliggjør uautorisert tilgang eller dataeksfiltrering.
DNS-manipulering: Tukling med DNS-innstillinger for å omdirigere trafikk eller blokkere sikkerhetsoppdateringer, slik at systemet blir utsatt for skadelige aktiviteter.
Utnyttelse av sikkermodus: Bruk den legitime innstillingen for sikkermodus for å plassere enheten i en tilstand der sikkerhetsløsninger kan omgås, noe som gir uautorisert tilgang eller kjøring av skadelig programvare.
Manipulering av systemkomponenter: Verktøy og trusler som retter seg mot kritiske systemkomponenter, for eksempel kjernedrivere eller systemtjenester, for å kompromittere den generelle sikkerheten og stabiliteten til enheten.
Videresending av rettigheter: Teknikker som tar sikte på å heve brukerrettigheter for å få kontroll over systemets ressurser og potensielt manipulere sikkerhetsinnstillinger.
Forstyrre sikkerhetsoppdateringer: Forsøk på å blokkere eller manipulere sikkerhetsoppdateringer, slik at systemet er sårbart for kjente sårbarheter.
Forstyrre kritiske tjenester: Handlinger som forstyrrer viktige systemtjenester eller prosesser, potensielt forårsaker systemustabilitet og åpner døren for andre angrep.
Uautoriserte registerendringer: Endringer i Windows-registeret eller systeminnstillingene som påvirker enhetens sikkerhetsstilling.
Manipulering av oppstartsprosesser: Forsøk på å manipulere oppstartsprosessen, noe som kan føre til innlasting av skadelig kode under oppstart.
Potensielt uønsket program (PUA)
Pua-beskyttelsen vår tar sikte på å sikre brukerproduktivitet og sikre hyggelige Windows-opplevelser. Denne beskyttelsen bidrar til å levere mer produktive, fungerende og herlige Windows-opplevelser. Hvis du vil ha instruksjoner om hvordan du aktiverer PUA-beskyttelse i Chromium-baserte Microsoft Edge og Microsoft Defender Antivirus, kan du se Oppdage og blokkere potensielt uønskede programmer.
PUAer regnes ikke som skadelig programvare.
Microsoft bruker bestemte kategorier og kategoridefinisjonene til å klassifisere programvare som pua.
Reklameprogramvare: Programvare som viser annonser eller kampanjer, eller ber deg om å fullføre undersøkelser for andre produkter eller tjenester i annen programvare enn seg selv. Dette omfatter programvare som setter inn annonser på nettsider.
Torrent-programvare (bare enterprise): Programvare som brukes til å opprette eller laste ned torrents eller andre filer som brukes spesielt med node-til-node fildelingsteknologier.
Kryptominerende programvare (bare enterprise): Programvare som bruker enhetsressursene dine til å utvinne kryptokurver.
Bunting programvare: Programvare som tilbyr å installere annen programvare som ikke er utviklet av samme enhet eller som ikke kreves for at programvaren skal kjøre. Programvare som tilbyr å installere annen programvare som kvalifiserer som PUA basert på kriteriene som er beskrevet i dette dokumentet.
Markedsføringsprogramvare: Programvare som overvåker og overfører brukernes aktiviteter til andre programmer eller tjenester enn seg selv for markedsføringsundersøkelser.
Unndragelsesprogramvare: Programvare som aktivt prøver å unngå gjenkjenning av sikkerhetsprodukter, inkludert programvare som oppfører seg annerledes i nærvær av sikkerhetsprodukter.
Dårlig bransjerykte: Programvare som klarerte sikkerhetsleverandører oppdager med sine sikkerhetsprodukter. Sikkerhetsbransjen er dedikert til å beskytte kunder og forbedre sine erfaringer. Microsoft og andre organisasjoner i sikkerhetsbransjen utveksler kontinuerlig kunnskap om filer vi har analysert for å gi brukerne best mulig beskyttelse.
Sårbar programvare
Sårbar programvare er et program eller en kode som har sikkerhetsfeil eller svakheter som kan utnyttes av angripere til å utføre ulike ondsinnede og potensielt ødeleggende handlinger. Disse sårbarhetene kan skyldes utilsiktede kodefeil eller designfeil, og hvis de utnyttes, kan det føre til skadelige aktiviteter som uautorisert tilgang, videresending av privilegier, manipulering og mer.
Sårbare drivere
Til tross for strenge krav og vurderinger pålagt kode som kjører i kjernen, forblir enhetsdrivere utsatt for ulike typer sårbarheter og feil. Eksempler inkluderer minnekorrupsjon og tilfeldige lese- og skrivefeil, som kan utnyttes av angripere til å utføre mer betydelige ondsinnede og destruktive handlinger – handlinger som vanligvis er begrenset i brukermodus. Avslutning av kritiske prosesser på en enhet er et eksempel på en slik ondsinnet handling.