Hoe Microsoft malware en mogelijk ongewenste toepassingen identificeert
Microsoft wil een aangename en productieve Windows-ervaring bieden door ervoor te zorgen dat u veilig bent en de controle over uw apparaten hebt. Microsoft helpt u te beschermen tegen potentiële bedreigingen door software en online-inhoud te identificeren en te analyseren. Wanneer u software downloadt, installeert en uitvoert, controleren we de reputatie van gedownloade programma's en zorgen we ervoor dat u beschermd bent tegen bekende bedreigingen. U wordt ook gewaarschuwd voor software die bij ons onbekend is.
U kunt Microsoft helpen door onbekende of verdachte software in te dienen voor analyse. Inzendingen helpen ervoor te zorgen dat onbekende of verdachte software door ons systeem wordt gescand om te beginnen met het tot stand brengen van reputatie. Meer informatie over het indienen van bestanden voor analyse
De volgende secties bieden een overzicht van de classificaties die we gebruiken voor toepassingen en de soorten gedrag die tot die classificatie leiden.
Notitie
Nieuwe vormen van malware en mogelijk ongewenste toepassingen worden snel ontwikkeld en gedistribueerd. De volgende lijst is mogelijk niet volledig en Microsoft behoudt zich het recht voor om deze zonder voorafgaande kennisgeving of aankondiging aan te passen, uit te breiden en bij te werken.
Geen enkele antivirus- of beveiligingstechnologie is perfect. Het kost tijd om schadelijke sites en toepassingen te identificeren en te blokkeren, of zojuist uitgebrachte programma's en certificaten te vertrouwen. Met bijna 2 miljard websites op internet en software voortdurend bijgewerkt en uitgebracht, is het onmogelijk om informatie te hebben over elke site en elk programma.
Beschouw onbekende/soms gedownloade waarschuwingen als een systeem voor vroegtijdige waarschuwing voor mogelijk niet-gedetecteerde malware. Er is over het algemeen een vertraging vanaf het moment dat nieuwe malware wordt vrijgegeven totdat deze wordt geïdentificeerd. Niet alle ongebruikelijke programma's zijn schadelijk, maar het risico in de onbekende categorie is veel hoger voor de typische gebruiker. Waarschuwingen voor onbekende software zijn geen blokken. Gebruikers kunnen ervoor kiezen om de toepassing normaal te downloaden en uit te voeren als ze dat willen.
Zodra er voldoende gegevens zijn verzameld, kunnen de beveiligingsoplossingen van Microsoft een beslissing nemen. Er worden geen bedreigingen gevonden of een toepassing of software is gecategoriseerd als malware of mogelijk ongewenste software.
Malware is de overkoepelende naam voor toepassingen en andere code, zoals software, die Microsoft gedetailleerder classificeert als schadelijke software, ongewenste software of manipulatiesoftware.
Schadelijke software is een toepassing of code die de beveiliging van gebruikers in gevaar komt. Schadelijke software kan uw persoonlijke gegevens stelen, uw apparaat vergrendelen totdat u losgeld betaalt, uw apparaat gebruiken om spam te verzenden of andere schadelijke software downloaden. Over het algemeen wil schadelijke software gebruikers misleiden, bedriegen of bedrogen, waardoor ze in kwetsbare toestanden worden geplaatst.
Microsoft classificeert de meeste schadelijke software in een van de volgende categorieën:
Achterdeur: Een type malware dat kwaadwillende hackers op afstand toegang geeft tot en controle over uw apparaat.
Opdracht en beheer: Een type malware dat uw apparaat infecteert en communicatie tot stand brengt met de command-and-control-server van de hackers om instructies te ontvangen. Zodra de communicatie tot stand is gebracht, kunnen hackers opdrachten verzenden waarmee gegevens kunnen worden gestolen, het apparaat kan worden afgesloten en opnieuw kan worden opgestart en webservices kunnen worden onderbroken.
Downloader: Een type malware dat andere malware naar uw apparaat downloadt. Het moet verbinding maken met internet om bestanden te downloaden.
Druppelbuisje: Een type malware dat andere malwarebestanden op uw apparaat installeert. In tegenstelling tot een downloader hoeft een druppelaar geen verbinding te maken met internet om schadelijke bestanden te verwijderen. De verwijderde bestanden worden meestal ingesloten in de dropr zelf.
Uitbuiten: Een code die gebruikmaakt van beveiligingsproblemen met software om toegang te krijgen tot uw apparaat en andere taken uit te voeren, zoals het installeren van malware.
Hacktool: Een type hulpprogramma dat kan worden gebruikt om onbevoegde toegang tot uw apparaat te krijgen.
Macrovirus: Een type malware dat zich verspreidt via geïnfecteerde documenten, zoals Microsoft Word- of Excel-documenten. Het virus wordt uitgevoerd wanneer u een geïnfecteerd document opent.
Obfuscator: Een type malware dat de code en het doel ervan verbergt, waardoor het moeilijker wordt voor beveiligingssoftware om te detecteren of te verwijderen.
Wachtwoord stelen: Een type malware dat uw persoonlijke gegevens verzamelt, zoals gebruikersnamen en wachtwoorden. Het werkt vaak samen met een sleutellogger, die informatie verzamelt en verzendt over de toetsen die u drukt en websites die u bezoekt.
Ransomware: Een type malware dat uw bestanden versleutelt of andere wijzigingen aanbrengt waardoor u uw apparaat niet meer kunt gebruiken. Vervolgens wordt een losgeldmelding weergegeven waarin staat dat u geld moet betalen of andere acties moet uitvoeren voordat u uw apparaat opnieuw kunt gebruiken. Zie meer informatie over ransomware.
Rogue-beveiligingssoftware: Malware die zich voordoet als beveiligingssoftware, maar geen bescherming biedt. Dit type malware geeft meestal waarschuwingen weer over niet-bestaande bedreigingen op uw apparaat. Het probeert u ook te overtuigen om te betalen voor zijn diensten.
Trojaan: Een type malware dat probeert onschuldig te lijken. In tegenstelling tot een virus of worm, wordt een Trojaans paard niet vanzelf verspreid. In plaats daarvan probeert het er legitiem uit te zien om gebruikers te misleiden om het te downloaden en te installeren. Na de installatie voeren Trojaanse paarden verschillende schadelijke activiteiten uit, zoals het stelen van persoonlijke gegevens, het downloaden van andere malware of het verlenen van toegang tot uw apparaat aan aanvallers.
Trojaanse clicker: Een type trojan dat automatisch op knoppen of soortgelijke besturingselementen op websites of toepassingen klikt. Aanvallers kunnen deze trojan gebruiken om op online advertenties te klikken. Deze klikken kunnen online polls of andere volgsystemen scheeftrekken en kunnen zelfs toepassingen op uw apparaat installeren.
Worm: Een type malware dat zich verspreidt naar andere apparaten. Wormen kunnen zich verspreiden via e-mail, chatberichten, platforms voor het delen van bestanden, sociale netwerken, netwerkshares en verwisselbare stations. Geavanceerde wormen maken misbruik van softwarekwetsbaarheden om zich te verspreiden.
Microsoft is van mening dat u controle moet hebben over uw Windows-ervaring. Software die op Windows wordt uitgevoerd, moet u de controle over uw apparaat houden door middel van geïnformeerde keuzes en toegankelijke besturingselementen. Microsoft identificeert softwaregedrag dat ervoor zorgt dat u de controle houdt. We classificeren software die dit gedrag niet volledig demonstreert als 'ongewenste software'.
U moet worden geïnformeerd over wat er op uw apparaat gebeurt, inclusief wat software doet en of deze actief is.
Software die een gebrek aan keuze vertoont, kan het volgende doen:
Kan geen opvallende kennisgeving geven over het gedrag van de software en het doel en de bedoeling ervan.
Kan niet duidelijk aangeven wanneer de software actief is. Het kan ook proberen om de aanwezigheid ervan te verbergen of te verbergen.
Software installeren, opnieuw installeren of verwijderen zonder uw toestemming, interactie of toestemming.
Installeer andere software zonder een duidelijke indicatie van de relatie met de primaire software.
Dialoogvensters voor gebruikerstoestemming omzeilen vanuit de browser of het besturingssysteem.
Claim ten onrechte software van Microsoft te zijn.
Software mag u niet misleiden of verplichten om beslissingen te nemen over uw apparaat. Het wordt beschouwd als gedrag dat uw keuzes beperkt. Naast de vorige lijst kan software die een gebrek aan keuze vertoont:
Overdreven claims over de status van uw apparaat weergeven.
Maak misleidende of onjuiste claims over bestanden, registervermeldingen of andere items op uw apparaat.
Geef claims op een alarmerende manier weer over de status van uw apparaat en vereist betaling of bepaalde acties in ruil voor het oplossen van de vermeende problemen.
Software waarmee uw activiteiten of gegevens worden opgeslagen of verzonden, moet:
- U op de hoogte stellen en toestemming krijgen om dit te doen. Software mag geen optie bevatten waarmee deze wordt geconfigureerd om activiteiten te verbergen die zijn gekoppeld aan het opslaan of verzenden van uw gegevens.
U moet software op uw apparaat kunnen beheren. U moet de autorisatie voor software kunnen starten, stoppen of anderszins intrekken.
Software die gebrek aan controle vertoont, kan het volgende doen:
Voorkomen of beperken dat u browserfuncties of -instellingen kunt weergeven of wijzigen.
Open browservensters zonder autorisatie.
Webverkeer omleiden zonder kennisgeving en toestemming te krijgen.
Inhoud van webpagina's wijzigen of bewerken zonder uw toestemming.
Software die uw browse-ervaring verandert, mag alleen het ondersteunde uitbreidbaarheidsmodel van de browser gebruiken voor installatie, uitvoering, uitschakelen of verwijderen. Browsers die geen ondersteunde uitbreidbaarheidsmodellen bieden, worden als niet-volgbaar beschouwd en mogen niet worden gewijzigd.
U moet de autorisatie voor software kunnen starten, stoppen of anderszins intrekken. Software moet uw toestemming verkrijgen voordat u installeert en moet u een duidelijke en eenvoudige manier bieden om deze te installeren, te verwijderen of uit te schakelen.
Software die een slechte installatie-ervaring biedt, kan andere 'ongewenste software' zoals geclassificeerd door Microsoft, bundelen of downloaden.
Software die slechte verwijderingservaring biedt, kan het volgende doen:
Presenteer verwarrende of misleidende prompts of pop-ups wanneer u het probeert te verwijderen.
Kan geen standaardfuncties voor installeren/verwijderen gebruiken, zoals Programma's toevoegen/verwijderen.
Software die een product of service buiten de software zelf promoot, kan uw computerervaring verstoren. U moet een duidelijke keuze en controle hebben bij het installeren van software die advertenties presenteert.
De advertenties die door software worden gepresenteerd, moeten:
Neem een duidelijke manier op voor gebruikers om de advertentie te sluiten. Het sluiten van de advertentie mag geen andere advertentie openen.
Neem de naam op van de software die de advertentie heeft gepresenteerd.
De software die deze advertenties presenteert, moet:
- Geef een standaard verwijderingsmethode op voor de software met dezelfde naam die wordt weergegeven in de advertentie die wordt weergegeven.
Advertenties die aan u worden getoond, moeten:
Te onderscheiden van website-inhoud.
Niet misleiden, misleiden of verwarren.
Bevat geen schadelijke code.
Een bestandsdownload niet aanroepen.
Microsoft onderhoudt een wereldwijd netwerk van analisten en intelligence-systemen waar u software kunt indienen voor analyse. Met uw deelname kan Microsoft snel nieuwe malware identificeren. Na analyse maakt Microsoft beveiligingsinformatie voor software die voldoet aan de beschreven criteria. Deze beveiligingsinformatie identificeert de software als malware en is beschikbaar voor alle gebruikers via Microsoft Defender Antivirus en andere antimalwareoplossingen van Microsoft.
Manipulatiesoftware omvat een breed spectrum van hulpprogramma's en bedreigingen die direct of indirect het algehele beveiligingsniveau van apparaten verlagen. Voorbeelden van veelvoorkomende manipulatieacties zijn:
Beveiligingssoftware uitschakelen of verwijderen: hulpprogramma's en bedreigingen die proberen verdedigingsmechanismen te omzeilen door beveiligingssoftware, zoals antivirus-, EDR- of netwerkbeveiligingssystemen, uit te schakelen of te verwijderen. Deze acties maken het systeem kwetsbaar voor verdere aanvallen.
Misbruik maken van functies en instellingen van het besturingssysteem: hulpprogramma's en bedreigingen die gebruikmaken van functies en instellingen in het besturingssysteem om de beveiliging in gevaar te komen. Voorbeelden zijn:
Firewallmisbruik: aanvallers die firewallonderdelen gebruiken om indirect te knoeien met beveiligingssoftware of legitieme netwerkverbindingen te blokkeren, waardoor onbevoegde toegang of gegevensexfiltratie mogelijk wordt gemaakt.
DNS-manipulatie: manipulatie met DNS-instellingen om verkeer om te leiden of beveiligingsupdates te blokkeren, waardoor het systeem wordt blootgesteld aan schadelijke activiteiten.
Veilige modus: gebruik van de legitieme instelling Veilige modus om het apparaat in een status te plaatsen waarin beveiligingsoplossingen kunnen worden omzeild, waardoor onbevoegde toegang of uitvoering van malware mogelijk is.
Systeemonderdelen manipuleren: hulpprogramma's en bedreigingen die zijn gericht op kritieke systeemonderdelen, zoals kernelstuurprogramma's of systeemservices, om de algehele beveiliging en stabiliteit van het apparaat in gevaar te brengen.
Escalatie van bevoegdheden: technieken gericht op het verhogen van gebruikersbevoegdheden om controle te krijgen over de resources van het systeem en mogelijk beveiligingsinstellingen te manipuleren.
Verstoren van beveiligingsupdates: probeert beveiligingsupdates te blokkeren of te manipuleren, waardoor het systeem kwetsbaar blijft voor bekende beveiligingsproblemen.
Kritieke services verstoren: acties die essentiële systeemservices of -processen verstoren, mogelijk instabiliteit van het systeem veroorzaken en de deur openen voor andere aanvallen.
Niet-geautoriseerde registerwijzigingen: wijzigingen in het Windows-register of de systeeminstellingen die van invloed zijn op de beveiligingsstatus van het apparaat.
Manipulatie met opstartprocessen: pogingen om het opstartproces te manipuleren, wat kan leiden tot het laden van schadelijke code tijdens het opstarten.
Onze PUA-beveiliging is bedoeld om de productiviteit van gebruikers te waarborgen en een plezierige Windows-ervaring te garanderen. Deze beveiliging zorgt ervoor dat windows productiever, performanter en aangenamer wordt. Zie Mogelijk ongewenste toepassingen detecteren en blokkeren voor instructies over het inschakelen van PUA-beveiliging in Chromium Microsoft Edge en Microsoft Defender Antivirus.
Mogelijk ongewenste programma's worden niet beschouwd als malware.
Microsoft gebruikt specifieke categorieën en de categoriedefinities om software te classificeren als een PUA.
Reclamesoftware: Software die advertenties of promoties weergeeft of u vraagt om enquêtes in te vullen voor andere producten of services in andere software dan zichzelf. Dit omvat software die advertenties op webpagina's plaatst.
Torrent-software (alleen enterprise): Software die wordt gebruikt voor het maken of downloaden van torrents of andere bestanden die specifiek worden gebruikt met peer-to-peer technologieën voor het delen van bestanden.
Cryptomining-software (alleen enterprise): Software die uw apparaatbronnen gebruikt om cryptovaluta's te minen.
Software bundelen: Software die aanbiedt om andere software te installeren die niet door dezelfde entiteit is ontwikkeld of die niet vereist is om de software uit te voeren. Ook software die aanbiedt om andere software te installeren die als PUA kwalificeert op basis van de criteria die in dit document worden beschreven.
Marketingsoftware: Software die de activiteiten van gebruikers bewaakt en verzendt naar andere toepassingen of services dan zichzelf voor marketingonderzoek.
Software voor ontduiking: Software die actief detectie door beveiligingsproducten probeert te omzeilen, inclusief software die zich anders gedraagt in de aanwezigheid van beveiligingsproducten.
Slechte reputatie van de branche: Software die vertrouwde beveiligingsproviders detecteren met hun beveiligingsproducten. De beveiligingssector is toegewijd aan het beschermen van klanten en het verbeteren van hun ervaringen. Microsoft en andere organisaties in de beveiligingsindustrie wisselen voortdurend kennis uit over bestanden die we hebben geanalyseerd om gebruikers de best mogelijke bescherming te bieden.
Kwetsbare software is een toepassing of code met beveiligingsfouten of zwakke punten die door aanvallers kunnen worden misbruikt om verschillende schadelijke en mogelijk destructieve acties uit te voeren. Deze beveiligingsproblemen kunnen het gevolg zijn van onbedoelde coderingsfouten of ontwerpfouten, en als ze worden misbruikt, kunnen leiden tot schadelijke activiteiten, zoals onbevoegde toegang, escalatie van bevoegdheden, manipulatie en meer.
Ondanks strikte vereisten en beoordelingen die worden opgelegd aan code die wordt uitgevoerd in de kernel, blijven apparaatstuurprogramma's vatbaar voor verschillende soorten beveiligingsproblemen en bugs. Voorbeelden hiervan zijn geheugenbeschadiging en willekeurige lees- en schrijffouten, die door aanvallers kunnen worden misbruikt om meer significante schadelijke en destructieve acties uit te voeren, acties die doorgaans beperkt zijn in de gebruikersmodus. Het beëindigen van kritieke processen op een apparaat is een voorbeeld van een dergelijke schadelijke actie.