Como a Microsoft identifica malware e aplicativos potencialmente indesejados
A Microsoft pretende fornecer uma experiência deliciosa e produtiva do Windows trabalhando para garantir que você esteja seguro e no controle de seus dispositivos. A Microsoft ajuda a protegê-lo contra ameaças potenciais identificando e analisando conteúdo online e software. Ao baixar, instalar e executar software, marcar a reputação dos programas baixados e garantir que você esteja protegido contra ameaças conhecidas. Você também é avisado sobre o software que é desconhecido para nós.
Você pode ajudar a Microsoft enviando software desconhecido ou suspeito para análise. Isso ajudará a garantir que softwares desconhecidos ou suspeitos sejam verificados pelo nosso sistema para começar a estabelecer a reputação. Saiba mais sobre como enviar arquivos para análise
As próximas seções fornecem uma visão geral das classificações que usamos para aplicativos e os tipos de comportamentos que levam a essa classificação.
Observação
Novas formas de malware e aplicativos potencialmente indesejados estão sendo desenvolvidos e distribuídos rapidamente. A lista a seguir pode não ser abrangente e a Microsoft se reserva o direito de ajustar, expandir e atualizá-las sem aviso prévio ou anúncio.
Desconhecido – software não reconhecido
Nenhuma tecnologia de proteção ou antivírus é perfeita. Leva tempo para identificar e bloquear sites e aplicativos mal-intencionados ou confiar em programas e certificados recém-lançados. Com quase 2 bilhões de sites na Internet e software continuamente atualizados e lançados, é impossível ter informações sobre cada site e programa.
Pense em avisos desconhecidos/raramente baixados como um sistema de aviso antecipado para malware potencialmente não detectado. Geralmente, há um atraso desde o momento em que o novo malware é lançado até que ele seja identificado. Nem todos os programas incomuns são mal-intencionados, mas o risco na categoria desconhecida é muito maior para o usuário típico. Avisos para software desconhecido não são blocos. Os usuários podem optar por baixar e executar o aplicativo normalmente, se desejarem.
Depois que dados suficientes são coletados, as soluções de segurança da Microsoft podem fazer uma determinação. Nenhuma ameaça é encontrada ou um aplicativo ou software é categorizado como malware ou software potencialmente indesejado.
Malware
Malware é o nome geral para aplicativos e outros códigos, como software, que a Microsoft classifica mais granularmente como software mal-intencionado ou software indesejado.
Software mal-intencionado
O software mal-intencionado é um aplicativo ou código que compromete a segurança do usuário. O software mal-intencionado pode roubar suas informações pessoais, bloquear seu dispositivo até pagar um resgate, usar seu dispositivo para enviar spam ou baixar outro software mal-intencionado. Em geral, o software mal-intencionado quer enganar, enganar ou fraudar usuários, colocando-os em estados vulneráveis.
A Microsoft classifica a maioria dos softwares mal-intencionados em uma das seguintes categorias:
Backdoor: Um tipo de malware que dá aos hackers mal-intencionados acesso remoto e controle do seu dispositivo.
Comando e Controle: Um tipo de malware que infecta seu dispositivo e estabelece a comunicação com o servidor de comando e controle dos hackers para receber instruções. Depois que a comunicação é estabelecida, os hackers podem enviar comandos que podem roubar dados, desligar e reiniciar o dispositivo e interromper os serviços Web.
Downloader: Um tipo de malware que baixa outros malwares em seu dispositivo. Ele deve se conectar à Internet para baixar arquivos.
Conta-gotas: Um tipo de malware que instala outros arquivos de malware em seu dispositivo. Ao contrário de um downloader, um dropper não precisa se conectar à Internet para soltar arquivos mal-intencionados. Os arquivos descartados normalmente são inseridos no próprio conta-gotas.
Explorar: Um código que usa vulnerabilidades de software para obter acesso ao seu dispositivo e executar outras tarefas, como instalar malware.
Hacktool: Um tipo de ferramenta que pode ser usada para obter acesso não autorizado ao seu dispositivo.
Vírus macro: Um tipo de malware que se espalha por meio de documentos infectados, como documentos do Microsoft Word ou excel. O vírus é executado quando você abre um documento infectado.
Obfuscator: Um tipo de malware que oculta seu código e sua finalidade, tornando mais difícil para o software de segurança detectar ou remover.
Roubo de senha: Um tipo de malware que reúne suas informações pessoais, como nomes de usuário e senhas. Ele geralmente funciona junto com um keylogger, que coleta e envia informações sobre as chaves que você pressiona e sites que você visita.
Ransomware: Um tipo de malware que criptografa seus arquivos ou faz outras modificações que podem impedi-lo de usar seu dispositivo. Em seguida, ele exibe uma nota de resgate informando que você deve pagar em dinheiro ou executar outras ações antes de poder usar seu dispositivo novamente. Confira mais informações sobre ransomware.
Software de segurança desonesto: Malware que finge ser um software de segurança, mas não fornece nenhuma proteção. Esse tipo de malware geralmente exibe alertas sobre ameaças inexistentes em seu dispositivo. Ele também tenta convencê-lo a pagar por seus serviços.
Trojan: Um tipo de malware que tenta parecer inofensivo. Ao contrário de um vírus ou um worm, um cavalo de troia não se espalha sozinho. Em vez disso, ele tenta parecer legítimo para enganar os usuários para baixá-lo e instalá-lo. Depois de instalados, cavalos de troia executam várias atividades mal-intencionadas, como roubar informações pessoais, baixar outros malwares ou dar aos invasores acesso ao seu dispositivo.
Clicker de trojan: Um tipo de trojan que clica automaticamente em botões ou controles semelhantes em sites ou aplicativos. Os invasores podem usar esse trojan para clicar em anúncios online. Esses cliques podem distorcer pesquisas online ou outros sistemas de acompanhamento e podem até mesmo instalar aplicativos em seu dispositivo.
Worm: Um tipo de malware que se espalha para outros dispositivos. Os worms podem se espalhar por email, mensagens instantâneas, plataformas de compartilhamento de arquivos, redes sociais, compartilhamentos de rede e unidades removíveis. Worms sofisticados aproveitam as vulnerabilidades de software para serem propagados.
Software indesejado
A Microsoft acredita que você deve ter controle sobre sua experiência no Windows. O software em execução no Windows deve mantê-lo no controle do dispositivo por meio de opções informadas e controles acessíveis. A Microsoft identifica comportamentos de software que garantem que você permaneça no controle. Classificamos o software que não demonstra totalmente esses comportamentos como "software indesejado".
Falta de escolha
Você deve ser notificado sobre o que está acontecendo em seu dispositivo, incluindo o que o software faz e se ele está ativo.
O software que exibe falta de escolha pode:
Não forneça um aviso proeminente sobre o comportamento do software e sua finalidade e intenção.
Falha ao indicar claramente quando o software está ativo. Ele também pode tentar ocultar ou disfarçar sua presença.
Instale, reinstale ou remova software sem sua permissão, interação ou consentimento.
Instale outro software sem uma indicação clara de sua relação com o software primário.
Burlar as caixas de diálogo de consentimento do usuário do navegador ou do sistema operacional.
Declaração falsa de ser software da Microsoft.
O software não deve enganar ou coagi-lo a tomar decisões sobre seu dispositivo. É considerado um comportamento que limita suas escolhas. Além da lista anterior, o software que exibe falta de escolha pode:
Exiba declarações exageradas sobre a integridade do dispositivo.
Faça declarações enganosas ou imprecisas sobre arquivos, entradas de registro ou outros itens em seu dispositivo.
Exiba declarações de maneira alarmante sobre a integridade do dispositivo e exija pagamento ou determinadas ações em troca de corrigir os supostos problemas.
O software que armazena ou transmite suas atividades ou dados deve:
- Dê-lhe aviso e obtenha consentimento para fazê-lo. O software não deve incluir uma opção que o configure para ocultar atividades associadas ao armazenamento ou transmissão de seus dados.
Falta de controle
Você deve ser capaz de controlar o software em seu dispositivo. Você deve ser capaz de iniciar, parar ou revogar a autorização para o software.
O software que exibe a falta de controle pode:
Impedir ou limitar a exibição ou modificação de recursos ou configurações do navegador.
Abra janelas do navegador sem autorização.
Redirecionar o tráfego da Web sem avisar e obter consentimento.
Modifique ou manipule o conteúdo da página da Web sem o seu consentimento.
O software que altera sua experiência de navegação deve usar apenas o modelo de extensibilidade com suporte do navegador para instalação, execução, desabilitação ou remoção. Os navegadores que não fornecem modelos de extensibilidade compatíveis são considerados não extensíveis e não devem ser modificados.
Instalação e remoção
Você deve ser capaz de iniciar, parar ou revogar a autorização dada ao software. O software deve obter seu consentimento antes de instalar e deve fornecer uma maneira clara e simples de instalar, desinstalar ou desabilitar.
O software que oferece pouca experiência de instalação pode empacotar ou baixar outros "softwares indesejados" conforme classificado pela Microsoft.
O software que oferece uma experiência de remoção ruim pode:
Apresente prompts ou pop-ups confusos ou enganosos ao tentar desinstalá-lo.
Falha ao usar recursos padrão de instalação/desinstalação, como Adicionar/Remover Programas.
Publicidade e anúncios
O software que promove um produto ou serviço fora do próprio software pode interferir na sua experiência de computação. Você deve ter uma escolha e controle claros ao instalar o software que apresenta anúncios.
Os anúncios apresentados pelo software devem:
Inclua uma maneira óbvia de os usuários fecharem o anúncio. O ato de fechar o anúncio não deve abrir outro anúncio.
Inclua o nome do software que apresentou o anúncio.
O software que apresenta esses anúncios deve:
- Forneça um método de desinstalação padrão para o software usando o mesmo nome mostrado no anúncio que ele apresenta.
Os anúncios mostrados a você devem:
Seja distinguível do conteúdo do site.
Não enganar, enganar ou confundir.
Não contém código mal-intencionado.
Não invocar um download de arquivo.
Opinião do consumidor
A Microsoft mantém uma rede mundial de analistas e sistemas de inteligência onde você pode enviar software para análise. Sua participação ajuda a Microsoft a identificar um novo malware rapidamente. Após a análise, a Microsoft cria inteligência de segurança para software que atende aos critérios descritos. Essa inteligência de segurança identifica o software como malware e está disponível para todos os usuários por meio de Microsoft Defender Antivírus e outras soluções antimalware da Microsoft.
Aplicativo potencialmente indesejado (PUA)
Nossa proteção pua visa proteger a produtividade do usuário e garantir experiências agradáveis do Windows. Essa proteção ajuda a proporcionar experiências mais produtivas, performantes e deliciosas do Windows. Para obter instruções sobre como habilitar a proteção de PUA no Microsoft Edge baseado em Chromium e Microsoft Defender Antivírus, consulte Detectar e bloquear aplicativos potencialmente indesejados.
PUAs não são consideradas malware.
A Microsoft usa categorias específicas e as definições de categoria para classificar o software como um PUA.
Software de publicidade: Software que exibe anúncios ou promoções ou solicita que você conclua pesquisas para outros produtos ou serviços em software diferente de si mesmo. Isso inclui o software que insere anúncios em páginas da Web.
Software torrent (somente enterprise): Software usado para criar ou baixar torrents ou outros arquivos usados especificamente com tecnologias de compartilhamento de arquivos ponto a ponto.
Software de criptografia (somente enterprise): Software que usa os recursos do dispositivo para minerar criptomoedas.
Software de agrupamento: Software que oferece a instalação de outro software que não é desenvolvido pela mesma entidade ou não é necessário para que o software seja executado. Além disso, o software que oferece a instalação de outro software que se qualifica como PUA com base nos critérios descritos neste documento.
Software de marketing: Software que monitora e transmite as atividades dos usuários para aplicativos ou serviços diferentes de si mesmo para pesquisa de marketing.
Software de evasão: Software que tenta ativamente evitar a detecção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.
Má reputação do setor: Software que provedores de segurança confiáveis detectam com seus produtos de segurança. O setor de segurança se dedica a proteger os clientes e melhorar suas experiências. A Microsoft e outras organizações do setor de segurança trocam continuamente conhecimentos sobre arquivos que analisamos para fornecer aos usuários a melhor proteção possível.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de