Läs på engelska

Dela via


Så identifierar Microsoft skadlig kod och potentiellt oönskade program

Microsoft strävar efter att ge en härlig och produktiv Windows-upplevelse genom att arbeta för att säkerställa att du är säker och har kontroll över dina enheter. Microsoft hjälper dig att skydda dig mot potentiella hot genom att identifiera och analysera programvara och onlineinnehåll. När du laddar ned, installerar och kör programvara kontrollerar vi de nedladdade programmens rykte och ser till att du skyddas mot kända hot. Du får också en varning om programvara som är okänd för oss.

Du kan hjälpa Microsoft genom att skicka in okänd eller misstänkt programvara för analys. Bidrag hjälper till att säkerställa att okänd eller misstänkt programvara genomsöks av vårt system för att börja etablera rykte. Läs mer om att skicka filer för analys

Nästa avsnitt innehåller en översikt över de klassificeringar vi använder för program och vilka typer av beteenden som leder till den klassificeringen.

Anteckning

Nya former av skadlig kod och potentiellt oönskade program utvecklas och distribueras snabbt. Följande lista kanske inte är omfattande och Microsoft förbehåller sig rätten att justera, expandera och uppdatera dessa utan föregående meddelande eller meddelande.

Okänd – okänd programvara

Ingen antivirus- eller skyddsteknik är perfekt. Det tar tid att identifiera och blockera skadliga webbplatser och program, eller lita på nyligen släppta program och certifikat. Med nästan 2 miljarder webbplatser på Internet och programvara kontinuerligt uppdateras och släpps, är det omöjligt att ha information om varje enskild webbplats och program.

Tänk på okända/ovanligt nedladdade varningar som ett tidigt varningssystem för potentiellt oupptäckt skadlig kod. Det finns vanligtvis en fördröjning från det att ny skadlig kod släpps tills den identifieras. Inte alla ovanliga program är skadliga, men risken i den okända kategorin är mycket högre för den typiska användaren. Varningar för okänd programvara är inte block. Användarna kan välja att ladda ned och köra programmet normalt om de vill.

När tillräckligt med data har samlats in kan Microsofts säkerhetslösningar bestämma. Antingen hittas inga hot, eller så kategoriseras ett program eller en programvara som skadlig kod eller potentiellt oönskad programvara.

Skadlig kod

Skadlig kod är det övergripande namnet för program och annan kod, till exempel programvara, som Microsoft klassificerar mer detaljerat som skadlig programvara, oönskad programvara eller manipulering av programvara.

Skadlig programvara

Skadlig programvara är ett program eller kod som äventyrar användarsäkerheten. Skadlig programvara kan stjäla din personliga information, låsa enheten tills du betalar lösensumma, använda din enhet för att skicka skräppost eller ladda ned annan skadlig programvara. I allmänhet vill skadlig programvara lura, fuska eller lura användare och placera dem i sårbara tillstånd.

Microsoft klassificerar mest skadlig programvara i någon av följande kategorier:

  • Bakdörr: En typ av skadlig kod som ger hackare fjärråtkomst till och kontroll över din enhet.

  • Kommando och kontroll: En typ av skadlig kod som infekterar din enhet och upprättar kommunikation med hackarnas kommando- och kontrollserver för att ta emot instruktioner. När kommunikationen har upprättats kan hackare skicka kommandon som kan stjäla data, stänga av och starta om enheten och störa webbtjänster.

  • Laddare: En typ av skadlig kod som laddar ned annan skadlig kod till enheten. Den måste ansluta till Internet för att ladda ned filer.

  • Pipett: En typ av skadlig kod som installerar andra filer för skadlig kod på enheten. Till skillnad från en nedladdare behöver en dropper inte ansluta till Internet för att släppa skadliga filer. De borttagna filerna bäddas vanligtvis in i själva droppern.

  • Utnyttja: En kod som använder sårbarheter i programvara för att få åtkomst till din enhet och utföra andra uppgifter, till exempel att installera skadlig kod.

  • Hacktool: En typ av verktyg som kan användas för att få obehörig åtkomst till din enhet.

  • Makrovirus: En typ av skadlig kod som sprids genom infekterade dokument, till exempel Microsoft Word- eller Excel-dokument. Viruset körs när du öppnar ett infekterat dokument.

  • Obfuscator: En typ av skadlig kod som döljer dess kod och syfte, vilket gör det svårare för säkerhetsprogramvara att identifiera eller ta bort.

  • Lösenordsstöld: En typ av skadlig kod som samlar in din personliga information, till exempel användarnamn och lösenord. Det fungerar ofta tillsammans med en nyckelloggare, som samlar in och skickar information om de nycklar du trycker på och webbplatser som du besöker.

  • Utpressningstrojan: En typ av skadlig kod som krypterar dina filer eller gör andra ändringar som kan hindra dig från att använda din enhet. Den visar sedan en lösensumma som anger att du måste betala pengar eller utföra andra åtgärder innan du kan använda enheten igen. Se mer information om utpressningstrojaner.

  • Falsk säkerhetsprogramvara: Skadlig kod som utger sig för att vara säkerhetsprogramvara men som inte ger något skydd. Den här typen av skadlig kod visar vanligtvis aviseringar om obefintliga hot på enheten. Det försöker också övertyga dig att betala för dess tjänster.

  • Trojan: En typ av skadlig kod som försöker verka ofarlig. Till skillnad från ett virus eller en mask sprids inte en trojan av sig själv. I stället försöker den se legitim ut för att lura användare att ladda ned och installera den. När trojanerna har installerats utför de olika skadliga aktiviteter som att stjäla personlig information, ladda ned annan skadlig kod eller ge angripare åtkomst till din enhet.

  • Trojansk klickning: En typ av trojan som automatiskt klickar på knappar eller liknande kontroller på webbplatser eller program. Angripare kan använda den här trojanen för att klicka på onlineannonser. Dessa klick kan skeva onlineundersökningar eller andra spårningssystem och kan till och med installera program på din enhet.

  • Mask: En typ av skadlig kod som sprids till andra enheter. Maskar kan spridas via e-post, snabbmeddelanden, fildelningsplattformar, sociala nätverk, nätverksresurser och flyttbara enheter. Sofistikerade maskar utnyttjar sårbarheter i programvaran för att spridas.

Oönskad programvara

Microsoft anser att du bör ha kontroll över din Windows-upplevelse. Programvara som körs i Windows bör hålla dig i kontroll över din enhet genom välgrundade val och tillgängliga kontroller. Microsoft identifierar programvarubeteenden som säkerställer att du har kontroll. Vi klassificerar programvara som inte helt visar dessa beteenden som "oönskad programvara".

Brist på val

Du måste meddelas om vad som händer på enheten, inklusive vad programvaran gör och om den är aktiv.

Programvara som uppvisar bristande val kan:

  • Det går inte att ge ett tydligt meddelande om programvarans beteende och dess syfte och avsikt.

  • Det går inte att tydligt ange när programvaran är aktiv. Den kan också försöka dölja eller dölja sin närvaro.

  • Installera, installera om eller ta bort programvara utan din behörighet, interaktion eller ditt medgivande.

  • Installera annan programvara utan en tydlig indikation på dess relation till den primära programvaran.

  • Kringgå dialogrutor för användarmedgivande från webbläsaren eller operativsystemet.

  • Felaktigt anspråk på att vara programvara från Microsoft.

Programvara får inte vilseleda eller tvinga dig att fatta beslut om din enhet. Det anses vara ett beteende som begränsar dina val. Förutom föregående lista kan programvara som uppvisar bristande val:

  • Visa överdrivna påståenden om enhetens hälsa.

  • Gör vilseledande eller felaktiga påståenden om filer, registerposter eller andra objekt på enheten.

  • Visa anspråk på ett alarmerande sätt om enhetens hälsa och kräva betalning eller vissa åtgärder i utbyte mot att åtgärda de påstådda problemen.

Programvara som lagrar eller överför dina aktiviteter eller data måste:

  • Ge dig ett meddelande och få medgivande för att göra det. Programvara bör inte innehålla ett alternativ som konfigurerar det för att dölja aktiviteter som är associerade med lagring eller överföring av data.

Brist på kontroll

Du måste kunna styra programvaran på enheten. Du måste kunna starta, stoppa eller på annat sätt återkalla auktorisering för programvara.

Programvara som uppvisar bristande kontroll kan:

  • Förhindra eller begränsa dig från att visa eller ändra webbläsarfunktioner eller inställningar.

  • Öppna webbläsarfönster utan auktorisering.

  • Omdirigera webbtrafik utan att meddela och få medgivande.

  • Ändra eller ändra innehållet på webbsidan utan ditt medgivande.

Programvara som ändrar din webbupplevelse får bara använda webbläsarens utökningsmodell som stöds för installation, körning, inaktivering eller borttagning. Webbläsare som inte tillhandahåller utökningsmodeller som stöds anses vara icke-utbytbara och bör inte ändras.

Installation och borttagning

Du måste kunna starta, stoppa eller på annat sätt återkalla auktorisering som ges till programvara. Programvara bör få ditt medgivande innan du installerar, och det måste vara ett tydligt och enkelt sätt för dig att installera, avinstallera eller inaktivera det.

Programvara som ger dålig installationsupplevelse kan paket eller ladda ned annan "oönskad programvara" som klassificerats av Microsoft.

Programvara som ger dålig borttagningsupplevelse kan:

  • Presentera förvirrande eller vilseledande uppmaningar eller popup-fönster när du försöker avinstallera det.

  • Det går inte att använda standardfunktioner för installation/avinstallation, till exempel Lägg till/ta bort program.

Annonsering och annonsering

Programvara som marknadsför en produkt eller tjänst utanför själva programvaran kan störa din databehandlingsupplevelse. Du bör ha ett tydligt val och kontroll när du installerar programvara som presenterar annonser.

Annonserna som presenteras av programvara måste:

  • Inkludera ett uppenbart sätt för användare att stänga annonsen. Handlingen att stänga annonsen får inte öppna en annan annons.

  • Inkludera namnet på programvaran som presenterade annonsen.

Programvaran som presenterar dessa annonser måste:

  • Ange en standardavinstallationsmetod för programvaran med samma namn som visas i annonsen som visas.

Annonser som visas för dig måste:

  • Vara åtskiljbar från webbplatsinnehåll.

  • Inte vilseleda, vilseleda eller förvirra.

  • Innehåller inte skadlig kod.

  • Anropa inte en filnedladdning.

Konsumentutlåtande

Microsoft har ett världsomspännande nätverk av analytiker och underrättelsesystem där du kan skicka in programvara för analys. Ditt deltagande hjälper Microsoft att snabbt identifiera ny skadlig kod. Efter analysen skapar Microsoft säkerhetsinformation för programvara som uppfyller de kriterier som beskrivs. Den här säkerhetsinformationen identifierar programvaran som skadlig kod och är tillgänglig för alla användare via Microsoft Defender Antivirus och andra Microsoft-lösningar för program mot skadlig kod.

Manipulering av programvara

Manipulation av programvara omfattar ett brett spektrum av verktyg och hot som direkt eller indirekt sänker den övergripande säkerhetsnivån för enheter. Exempel på vanliga manipuleringsåtgärder är:

  • Inaktivera eller avinstallera säkerhetsprogram: Verktyg och hot som försöker undvika försvarsmekanismer genom att inaktivera eller avinstallera säkerhetsprogram, till exempel antivirusprogram, EDR eller nätverksskyddssystem. Dessa åtgärder gör systemet sårbart för ytterligare attacker.

  • Missbruk av operativsystemfunktioner och inställningar: Verktyg och hot som utnyttjar funktioner och inställningar i operativsystemet för att äventyra säkerheten. Exempel inkluderar:

    • Brandväggsmissbruk: Angripare som använder brandväggskomponenter för att indirekt manipulera säkerhetsprogramvara eller blockera legitima nätverksanslutningar, vilket potentiellt möjliggör obehörig åtkomst eller dataexfiltrering.

    • DNS-manipulering: Manipulering av DNS-inställningar för att omdirigera trafik eller blockera säkerhetsuppdateringar, vilket gör att systemet exponeras för skadliga aktiviteter.

    • Utnyttjande av felsäkert läge: Använd den legitima inställningen för felsäkert läge för att försätta enheten i ett tillstånd där säkerhetslösningar kan kringgås, vilket möjliggör obehörig åtkomst eller körning av skadlig kod.

  • Manipulera systemkomponenter: Verktyg och hot som riktar sig mot kritiska systemkomponenter, till exempel kerneldrivrutiner eller systemtjänster, för att äventyra enhetens övergripande säkerhet och stabilitet.

  • Behörighetseskalering: Tekniker som syftar till att höja användarprivilegier för att få kontroll över systemets resurser och potentiellt manipulera säkerhetsinställningar.

  • Stör säkerhetsuppdateringar: Försöker blockera eller manipulera säkerhetsuppdateringar, vilket gör att systemet är sårbart för kända säkerhetsrisker.

  • Stör kritiska tjänster: Åtgärder som stör viktiga systemtjänster eller processer, vilket kan orsaka systeminstabilitet och öppna dörren för andra attacker.

  • Ändringar av obehöriga register: Ändringar i Windows-registret eller systeminställningar som påverkar enhetens säkerhetsstatus.

  • Manipulering av startprocesser: Försök att ändra startprocessen, vilket kan leda till inläsning av skadlig kod under start.

Potentiellt oönskat program (PUA)

Vårt PUA-skydd syftar till att skydda användarnas produktivitet och säkerställa roliga Windows-upplevelser. Det här skyddet hjälper till att ge mer produktiva, högpresterande och härliga Windows-upplevelser. Anvisningar om hur du aktiverar PUA-skydd i Chromium-baserade Microsoft Edge och Microsoft Defender Antivirus finns i Identifiera och blockera potentiellt oönskade program.

PUA:er betraktas inte som skadlig kod.

Microsoft använder specifika kategorier och kategoridefinitioner för att klassificera programvara som en PUA.

  • Annonseringsprogram: Programvara som visar annonser eller kampanjer, eller uppmanar dig att slutföra undersökningar för andra produkter eller tjänster i annan programvara än sig själv. Detta inkluderar programvara som infogar annonser på webbsidor.

  • Torrent-programvara (endast Enterprise): Programvara som används för att skapa eller ladda ned torrents eller andra filer som specifikt används med peer-to-peer-fildelningstekniker.

  • Programvara för kryptering (endast enterprise): Programvara som använder dina enhetsresurser för att bryta kryptovalutor.

  • Paketering av programvara: Programvara som erbjuder att installera annan programvara som inte har utvecklats av samma entitet eller som inte krävs för att programvaran ska köras. Dessutom programvara som erbjuder att installera annan programvara som kvalificerar som PUA baserat på de kriterier som beskrivs i det här dokumentet.

  • Marknadsföringsprogram: Programvara som övervakar och överför användarnas aktiviteter till andra program eller tjänster än sig själv för marknadsföringsforskning.

  • Programvara för undvikande: Programvara som aktivt försöker undvika identifiering av säkerhetsprodukter, inklusive programvara som beter sig annorlunda i närvaro av säkerhetsprodukter.

  • Dåligt branschrykte: Programvara som betrodda säkerhetsleverantörer identifierar med sina säkerhetsprodukter. Säkerhetsbranschen är dedikerad för att skydda kunder och förbättra deras upplevelser. Microsoft och andra organisationer inom säkerhetsbranschen utbyter kontinuerligt kunskap om filer som vi har analyserat för att ge användarna bästa möjliga skydd.

Sårbar programvara

Sårbar programvara är ett program eller kod som har säkerhetsbrister eller svagheter som kan utnyttjas av angripare för att utföra olika skadliga och potentiellt destruktiva åtgärder. Dessa säkerhetsproblem kan bero på oavsiktliga kodfel eller designfel, och om de utnyttjas kan det leda till skadliga aktiviteter som obehörig åtkomst, behörighetseskalering, manipulering med mera.

Sårbara drivrutiner

Trots strikta krav och granskningar för kod som körs i kernel är enhetsdrivrutiner fortfarande mottagliga för olika typer av sårbarheter och buggar. Exempel är minnesskada och godtyckliga läs- och skrivfel, som kan utnyttjas av angripare för att utföra mer betydande skadliga och destruktiva åtgärder – åtgärder som vanligtvis är begränsade i användarläge. Att avsluta kritiska processer på en enhet är ett exempel på en sådan skadlig åtgärd.