Microsoft 如何識別惡意代碼和潛在的垃圾應用程式

文章
04/27/2024

Microsoft 旨在藉由努力確保您安全且能控制裝置，來提供令人滿意且具生產力的 Windows 體驗。 Microsoft 藉由識別和分析軟體和在線內容，協助您抵禦潛在威脅。當您下載、安裝及執行軟體時，我們會檢查已下載程式的信譽，並確保您受到保護，免於遭受已知的威脅。系統也會警告您我們不知道的軟體。

您可以提交未知或可疑的軟體進行分析，以協助 Microsoft。這有助於確保我們的系統會掃描未知或可疑的軟體，以開始建立信譽。深入瞭解提交檔案以進行分析

下一節提供我們用於應用程式的分類概觀，以及導致該分類的行為類型。

注意事項

新形式的惡意代碼和潛在的垃圾應用程式正在快速開發和散發。下列清單可能不完整，且 Microsoft 保留在沒有事先通知或公告的情況下調整、展開和更新這些項目的權利。

未知 – 無法辨識的軟體

沒有防病毒軟體或保護技術是完美的。識別和封鎖惡意網站和應用程式，或信任新發行的程序和憑證需要一些時間。由於因特網上有將近 20 億個網站和軟體持續更新和發行，因此不可能有每個單一網站和程式的相關信息。

將未知/不常下載的警告視為可能未偵測到惡意代碼的早期警告系統。一般而言，從新惡意代碼釋放到識別惡意代碼的時間，會有延遲。並非所有不常見的程式都是惡意的，但對於一般使用者而言，未知類別的風險會更高。未知軟體的警告不是區塊。如果使用者想要的話，可以選擇正常下載並執行應用程式。

收集足夠的數據之後，Microsoft 的安全性解決方案就可以做出決定。找不到任何威脅，或將應用程式或軟體分類為惡意代碼或潛在的垃圾軟體。

惡意程式碼

惡意代碼是應用程式和其他程式代碼的概略名稱，例如軟體，Microsoft 會更細微地分類為 惡意軟體 或 垃圾軟體。

惡意軟體

惡意軟體是危害使用者安全性的應用程式或程序代碼。惡意軟體可能會竊取您的個人資訊、鎖定您的裝置，直到您支付勒索、使用您的裝置傳送垃圾郵件，或下載其他惡意軟體為止。一般而言，惡意軟體會想要詐騙、詐騙或詐騙使用者，讓他們處於易受攻擊的狀態。

Microsoft 會將大部分惡意軟體分類為下列其中一個類別：

後門： 一種惡意代碼，可讓惡意駭客從遠端訪問並控制您的裝置。
命令和控件： 一種惡意代碼，會感染您的裝置，並與駭客的命令和控制伺服器建立通訊以接收指示。建立通訊之後，駭客可以傳送命令來竊取數據、關閉裝置並重新啟動，以及中斷 Web 服務。
下載： 將其他惡意代碼下載到裝置的一種惡意代碼。它必須連線到因特網才能下載檔。
滴管： 一種將其他惡意代碼檔案安裝到裝置上的惡意代碼類型。不同於下載者，投送者不需要連線到因特網即可卸除惡意檔案。卸除的檔案通常會內嵌在投送工具本身中。
利用： 一段程式代碼，使用軟體弱點來存取您的裝置並執行其他工作，例如安裝惡意代碼。
Hacktool： 一種工具類型，可用來取得未經授權的裝置存取權。
宏病毒：一種散佈在受感染檔中的惡意代碼，例如 Microsoft Word 或 Excel 檔。當您開啟受感染的檔時，就會執行病毒。
模糊器： 一種隱藏其程式代碼和用途的惡意代碼，讓安全性軟體更難偵測或移除。
密碼竊取者： 收集個人資訊的惡意代碼類型，例如使用者名稱和密碼。它通常會與 Keylogger 一起運作，以收集並傳送您按下之按鍵的相關信息，以及您造訪的網站。
勒索軟體： 一種會加密檔案或進行其他修改的惡意代碼類型，可防止您使用裝置。然後會顯示一則勒索注意事項，指出您必須付款或執行其他動作，才能再次使用您的裝置。請參閱勒索軟體的詳細資訊。
Rogue 安全性軟體： 偽裝成安全性軟體但不提供任何保護的惡意代碼。這種類型的惡意代碼通常會顯示裝置上不存在威脅的警示。它也會嘗試說服您支付其服務費用。
木馬： 嘗試顯示為無害的惡意代碼類型。不同於病毒或蠕蟲，特洛伊木馬病毒不會自行散佈。相反地，它會嘗試合法地誘使用戶下載並安裝它。安裝之後，特洛伊木馬程式會執行各種惡意活動，例如竊取個人資訊、下載其他惡意程式碼，或讓攻擊者存取您的裝置。
特洛伊木馬程式點擊器： 一種在網站或應用程式上自動按下按鈕或類似控制件的特洛伊木馬程式類型。攻擊者可以使用此特洛伊木馬程式來按下在線廣告。這些點選可能會扭曲在線輪詢或其他追蹤系統，甚至可以在您的裝置上安裝應用程式。
蠕蟲： 散佈至其他裝置的一種惡意代碼。蠕蟲可以透過電子郵件、立即訊息、檔案共用平台、社交網路、網路共用和抽取式磁碟散佈。複雜的蠕蟲利用軟體弱點來傳播。

不想要的軟體

Microsoft 認為您應該能夠控制您的 Windows 體驗。在 Windows 上執行的軟體應該透過明智的選擇和可存取的控件，讓您能夠控制裝置。 Microsoft 會識別可確保您保持控制的軟體行為。我們會將未完全示範這些行為的軟體分類為「垃圾軟體」。

缺少選擇

您必須收到裝置上發生什麼情況的通知，包括軟體的功能，以及其是否作用中。

顯示缺乏選擇的軟體可能會：

無法提供軟體行為及其用途和意圖的顯著注意事項。
無法清楚指出軟體何時在使用中。它也可能嘗試隱藏或偽裝其存在狀態。
不需您的許可權、互動或同意，即可安裝、重新安裝或移除軟體。
安裝其他軟體，但未清楚指出其與主要軟體的關聯性。
從瀏覽器或操作系統規避使用者同意對話框。
錯誤地宣告為來自 Microsoft 的軟體。

軟體不得誤導或強制您對裝置做出決策。它會被視為會限制您選擇的行為。除了上一個清單之外，展示缺乏選擇的軟體可能：

顯示有關裝置健康情況的過分說明宣告。
對裝置上的檔案、登錄專案或其他專案提出誤導或不正確的宣告。
以有關裝置健康情況的警覺方式顯示宣告，並要求付款或採取特定動作，以修正所要求的問題。

儲存或傳輸活動或資料的軟體必須：

請通知您並取得同意。軟體不應包含設定為隱藏與儲存或傳輸數據相關聯之活動的選項。

缺乏控制

您必須能夠控制裝置上的軟體。您必須能夠啟動、停止或撤銷軟體的授權。

顯示缺乏控制權的軟體可能會：

防止或限制您檢視或修改瀏覽器功能或設定。
在未經授權的情況下開啟瀏覽器視窗。
重新導向網路流量，而不需通知並取得同意。
在未經您同意的情況下修改或操作網頁內容。

變更瀏覽體驗的軟體只能使用瀏覽器支援的擴充性模型來安裝、執行、停用或移除。不提供支持擴充性模型的瀏覽器會被視為不可擴充，不應修改。

安裝和移除

您必須能夠啟動、停止或撤銷授與軟體的授權。軟體應該在安裝之前取得您的同意，而且它必須提供清楚且直接的方式，讓您安裝、卸載或停用它。

提供 不良安裝體驗 的軟體可能會配套或下載 Microsoft 分類的其他「垃圾軟體」。

提供 不良移除體驗 的軟體可能會：

當您嘗試卸載時，會出現令人混淆或誤導的提示或彈出視窗。
無法使用標準安裝/卸載功能，例如新增/移除程式。

廣告和廣告

在軟體本身之外升級產品或服務的軟體可能會干擾您的運算體驗。安裝顯示廣告的軟體時，您應該有明確的選擇和控制。

軟體所呈現的廣告必須：

包含使用者關閉廣告的明顯方式。關閉廣告的動作不得開啟另一個廣告。
包含顯示廣告的軟體名稱。

顯示這些公告的軟體必須：

為軟體提供標準卸載方法，其名稱與其顯示的公告中所示的名稱相同。

向您顯示的廣告必須：

可與網站內容區別。
不誤導、粗心或混淆。
不包含惡意代碼。
不叫用檔案下載。

消費者意見

Microsoft 維護全球的分析師和智慧系統網路，您可以在其中提交軟體進行分析。您的參與可協助 Microsoft 快速識別新的惡意代碼。分析之後，Microsoft 會針對符合所述準則的軟體建立安全情報。此安全性情報會將軟體識別為惡意代碼，並可透過 Microsoft Defender 防病毒軟體和其他 Microsoft 反惡意代碼解決方案提供給所有使用者。

潛在的垃圾應用程式 (PUA)

我們的PUA保護旨在保護用戶生產力，並確保可享受的 Windows 體驗。此保護有助於提供更具生產力、高效能且令人滿意的 Windows 體驗。如需如何在以 Chromium 為基礎的 Microsoft Edge 中啟用 PUA 保護和 Microsoft Defender 防病毒軟體的指示，請參閱偵測和封鎖潛在的垃圾應用程式。

PUA 不會被視為惡意代碼。

Microsoft 會使用特定類別和類別定義，將軟體分類為 PUA。

廣告軟體： 顯示廣告或促銷的軟體，或提示您完成軟體本身以外的其他產品或服務問卷調查。這包括將廣告插入網頁的軟體。
僅限企業 (的 Torrent 軟體) ： 用來建立或下載 Torrents 或其他特別用於點對點檔案共享技術之檔案的軟體。
僅限加密軟體 (企業版) ： 使用裝置資源來挖掘加密貨幣的軟體。
統合軟體： 提供安裝其他軟體的軟體，這些軟體不是由相同的實體所開發，或是軟體執行時不需要。此外，提供安裝其他軟體的軟體，這些軟體會根據本檔中所述的準則來限定為 PUA。
營銷軟體： 軟體，可監視用戶的活動，並將其傳輸至本身以外的應用程式或服務，以進行行銷研究。
規避軟體： 主動嘗試規避安全性產品偵測的軟體，包括在安全性產品出現時行為不同的軟體。
產業信譽不佳： 受信任的安全性提供者會使用其安全性產品偵測軟體。安全性產業致力於保護客戶並改善其體驗。 Microsoft 和安全性產業中的其他組織會持續交換我們所分析檔案的相關知識，為使用者提供最佳的保護。