微软如何识别恶意软件和可能不受欢迎的应用程序

来源:https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria

微软的目标是提供一个愉快和富有成效的Windows体验,通过工作来确保你是安全和控制你的设备。当您下载、安装和运行软件时,您可以访问信息和工具来安全地这样做。微软通过识别和分析软件和在线内容来帮助你免受潜在的威胁。然后将这些信息与本文中描述的标准进行比较。

您可以通过提交软件进行分析来参与这个过程,以确保我们的安全解决方案覆盖了不需要的软件。

由于新形式的恶意软件和可能不受欢迎的应用程序正在迅速开发和分发,微软保留在不事先通知或公告的情况下调整、扩展和更新这些标准的权利。

一、恶意软件

恶意软件是应用程序和其他代码(如软件)的总称,微软更详细地将其归类为恶意软件(malicious software)或不想要的软件(unwanted software)。

1.1 恶意软件

恶意软件是危害用户安全的应用程序或代码。恶意软件可能会窃取你的个人信息,锁定你的设备,直到你支付赎金,使用你的设备发送垃圾邮件,或下载其他恶意软件。通常,恶意软件想要欺骗,作弊,或骗取用户,使他们处于脆弱的状态。

微软将大部分恶意软件分为以下几类:

(1)后门(Backdoor):一种恶意软件,让恶意黑客远程访问和控制你的设备。

(2)下载软件(Downloader):一种将其他恶意软件下载到你的设备上的恶意软件。它必须连接互联网下载文件。

(3)Dropper:一种安装其他恶意软件到你的设备上的恶意软件。与下载软件不同,Dropper不需要连接到互联网来下载(drop)恶意文件。被下载(drop)的文件通常嵌入到Dropper本身。

(4)漏洞利用(Exploit):利用软件漏洞访问你的设备并执行其他任务的一段代码,例如安装恶意软件。查看更多关于漏洞利用的信息。

(5)黑客工具(Hacktool):一种工具,可以用来获得未经授权的访问您的设备。

(6)宏病毒(Macro virus):一种通过受感染的文档(如Microsoft Word或Excel文档)传播的恶意软件。当你打开一个被感染的文件时,病毒就会运行。

(7)模糊处理(Obfuscator):一种恶意软件,隐藏其代码和目的,使它更加难以安全软件来检测或删除。

(8)密码窃取者(Password stealer):一种收集你的个人信息的恶意软件,比如用户名和密码。它通常与键盘记录程序一起工作,键盘记录程序收集和发送关于你按下的键和你访问的网站的信息。

(9)勒索软件(Ransomware):一种恶意软件,它会对你的文件进行加密或进行其他修改,从而阻止你使用你的设备。然后,它会显示一个勒索条,说明你必须支付赎金,完成调查,或执行其他行动之前,你可以再次使用你的设备。查看勒索软件的更多信息。

(10)流氓安全软件(Rogue security software):伪装成安全软件但不提供任何保护的恶意软件。这类恶意软件通常会显示设备上不存在威胁的警报。它还试图说服你为它的服务付费。

(11)特洛伊(Trojan):一种试图使自己看起来无害的恶意软件。与病毒或蠕虫不同,木马不会自行传播。相反,它试图寻找合法的和欺骗用户下载和安装它。一旦安装,木马执行各种恶意活动,如窃取个人信息,下载其他恶意软件,或让攻击者访问您的设备。

(12)木马点击器(Trojan clicker):一种自动点击网站或应用程序上的按钮或类似控件的木马。攻击者可以使用该木马点击在线广告。这些点击可以影响在线投票或其他跟踪系统,甚至可以在你的设备上安装应用程序。

(13)蠕虫(Worm):一种传播到其他设备的恶意软件。蠕虫可以通过电子邮件、即时消息、文件共享平台、社交网络、网络共享和移动硬盘传播。复杂的蠕虫利用软件漏洞进行传播。

1.2 不需要的软件

微软认为你应该控制你的Windows体验。运行在Windows上的软件应该能让你通过明智的选择和可访问的控制来控制你的设备。微软识别软件行为,以确保你的控制。我们将没有完全展示这些行为的软件归类为“无用软件”。

1、缺乏选择(Lack of choice)

你必须被告知你的设备上发生了什么,包括软件做了什么以及它是否处于活动状态。

缺乏选择(Lack of choice)的软件可能:

(1)未能就软件的行为及其目的和意图提供显著的通知。

(2)未能清楚指示软件何时处于活动状态,并可能试图隐藏或掩饰其存在。

(3)未经您的许可、交互或同意安装、重新安装或删除软件。

(4)安装其他软件,但不清楚其与主软件的关系。

(5)从浏览器或操作系统中绕过用户同意对话框。

(6)谎称是微软的软件。

软件不能误导或强迫你做出关于你的设备的决定。这被认为是限制你选择的行为。除了前面的列表外,缺乏选择(Lack of choice)的软件可能:

(1)夸大设备的健康状况。

(2)对设备上的文件、注册表项或其他项做出误导或不准确的声明。

(3)以一种令人担忧的方式显示你的设备的健康状况,并要求支付费用或采取某些行动来解决所谓的问题。

存储或传输您的活动或数据的软件必须:

(1)通知你并得到同意。软件不应该包含将其配置为隐藏与存储或传输数据相关的活动的选项。

2、缺乏控制(Lack of control)

你必须能够控制你的设备上的软件。您必须能够启动、停止或以其他方式撤销对软件的授权。

缺乏控制(Lack of control)的软件可能:

(1)阻止或限制您查看或修改浏览器功能或设置。

(2)未经授权打开浏览器窗口。

(3)在未得到通知和同意的情况下重定向web流量。

(4)未经您的同意修改或操作网页内容。

更改您的浏览体验的软件必须仅使用浏览器支持的可扩展模型进行安装、执行、禁用或删除。不提供支持的可扩展性模型的浏览器被认为是不可扩展的,不应该修改。

3、安装和卸载

您必须能够启动、停止或以其他方式撤销对软件的授权。软件安装前应得到您的同意,并且它必须为您提供一种简单明了的方式来安装、卸载或禁用它。

提供糟糕安装体验的软件可能会打包或下载其他被微软列为“不需要的软件”。

提供糟糕卸载体验的软件可能:

(1)当您试图卸载它时,显示令人困惑或误导的提示或弹出窗口。

(2)未能使用标准的安装/卸载功能,如添加/删除程序。

4、艺术和广告

在软件本身之外推广产品或服务的软件可能会干扰您的计算体验。在安装显示广告的软件时,您应该有明确的选择和控制。

由软件呈现的广告必须:

(1)包括用户关闭广告的明显方式。关闭广告的行为不得再打开其他广告。

(2)包括展示广告的软件名称。

展示这些广告的软件必须:

(1)为软件提供一个标准的卸载方法,使用与广告中相同的名称。

向你展示的广告必须:

(1)要与网站内容区分开来。

(2)不误导、欺骗或混淆。

(3)不包含恶意代码。

(4)不调用文件下载。

5、消费者的意见

微软拥有一个全球范围的分析师和情报系统网络,你可以在那里提交分析软件。你的参与有助于微软快速识别新的恶意软件。经过分析,微软为满足上述标准的软件创建了安全情报。该安全情报将该软件识别为恶意软件,所有用户均可通过Windows Defender杀毒软件和其他微软防病毒解决方案访问该软件。

二、可能不需要的应用程序(PUA)

我们的PUA保护旨在保障用户的生产力和确保愉快的Windows体验。这种保护有助于提供更有效的,性能,和愉快的Windows体验。有关如何在基于chrome的Microsoft Edge和Windows Defender防病毒中启用PUA保护的说明,请参见检测和阻止可能不需要的应用程序。

PUAs不被认为是恶意软件。

Microsoft使用特定的类别和类别定义将软件分类为PUA。

(1)广告软件(Advertising software):显示广告或促销活动,或提示您在软件中完成其他产品或服务的调查的软件。这包括在网页中插入广告的软件。

(2)Torrent软件(Torrent software):用于创建或下载torrents或其他专门用于点对点文件共享技术的文件的软件。

(3)加密软件(Cryptomining software):利用你的设备资源来挖掘加密货币的软件。

(4)捆绑软件(Bundling software):提供安装其他软件的软件,这些软件不是由同一实体进行数字签名的。另外,提供安装其他符合PUA标准的软件的软件。

(5)营销软件(Marketing software):监控用户活动并将其传输给除自身之外的应用程序或服务进行营销研究的软件。

(6)规避软件(Evasion software):主动试图逃避安全产品检测的软件,包括在安全产品存在时行为不同的软件。

(7)糟糕的行业声誉(Poor industry reputation):受信任的安全提供商通过其安全产品检测到的软件。安全行业致力于保护客户并改善他们的体验。微软和其他安全行业的组织不断地交换我们所分析的文件的知识,为用户提供最好的保护。

你可能感兴趣的:(微软如何识别恶意软件和可能不受欢迎的应用程序)