Една от най-големите цели на Microsoft за всички потребители на Windows е сигурността и би било интересно да се знае как Microsoft идентифицира злонамерен софтуер^(Malware) и потенциално нежелани приложения^{(Potentially Unwanted Applications)} . Наскоро говорихме за блокиране на потенциално нежелано приложение в Edge^{(Potentially Unwanted Application blocking in Edge,)} и това е един от начините да се уверите, че изживяването с Windows остава безопасно.

Microsoft използва многостранен подход, за да помогне на своите клиенти да управляват своите рискове.

Този подход включва три ключови елемента:

1. Висококачествени актуализации за сигурност – използване на инженерни практики от световна класа за създаване на висококачествени актуализации за сигурност, които могат да бъдат разгърнати уверено в над милиард различни системи в екосистемата на компютъра и да помогнат на клиентите да намалят до минимум прекъсванията в бизнеса си;
2. ^(Community)Защита, базирана на общността – Microsoft си партнира с много други страни, когато разследва потенциални уязвимости в софтуера на Microsoft . Microsoft се стреми да смекчи използването на уязвимости чрез съвместната сила на индустрията и чрез партньори, обществени организации, клиенти и изследователи по сигурността. Този подход помага да се сведат до минимум потенциалните смущения в бизнеса на клиентите на Microsoft ;
3. Изчерпателен^{(Comprehensive)} процес на отговор на сигурността – използващ цялостен процес за реакция на сигурността, който помага на Microsoft ефективно да управлява инциденти със сигурността, като същевременно осигурява предвидимостта и прозрачността, от които клиентите се нуждаят, за да сведат до минимум прекъсванията в бизнеса си.

Невъзможно е напълно да се предотврати въвеждането на уязвимости по време на разработването на мащабни софтуерни проекти. Докато хората пишат софтуерен код, нито един софтуер не е перфектен и ще се допускат грешки, които водят до несъвършенства в софтуера. Някои несъвършенства („бъгове“) просто пречат на софтуера да функционира точно както е предвидено, но други грешки може да представляват уязвимости. Не всички уязвимости са еднакви; някои уязвимости няма да бъдат експлоатирани, защото специфични смекчавания не позволяват на нападателите да ги използват. Въпреки това^{(Nevertheless)} , известен процент от уязвимостите, които съществуват в даден софтуер, представляват потенциала да бъдат експлоатирани.

Как Microsoft идентифицира злонамерен софтуер^(Malware) и ПУП^(PUPs)

Четирите основни основи или критерия за класификации от Microsoft използва са:

1. Зловреден софтуер или злонамерен софтуер
2. Нежелан софтуер
3. Обратна връзка на потребителите
4. Потенциално нежелани приложения^{(Applications)} ( PUA ) или потенциално нежелани програми^(Programs) ( PUP ).

Част от софтуера не е непременно вреден, но разваля изживяването с Windows . Те го правят или като инсталират приложения без знанието на потребителя, или обслужват реклами без съгласие.

1] Зловреден софтуер

Това са приложения и софтуер, които компрометират сигурността на потребителите. Те могат да откраднат вашата лична информация, информация за кредитна карта и дори да заключат вашите файлове. Последният се нарича Ransomware , който е една от най-лошите форми на зловреден софтуер, които сме виждали през последните години. Това е една от причините, поради които сигурността на Windows^{(Windows Security)} въведе достъп до папка на контролера и OneDrive Personal Vault.

Ето списъка с методите или процесите, които Microsoft класифицира, за да идентифицира софтуера като злонамерен софтуер:

• Задна врата
• Програма за изтегляне
• капкомер
• Експлоатирайте
• Hacktool
• Макро вирус
• Обфускатор
• Крадец на парола
• Ransomware
• Мошен софтуер за сигурност
• троянски кон
• Троянски кликер
• червей.

Свързани:  ^(Related: ) Разлика между вирус, троянски кон, червей, рекламен софтуер, шпионски софтуер, руткит, злонамерен софтуер, бекдор и т.н.

2] Нежелан софтуер

Това е софтуерът, който нарушава работата ви с Windows. Според Microsoft софтуерът трябва да държи потребителя под контрол, а не обратното. В зависимост от поведението, Microsoft може да идентифицира и след това да предупреди потребителя за всички нежелани приложения, които попадат в тези категории.

• Липса на избор
• Липса на контрол
• Монтаж и демонтаж
• Реклама и реклами.

Липса на избор^{(Lack of choice)}

Софтуер без ясно намерение, прехвърляне на данни във фонов режим, инсталиране или премахване на софтуер, скриване от потребителите попадат в тази категория. Microsoft също така класифицира нежелания софтуер, ако той задейства фалшиви аларми за здравето на вашето устройство или поиска плащане, за да го поправи. Има много софтуери, които твърдят, че ускоряват вашия компютър. Те го правят, като създават фалшиви твърдения и след това ви предлагат да закупите професионалната версия, за да я поправите.

Липса на контрол^{(Lack of control)}

Всеки софтуер, който поема изживяването на браузъра, променя настройките за търсене, пренасочва уеб трафика без съгласие или променя съдържанието без съгласието на потребителя. Виждали сме много софтуер, който използва за промяна на търсачката по подразбиране или за инсталиране на ленти с инструменти по време на инсталацията. Може би един от най-досадните проблеми.

Лош опит при инсталиране и деинсталиране^{(Poor Installation and Uninstallation Experience)}

Някои приложения не се деинсталират напълно, дори когато ги деинсталирате ръчно. Те оставят след себе си програми, които продължават да правят нещо грубо на системата. Някои от тях правят всичко възможно да не бъдат деинсталирани, като се крият от Add/Remove на програми или подвеждащи подкани или изскачащи прозорци, когато се опитате да го деинсталирате.

Реклама и реклами^{(Advertising and advertisements)}

Въпреки че е добре да се рекламира, но трябва да е необходимо съгласието на потребителя. Някои приложения рекламират своя вътрешен софтуер или софтуер на трети страни, за да правят пари. Най-лошото е, че те ви карат да щракнете върху такава реклама или като изтегляте файлове, или отваряте уеб страница. Те дори блокират целия изглед и има вероятност никога да не намерите бутон за затваряне за подобни реклами.

3] Обратна връзка на потребителите

Ако видите или изпитате такъв софтуер, винаги можете да изпратите софтуер за анализ^{(submit a software for analysis)} .  Microsoft също използва Windows Security във връзка с това, което улеснява потребителите да докладват за такива приложения. Ако много потребители докладват за софтуер много пъти, това повдига червен флаг.

Класически пример е CCleaner . В един момент това беше задължително приложение за всички потребители на Windows . По-късно много потребители съобщиха, че помощната програма вече не може да бъде препоръчана. Microsoft Answers в черния списък CCleaner връзки .

4 ] Потенциално^{(] Potentially)} нежелано приложение ( PUA )

Потенциално нежеланите приложения^{(Potentially Unwanted Applications)} не са злонамерен софтуер, но Microsoft блокира изтеглянето на всяко приложение или софтуер, който попада в горните категории и други. PUAs са онези приложения, които показват следното поведение или попадат в тези категории:

• Реклама
• Торент^(Torrent)
• Криптомайнинг^{(Cryptomining)}
• Пакетиране^(Bundling)
• Маркетинг
• Избягване
• Лоша репутация в индустрията.

Надявам се, че публикацията ви помогна да разберете какво е необходимо на Microsoft или вероятно на която и да е компания за сигурност, за да идентифицира зловреден софтуер и потенциално нежелани приложения.

How does Microsoft identify Malware & Potentially Unwanted Applications

One of the biggest goals of Microѕoft for all Windowѕ users is security, and it woυld be іnteresting to know how Microsoft idеntifies Malware and Potentially Unwanted Applications. We recently talked about Potentially Unwanted Application blocking in Edge, and it is one of the ways to make sure Windows experience remains safe.

Microsoft uses a multipronged approach to help its customers manage their risks.

This approach includes three key elements:

1. High quality security updates – using world class engineering practices to produce high quality security updates that can be confidently deployed to over a billion diverse systems in the PC eco-system and help customers minimize disruptions to their businesses;
2. Community based defense – Microsoft partners with many other parties when investigating potential vulnerabilities in Microsoft software. Microsoft looks to mitigate exploitation of vulnerabilities through the collaborative strength of the industry and through partners, public organizations, customers, and security researchers. This approach helps to minimize potential disruptions to Microsoft’s customers’ businesses;
3. Comprehensive security response process – employing a comprehensive security response process that helps Microsoft effectively manage security incidents while providing the predictability and transparency that customers need in order to minimize disruptions to their businesses.

It is impossible to completely prevent vulnerabilities from being introduced during the development of large-scale software projects. As long as human beings write software code, no software is perfect and mistakes that lead to imperfections in software will be made. Some imperfections (“bugs”) simply prevent the software from functioning exactly as intended, but other bugs may present vulnerabilities. Not all vulnerabilities are equal; some vulnerabilities won’t be exploitable because specific mitigations prevent attackers from using them. Nevertheless, some percentage of the vulnerabilities that exist in a given piece of software poses the potential to be exploitable.

How does Microsoft identify Malware & PUPs

The four major basis or criteria for classifications by Microsoft uses are:

1. Malicious Software or Malware
2. Unwanted software
3. Consumer Feedback
4. Potentially Unwanted Applications (PUA) or Potentially Unwanted Programs (PUP).

Some of the software is not necessarily harmful, but it does spoil Windows experience. They do it by either installing applications without user knowledge or serve advertisements without consent.

1] Malicious software

These are applications and software which compromise user security. They can steal your personal information, credit card information, and even lock down your files. The last one is called Ransomware, which is one of the worst forms of malware we have seen in recent years.  It is one of the reasons why Windows Security introduced Controller Folder Access and OneDrive Personal Vault.

Here is the list of methods or process Microsoft classifies to identify the software as a Malware:

• Backdoor
• Downloader
• Dropper
• Exploit
• Hacktool
• Macro virus
• Obfuscator
• Password stealer
• Ransomware
• Rogue security software
• Trojan
• Trojan clicker
• Worm.

Related:  Difference between Virus, Trojan, Worm, Adware, Spyware, Rootkit, Malware, Backdoor, etc

2] Unwanted software

These are the software that disrupts your Windows experience. According to Microsoft, software should keep the user in control, and not the other way round. Depending on the behavior, Microsoft can identify and then warn the user about any Unwanted Applications that fall into these categories.

• Lack of choice
• Lack of control
• Installation and removal
• Advertising and advertisements.

Lack of choice

A software without clear intent, transfer data in the background, installs or removes software, hides from users fall into this category. Microsoft also classifies unwanted software if it triggers false alarms about your device’s health or asks for payment to fix it. There are tons of software that claim to speed up your computer. They do it by creating false claims and then offer you to buy the pro version to fix it.

Lack of control

Any software which takes over browser experience, change search settings, redirect web traffic without consent, or modify the content without user consent. We have seen a lot of software which used to change the default search engine or install toolbars during installation. Probably one of the most annoying problems.

Poor Installation and Uninstallation Experience

Some apps do not entirely uninstall even when you manually uninstall them. They leave behind programs that keep doing something rouge to the system. Some of them try their best not to get uninstalled by either hiding from Add/Remove programs or misleading prompts or pop-ups when you try to uninstall it.

Advertising and advertisements

While it is ok to advertise, but it should take user consent. Some apps advertise their inhouse software or third party software to make money. The worst part is that they make you click such an advertisement either by downloading files or opening a webpage. They even block the entire view, and the chances are that you will never find a close button for such advertisements.

3] Consumer Feedback

If you see or experience such software, you can always submit a software for analysis.  Microsoft also uses Windows Security in conjunction with this making it easy for consumers to report about such applications. If a lot of users report a software a lot of times, it raises a red flag.

A classic example is CCleaner. At one point in time, it was a must-have application for all Windows users. Later many users reported that the utility could not be recommended anymore. Microsoft Answers blacklisted CCleaner links.

4] Potentially unwanted application (PUA)

Potentially Unwanted Applications are not malware, but Microsoft blocks download of any application or software that falls into the above categories and more. PUAs are those applications which show the following behaviors or fall into these categories:

• Advertising
• Torrent
• Cryptomining
• Bundling
• Marketing
• Evasion
• Poor industry reputation.

I hope the post helped you to understand what it takes for Microsoft or probably any security company to identify malware and potentially unwanted applications.

Related posts

• Изпращане на зловреден софтуер: Къде да изпратите файлове със зловреден софтуер на Microsoft и други?

• Как да премахнете Virus Alert от Microsoft на компютър с Windows

• Процес на логото на Microsoft Windows в диспечера на задачите; Вирус ли е?

• Как да добавите Zoom към Microsoft Teams

• Microsoft Intune не се синхронизира? Принудително синхронизиране на Intune в Windows 11/10

• Грешка при влизане в акаунт в Microsoft 0x800706d9 в Windows 10

• Как да персонализирате страницата с нов раздел на Microsoft Edge

• Какво е ASD файл и как да го отворя в Microsoft Word?

• Как да настроите или промените началната страница на Microsoft Edge в Windows 11/10

• Поправете кодовете за грешка при инсталиране и актуализиране на Microsoft Edge

• Какво представлява Microsoft Patch Tuesday? Разписание за вторник

• Поправете грешка в Microsoft Store 0x87AF0001

• Как да наложите Google SafeSearch в Microsoft Edge в Windows 10

• Топ 5 задължителен безплатен софтуер от Microsoft

• Съвети и трикове за браузъра Microsoft Edge за Windows 11/10

• Подробности за Windows 365 Cloud PC, цена, дата на пускане, често задавани въпроси

• Поправете грешка при влизане в Microsoft Store 0x801901f4 в Windows 11/10

• Деактивирайте клавишната комбинация F12 за Microsoft Edge Developer Tools

• Управлявайте наследени уеб приложения с портала за списък със сайтове в режим Enterprise на Microsoft

• Как да изключите знаците за абзаци в Microsoft Word