Вредоносные и потенциально нежелательные программы — правила Microsoft

Microsoft приходится заботиться о безопасности своих клиентов, иначе она бы никогда не смогла добиться статуса одной из ведущих мировых корпораций в IT-индустрии. Компания предоставляет пользователям программный инструментарий для защиты их устройств от различных видов кибер-угроз, а также информирует о мерах, которые необходимо предпринять для защиты личных данных, хранимых на компьютерах и мобильных устройствах под управлением Windows.

Одна из мер, помогающих компании выявлять угрозы — это анализ программ, отправляемых самими пользователями ОС на их обработку и изучение в аналитический центр Microsoft. В соответствии с определенными критериями, о которых пойдет речь далее, такие приложения причисляются к той или иной категории вредоносных и/или потенциально нежелательных программ.

Поскольку новые виды вредоносных и потенциально нежелательных программ быстро разрабатываются и распространяются, компания Microsoft оставляет за собой право изменения, расширения и обновления критериев, наличие которых у анализируемых приложений позволяют отнести их к той или иной категории угроз.

Вредоносные программы (Malicious software или Malware)

Корпорация Microsoft трактует понятие "Malware" как сокращенный термин от "Malicious software". Malware — это обобщенное название программного обеспечения, к которым Microsoft относит все виды вредоносных и потенциально нежелательных программ или отрывков кода, созданных специально для нанесения вреда компьютерам, серверам или компьютерным сетям.

Вредоносное ПО может украсть личную информацию, полностью заблокировать компьютер до тех пор, пока пользователь не выполнит условия злоумышленника (как правило, это перевод денежных средств), использовать зараженный ПК для рассылки спама или загрузки и распространения других вредоносных программ. В общем и целом, такие программы обманывают, ставят пользователей в уязвимое положение (шантажируют) или выполняют другие незаконные действия.

Корпорация Microsoft относит большинство существующих сегодня вредоносных программ в одну из следующих категорий:

  • Бэкдор (Backdoor, "Черный ход"). Данный вид вредоносных программ обеспечивает злоумышленника возможностью удаленного доступа и управления зараженным компьютерам. Такая программа способна выполнять на компьютере вообще любые действия, которые прикажет сделать ей создатель.
  • Даунлоадер/качальщик/загрузчик (Downloader). Вирусная программа, предназначенная для скачивания из интернета различных файлов (как правило, других вирусов и троянов).
  • Дроппер (Dropper или "Бомбосбрасыватель"). Вирус, предназначенный для установки на компьютер других вредоносных программ, которые могут содержаться в коде самого дроппера (чаще всего это так) или скачиваться из интернета.
  • Эксплойт (Exploit). Это большое семейство вирусов, основная задача которых — поиск уязвимостей в системе или отдельной программе с целью использования этой уязвимости для решения задач злоумышленника. Эксплоитами также могут являться отправляемые хакерами последовательные команды, нацеленные на создание уязвимостей с целью дальнейшего их использования (яркий пример — DoS-атака, призванная перегрузить сервер). Большинство взломов компьютерных серверов и сетей начинаются именно с попыток обнаружения или создания "дыр" в системе, для чего и используются эксплоиты.
  • Хактул (HackTool или Hacking Tool). Вредоносная или потенциально-нежелательная программа, предназначенная для взлома определенных приложений. Это своеобразный программный набор инструментов для подмены части кода или выполнения других действия над атакуемой программой. Яркий пример HackTool — любой кряк к платным играм и программным продуктам, делающий их "бесплатными".
  • Макро-вирусы (Macro virus). Макро-вирусы — вредоносный код, который выполняется в программах, поддерживающих написание пользовательский макросов (например, Microsoft Word или Excel). Макро-вирусы могут не только уничтожать/редактировать/пересылать документы, но и выполнять различные действия над другими файлами.
  • Обфускатор (Obfuscator). Программы, предназначенные для спутывания или подмены данных (как правило, исходных кодов других программ). Злоумышленниками обфускаторы могут использоваться для редактирования исходных кодов своих вирусов с целью усложнения их обнаружения антивирусами. Также могут применяться для "обмана" приложений с целью открытия и запуска ими файлов, изначально не предназначенных для обработке в этом приложении.
  • Похитители паролей (Password stealer). Из названия ясно предназначение таких программ — похищение пользовательских паролей из веб-форм или приложений, куда вводятся пароли. Зачастую такие вирусы идут "в комплекте" или являются частью кейлоггеров.
  • Кейлоггер (Keylogger). Семейство шпионских программ, отслеживающих нажатия клавиш, передвижение и клики мышью или вообще любые действия пользователя за компьютером с последующей отправкой собранной информации на компьютер злоумышленника.
  • Вирус-вымагатель/шантажист (Ransomware). Семейство вирусных программ, в основную задачу которых входит выполнение каких-либо вредоносных действий с компьютером и/или данными с целью заставить владельца выплатить выкуп или совершить какое-либо действие. Вирусы-вымагатели блокируют компьютер, шифруют важные файлы (фотографии, видео, документы и т.д.) или вовсе удаляют их без возможности восстановления, заранее отправляя злоумышленнику копии.
  • Псевдоантивирусы (Rogue security software). Программы, представляющиеся пользователю как антивирусы, но на самом деле не являющиеся таковыми ("лекарство пустышка"). В их задачу входит только одно — заставить пользователя приобрести платную версию "антивируса". Для убеждения псевдоантивирусы могут сами заражать или шифровать файлы, а затем "вылечивать/расшифровывать" их. Другими словами, это мошенническое ПО.
  • Троянцы (Трояны, Trojan). Один из самых распространенных видов вирусных программ. Троянцы, как правило, "прикидываются" обычными программами, могут даже быть полезными для пользователя до определенного момента. Пользователь без лишних мыслей устанавливает такую программу и даже работает с ней, а она параллельно выполняет указания злоумышленника. Любой из перечисленных выше типов вирусов может считаться троянцем, если пользователь самовольно установил его себе на компьютер, а его антивирусная программа ничего не заметила.
  • Троянский кликер (Trojan clicker). Вид троянцев, обычно заражающих интернет-браузер (зачастую при установке расширений для браузера). Задача троянского кликера — переход по ссылкам, открытие в браузере рекламных сайтов и выполнения других действий в интернете.
  • Червь (Worm). Семейство вредоносных программ, основная отличительная черта которых — быстрое распространение на другие компьютеры. Черви могут распространяться самыми различными путями — по почте, в сообщениях в мессенджерах, чатах и социальных сетях, в файлах и т.д. И целей у червей может быть множество — от повреждения данных до взлома крупных серверов.

Нежелательное программное обеспечение

К нежелательному программному обеспечению в Microsoft относят приложения, совершающие какие-либо скрытые от системы и/или пользователя действия. В одну из основных задач системы безопасности Windows входит контроль поведения устанавливаемых программ. Если по каким-либо причинам контроль невозможен, система предупреждает пользователей о возможной угрозе со стороны запускаемой программы или даже блокирует ее выполнение.

Отсутствие выбора

Под этим термином в Microsoft понимают выполнение приложением каких-либо действий, которые пользователь не выбирал. Например, при запуске приложения или какой-либо его функции самопроизвольно изменяется домашняя страница в браузере или иные настройки интернет-обозревателя. Т.е. пользователь не выбирал эту опцию, а действие все равно произошло.

Кроме того, отсутствие выбора также может проявляться:

  • При отсутствии достоверной информации со стороны программного обеспечения о его действительном назначении и/или уведомлений о намерениях выполнить то или иное действие. Пример — пользователь скачал и установил видеоконвертер, о чем было указано непосредственно в процессе установки, но вместо этого получил совершенно другую программу.
  • При скрытии своей активности и/или выполнении каких-либо действий в фоновом режиме без предварительного информирования пользователя. Т.е. пользователь закрыл программу, а она продолжила выполнение действий в фоне, потребляя тем самым компьютерные ресурсы, хотя о таком режиме работы не было указано ни в инструкции, ни в пользовательском соглашении — нигде.
  • При установке, удалении, блокировке работы других программ, установленных на компьютере, хотя пользователь не давал на это разрешения.
  • При автоматическом закрытии системных диалоговых окон с согласием на выполнение того или иного действия. Например, программа вносит изменения в настройки системы, для сохранения которых Windows сначала просит разрешения у пользователя, выводя соответствующее диалоговое окно на экран. Но программа самостоятельно "жмет" на кнопку согласия, не предоставляя пользователю иного выбора.
  • При предоставлении заведомо ложной информации о разработчике программы. Чаще всего такое программное обеспечение "притворяется" продуктом Microsoft, которому пользователи доверяют.

Одно из основных требований Microsoft к устанавливаемым программам — они не должны вводить пользователя в заблуждение или принуждать к принятию тех или иных решений относительно компьютера. Специалисты Microsoft также считают это поведением, ограничивающим выбор. Таким образом, в дополнение к предыдущему списку также можно добавить:

  • Отображение недостоверной информации о техническом состоянии компьютера с целью заставить пользователя приобрести какое-либо дополнительное оборудование (как правило, конкретное устройство в конкретном магазине).
  • Отображение недостоверной информации о программной составляющей системы и/или хранимых на жестких дисках файлов (например, реестр Windows имеет много ошибок, в браузере обнаружена какая-нибудь критическая уязвимость, файлы в скором времени получат сильные повреждения и их невозможно будет открыть и т.д.). На подобные уловки идут недобросовестные разработчики программ, предназначенных для устранения тех или иных неполадок (программа, естественно, платная).
  • Вывод на экран всевозможных "системных" (якобы от Windows) ошибок с тревожными заявлениями о состоянии компьютера или самой системы и необходимостью срочного выполнения каких-либо действия или покупки чего-либо для устранения неполадок.

С большой внимательностью следует относиться к программам, которые хранят или куда-либо отсылают пользовательские личные данные или журналы его действий за компьютером. Такие программы:

  • Должны уведомлять о намерении сохранить или переслать личные данные, предоставляя пользователю возможность отказаться от выполнения программой этих действий.
  • Не должны иметь опцию, включение которой позволит ей скрытно пересылать личные данные пользователя, т.е. без возможности отказаться или хотя бы уведомления о том, что действие совершено. Такая опция может присутствовать у некоторых программ, однако она не должна быть включенной по умолчанию (пользователь должен включить ее по собственному желанию).

Отсутствие контроля

Пользователи должны иметь возможность контролировать программное обеспечение, устанавливаемое на компьютер. Под отсутствием контроля в данном случае в Microsoft понимают невозможность пользователем каким-либо образом отозвать данное ранее разрешение программе на выполнение того или иного действия.

Возьмем, к примеру, программное обеспечение для браузеров (большинство нежелательного ПО пишется именно под интернет-обозреватели). Отсутствие контроля над ними со стороны пользователя может проявляться в следующем:

  • Самопроизвольное открытие новых вкладок в браузере и невозможность отключения этой функции.
  • Изменение настроек браузера или блокирование каких-либо его функций, закрытие доступа к изменению настроек или невозможность их просмотра.
  • Перенаправление веб-трафика через удаленные серверы без уведомления пользователя.
  • Модификация и/или манипуляция веб-контентом открытых в браузере страницах.
  • Установка, изменение, удаление, отключение и прочие действия над расширениями к браузеру.

Установка и удаление программ

Пользователи должны иметь возможность по собственному желанию запускать, останавливать или иным образом отзывать данное ранее разрешение программе на работу или выполнение какого-либо действия. Программное обеспечение должно получать согласие пользователя на установку и предоставлять простой и понятный способ инсталляции, удаления и завершения работы.

Приложения, выполняющие эти операции скрытно или не предоставляющие возможность выбора действия, часто устанавливают на компьютер прочее нежелательное по классификации Microsoft программное обеспечение.

Зачастую программы, нарушающие принцип свободной установки и удаления, имеют следующие признаки:

  • При попытке удаления стандартным способом отображают уведомления/сообщения, вводящие пользователя в заблуждение, с целью заставить его не удалять программу.
  • Отсутствие возможности удаления через стандартный компонент Windows "Установка и удаление программ" или "Программы и компоненты".

Рекламные объявления в приложениях

К потенциально нежелательному ПО специалисты Microsoft также относят программы, не предоставляющие пользователям возможности контроля над рекламой внутри них и/или не информирующие о ее наличии до начала процесса установки. Приложения, содержащие рекламу, должны:

  • Предоставить пользователю простую и понятную функцию/опцию для закрытия рекламного объявления. При этом сам акт закрытия не должен вести к открытию другой рекламы.
  • При рекламировании стороннего ПО в объявлении должна быть указана достоверная информация о рекламируемой программе (как минимум, действительное название).
  • Если установка или скачивание установщика рекламируемого продукта осуществляется непосредственно из программы-рекламодателя, ярлык для удаления этого приложения, размещаемый в компоненте "Установка и удаление программ", должен иметь такое же название, как в рекламе.
  • Отображаемая реклама не должна вводить пользователя в заблуждение, содержать вредоносный код и вызывать файл для скачивания без согласия пользователя.

Мнение потребителей

Корпорация Microsoft поддерживает международную сеть аналитиков и автоматизированных интеллектуальных систем, куда любой пользователь продукции компании может предоставлять программное обеспечение для проведения анализа. Это помогает специалистам Microsoft быстрее выявлять новые вредоносные и нежелательные программы, что позволяет создавать интеллектуальные системы безопасности для защиты пользователей от их действий. Идентифицированное в качестве вредоносного/нежелательного ПО заносится в базу встроенного антивируса "Защитник Windows", что и позволяет системе заранее предупреждать пользователя о рисках использования устанавливаемых им приложений.

Потенциально нежелательные приложения

Существует ряд приложений, которые, по мнению специалистов Microsoft, могут снизить производительность операционной системы Windows или внести неудобства в работе с ОС. Но стоит иметь в виду, что Microsoft не относит потенциально нежелательные приложения к категории вредоносного ПО.

Специалисты Microsoft приводят следующие классификации потенциально нежелательных приложений:

  • Рекламное программное обеспечение. Сюда относятся самостоятельные или встраиваемые в браузеры программы/расширения/дополнения, отображающие рекламные объявления или акции, предлагающие пользователю за вознаграждение пройти опросы, проголосовать за другие приложения на каких-либо сетевых ресурсах.
  • Программы, использующие для передачи/приема данных торрент и другие разновидности одноранговых (PNP) сетей.
  • Программы для майнинга криптовалют, потребляющие значительные ресурсы компьютера, на котором они запущены.
  • Установщики программ. Сюда относятся приложения, предлагающие пользователям автоматическое скачивание и установку других программ (зачастую без цифровой подписи, т.е. нелицензированный софт).
  • Маркетинговое программное обеспечение. Программы, отслеживающие действия пользователя (даже по согласию) и передающие накапливаемую информацию другим приложениям в целях маркертинговых исследований.

Приложения, идентифицированные партнерами Microsoft, занимающимися вопросами кибер-безопасности, как вредоносное или нежелательное ПО. Корпорация Microsoft тесно сотрудничает с различными организациями по всему миру, обмениваясь с ними данными о файлах, которые могут представлять угрозу. Полученная от партнеров информация также заносится в базу встроенного антивируса "Защитник Windows".

Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.

Категории