Como a Microsoft identifica software maligno e aplicações potencialmente indesejadas
A Microsoft tem como objetivo proporcionar uma experiência deliciosa e produtiva do Windows ao trabalhar para garantir que está seguro e no controlo dos seus dispositivos. A Microsoft ajuda a protegê-lo contra potenciais ameaças ao identificar e analisar software e conteúdos online. Quando transfere, instala e executa software, verificamos a reputação dos programas transferidos e garantimos que está protegido contra ameaças conhecidas. Também é avisado sobre software desconhecido para nós.
Pode ajudar a Microsoft ao submeter software desconhecido ou suspeito para análise. As submissões ajudam a garantir que o software desconhecido ou suspeito é analisado pelo nosso sistema para começar a estabelecer reputação. Saiba mais sobre como submeter ficheiros para análise
As secções seguintes fornecem uma descrição geral das classificações que utilizamos para aplicações e os tipos de comportamentos que levam a essa classificação.
Nota
Estão a ser desenvolvidas e distribuídas rapidamente novas formas de software maligno e aplicações potencialmente indesejadas. A lista seguinte pode não ser abrangente e a Microsoft reserva-se o direito de ajustar, expandir e atualizar sem aviso prévio ou anúncio.
Desconhecido – Software não reconhecido
Nenhuma tecnologia antivírus ou de proteção é perfeita. Demora algum tempo a identificar e bloquear aplicações e sites maliciosos ou a confiar em programas e certificados recentemente lançados. Com quase 2 mil milhões de sites na Internet e software continuamente atualizados e lançados, é impossível ter informações sobre cada site e programa.
Pense nos avisos desconhecidos/invulgarmente transferidos como um sistema de aviso antecipado para software maligno potencialmente não detetado. Geralmente, existe um atraso desde o momento em que o novo software maligno é lançado até ser identificado. Nem todos os programas incomuns são maliciosos, mas o risco na categoria desconhecida é muito maior para o utilizador típico. Os avisos para software desconhecido não são blocos. Os utilizadores podem optar por transferir e executar a aplicação normalmente, se assim o desejarem.
Assim que forem recolhidos dados suficientes, as soluções de segurança da Microsoft podem tomar uma decisão. Não foram encontradas ameaças ou uma aplicação ou software é categorizado como software maligno ou potencialmente indesejável.
Software Maligno
O software maligno é o nome geral para aplicações e outro código, como software, que a Microsoft classifica de forma mais granular como software malicioso, software indesejável ou software de adulteração.
Software malicioso
O software malicioso é uma aplicação ou código que compromete a segurança dos utilizadores. O software malicioso pode roubar as suas informações pessoais, bloquear o dispositivo até pagar um resgate, utilizar o seu dispositivo para enviar spam ou transferir outro software malicioso. Em geral, o software malicioso quer enganar, fazer batota ou defraudar os utilizadores, colocando-os em estados vulneráveis.
A Microsoft classifica a maioria do software malicioso numa das seguintes categorias:
Backdoor: Um tipo de software maligno que concede a hackers maliciosos acesso remoto e controlo do seu dispositivo.
Comando e Controlo: Um tipo de malware que infete o seu dispositivo e estabelece comunicação com o servidor de comandos e controlo dos hackers para receber instruções. Assim que a comunicação for estabelecida, os hackers podem enviar comandos que podem roubar dados, encerrar e reiniciar o dispositivo e interromper os serviços Web.
Transferidor: Um tipo de software maligno que transfere outro software maligno para o seu dispositivo. Tem de se ligar à Internet para transferir ficheiros.
Menu pendente: Um tipo de software maligno que instala outros ficheiros de software maligno no seu dispositivo. Ao contrário de um transferidor, um menu pendente não tem de se ligar à Internet para remover ficheiros maliciosos. Normalmente, os ficheiros removidos são incorporados no próprio menu pendente.
Exploit: Uma parte do código que utiliza vulnerabilidades de software para obter acesso ao seu dispositivo e realizar outras tarefas, como instalar software maligno.
Hacktool: Um tipo de ferramenta que pode ser utilizada para obter acesso não autorizado ao seu dispositivo.
Vírus da macro: Um tipo de software maligno que se espalha através de documentos infetados, como documentos do Microsoft Word ou do Excel. O vírus é executado quando abre um documento infetado.
Obfuscator: Um tipo de software maligno que oculta o respetivo código e finalidade, o que dificulta a deteção ou remoção do software de segurança.
Ladrão de palavras-passe: Um tipo de software maligno que recolhe as suas informações pessoais, como nomes de utilizador e palavras-passe. Muitas vezes, funciona juntamente com um registo de chaves, que recolhe e envia informações sobre as chaves que prime e os sites que visita.
Ransomware: Um tipo de software maligno que encripta os seus ficheiros ou efetua outras modificações que podem impedi-lo de utilizar o seu dispositivo. Em seguida, apresenta uma nota de resgate a indicar que tem de pagar dinheiro ou efetuar outras ações antes de poder utilizar o dispositivo novamente. Veja mais informações sobre ransomware.
Software de segurança não autorizado: Software maligno que finge ser software de segurança, mas não fornece qualquer proteção. Normalmente, este tipo de software maligno apresenta alertas sobre ameaças inexistentes no seu dispositivo. Também tenta convencê-lo a pagar pelos seus serviços.
Trojan: Um tipo de software maligno que tenta parecer inofensivo. Ao contrário de um vírus ou worm, um trojan não se espalha sozinho. Em vez disso, tenta parecer legítimo enganar os utilizadores a transferi-lo e instalá-lo. Depois de instalados, os trojans executam várias atividades maliciosas, tais como roubar informações pessoais, transferir outro software maligno ou conceder aos atacantes acesso ao seu dispositivo.
Clicker de Trojan: Um tipo de trojan que clica automaticamente em botões ou controlos semelhantes em sites ou aplicações. Os atacantes podem utilizar este trojan para clicar em anúncios online. Estes cliques podem distorcer as sondagens online ou outros sistemas de controlo e até podem instalar aplicações no seu dispositivo.
Worm: Um tipo de software maligno que se espalha para outros dispositivos. Os worms podem ser distribuídos por e-mail, mensagens instantâneas, plataformas de partilha de ficheiros, redes sociais, partilhas de rede e unidades amovíveis. Worms sofisticados tiram partido de vulnerabilidades de software para propagar.
Software indesejável
A Microsoft acredita que deve ter controlo sobre a sua experiência do Windows. O software em execução no Windows deve mantê-lo no controlo do seu dispositivo através de opções informadas e controlos acessíveis. A Microsoft identifica comportamentos de software que garantem que se mantém no controlo. Classificamos o software que não demonstra totalmente estes comportamentos como "software indesejado".
Falta de escolha
Tem de ser notificado sobre o que está a acontecer no seu dispositivo, incluindo o que o software faz e se está ativo.
O software que apresente falta de escolha poderá:
Falha ao fornecer um aviso proeminente sobre o comportamento do software e a sua finalidade e intenção.
Falha ao indicar claramente quando o software está ativo. Também pode tentar esconder ou disfarçar a sua presença.
Instale, reinstale ou remova software sem a sua permissão, interação ou consentimento.
Instale outro software sem uma indicação clara da respetiva relação com o software primário.
Contornar as caixas de diálogo de consentimento do utilizador a partir do browser ou do sistema operativo.
Afirmação falsa como software da Microsoft.
O software não pode induzi-lo em erro ou coagi-lo a tomar decisões sobre o seu dispositivo. É considerado um comportamento que limita as suas escolhas. Além da lista anterior, o software que apresente falta de escolha poderá:
Apresentar afirmações exageradas sobre o estado de funcionamento do dispositivo.
Faça afirmações enganosas ou imprecisas sobre ficheiros, entradas de registo ou outros itens no seu dispositivo.
Apresente afirmações de forma alarmante sobre o estado de funcionamento do seu dispositivo e exija pagamento ou determinadas ações em troca da correção dos supostos problemas.
O software que armazena ou transmite as suas atividades ou dados tem de:
- Dê-lhe um aviso prévio e obtenha consentimento para o fazer. O software não deve incluir uma opção que o configure para ocultar atividades associadas ao armazenamento ou transmissão dos seus dados.
Falta de controlo
Tem de conseguir controlar o software no seu dispositivo. Tem de conseguir iniciar, parar ou revogar a autorização para o software.
O software que apresente falta de controlo pode:
Impedir ou limitar a visualização ou modificação de funcionalidades ou definições do browser.
Abra as janelas do browser sem autorização.
Redirecionar o tráfego da Web sem dar aviso prévio e obter consentimento.
Modifique ou manipule conteúdo da página Web sem o seu consentimento.
O software que altera a sua experiência de navegação só tem de utilizar o modelo de extensibilidade suportado do browser para instalação, execução, desativação ou remoção. Os browsers que não fornecem modelos de extensibilidade suportados são considerados inexistentes e não devem ser modificados.
Instalação e remoção
Tem de conseguir iniciar, parar ou revogar a autorização fornecida ao software. O software deve obter o seu consentimento antes de instalar e tem de fornecer uma forma clara e simples de instalar, desinstalar ou desativar o mesmo.
O software que proporciona uma experiência de instalação deficiente pode agrupar ou transferir outro "software indesejado" classificado pela Microsoft.
O software que proporciona uma má experiência de remoção pode:
Apresentar pedidos ou pop-ups confusos ou enganadores quando tenta desinstalá-lo.
Falha ao utilizar as funcionalidades padrão de instalação/desinstalação, como Adicionar/Remover Programas.
Publicidade e anúncios
O software que promove um produto ou serviço fora do próprio software pode interferir com a sua experiência de computação. Deve ter uma escolha e controlo claros ao instalar software que apresenta anúncios.
Os anúncios apresentados pelo software têm de:
Inclua uma forma óbvia de os utilizadores fecharem o anúncio. O ato de fechar o anúncio não pode abrir outro anúncio.
Inclua o nome do software que apresentou o anúncio.
O software que apresenta estes anúncios tem de:
- Forneça um método de desinstalação padrão para o software com o mesmo nome apresentado no anúncio apresentado.
Os anúncios apresentados têm de:
Seja distinto do conteúdo do site.
Não enganar, enganar ou confundir.
Não contém código malicioso.
Não invocar uma transferência de ficheiro.
Opinião do consumidor
A Microsoft mantém uma rede mundial de analistas e sistemas de inteligência onde pode submeter software para análise. A sua participação ajuda a Microsoft a identificar rapidamente novos softwares maligno. Após a análise, a Microsoft cria informações de segurança para software que cumpre os critérios descritos. Estas Informações de segurança identificam o software como software maligno e estão disponíveis para todos os utilizadores através de Microsoft Defender Antivírus e outras soluções antimalware da Microsoft.
Software de adulteração
O software de adulteração abrange um amplo espectro de ferramentas e ameaças que reduzem, direta ou indiretamente, o nível global de segurança dos dispositivos. Exemplos de ações de adulteração comuns incluem:
Desativar ou desinstalar software de segurança: ferramentas e ameaças que tentam fugir aos mecanismos de defesa ao desativar ou desinstalar software de segurança, como antivírus, EDR ou sistemas de proteção de rede. Estas ações deixam o sistema vulnerável a novos ataques.
Abusar das funcionalidades e definições do sistema operativo: ferramentas e ameaças que exploram funcionalidades e definições no sistema operativo para comprometer a segurança. Os exemplos incluem:
Abuso de firewall: os atacantes que utilizam componentes da firewall para adulterar indiretamente o software de segurança ou bloquear ligações de rede legítimas, potencialmente ativando o acesso não autorizado ou a transferência de dados não autorizada.
Manipulação de DNS: adulteração das definições de DNS para redirecionar o tráfego ou bloquear atualizações de segurança, deixando o sistema exposto a atividades maliciosas.
Exploração do modo de segurança: tirar partido da definição legítima do Modo de Segurança para colocar o dispositivo num estado em que as soluções de segurança podem ser ignoradas, permitindo o acesso não autorizado ou a execução de software maligno.
Manipular componentes do sistema: ferramentas e ameaças que visam componentes críticos do sistema, como controladores de kernel ou serviços do sistema, para comprometer a segurança e a estabilidade gerais do dispositivo.
Escalamento de privilégios: técnicas destinadas a elevar os privilégios de utilizador para obter controlo sobre os recursos do sistema e manipular potencialmente as definições de segurança.
Interferir com as atualizações de segurança: tenta bloquear ou manipular atualizações de segurança, deixando o sistema vulnerável a vulnerabilidades conhecidas.
Interromper serviços críticos: ações que interrompem os serviços ou processos essenciais do sistema, potencialmente causando instabilidade do sistema e abrindo a porta para outros ataques.
Alterações de registo não autorizadas: modificações no Registo do Windows ou definições do sistema que afetam a postura de segurança do dispositivo.
Adulteração dos processos de arranque: esforços para manipular o processo de arranque, o que pode resultar no carregamento de código malicioso durante o arranque.
Aplicação potencialmente indesejada (PUA)
A nossa proteção contra PUA visa salvaguardar a produtividade dos utilizadores e garantir experiências agradáveis do Windows. Esta proteção ajuda a proporcionar experiências windows mais produtivas, eficazes e deliciosas. Para obter instruções sobre como ativar a proteção contra PUA no Microsoft Edge baseado em Chromium e no Antivírus Microsoft Defender, veja Detetar e bloquear aplicações potencialmente indesejadas.
Os PUAs não são considerados software maligno.
A Microsoft utiliza categorias específicas e as definições de categoria para classificar o software como um PUA.
Software de publicidade: Software que apresenta anúncios ou promoções, ou pede-lhe para concluir inquéritos sobre outros produtos ou serviços em software que não seja o próprio. Isto inclui software que insere anúncios em páginas Web.
Software Torrent (apenas Enterprise): Software utilizado para criar ou transferir torrentes ou outros ficheiros especificamente utilizados com tecnologias de partilha de ficheiros ponto a ponto.
Software de criptografia (apenas Para empresas): Software que utiliza os recursos do seu dispositivo para extrair criptomoedas.
Software de agrupamento: Software que se oferece para instalar outro software que não é desenvolvido pela mesma entidade ou que não é necessário para a execução do software. Além disso, o software que se oferece para instalar outro software que se qualifica como PUA com base nos critérios descritos neste documento.
Software de marketing: Software que monitoriza e transmite as atividades dos utilizadores para aplicações ou serviços que não sejam o próprio para investigação de marketing.
Software de evasão: Software que tenta ativamente evitar a deteção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.
Má reputação do setor: Software que os fornecedores de segurança fidedignos detetam com os respetivos produtos de segurança. A indústria de segurança dedica-se a proteger os clientes e a melhorar as suas experiências. A Microsoft e outras organizações do setor de segurança trocam continuamente conhecimentos sobre ficheiros que analisámos para fornecer aos utilizadores a melhor proteção possível.
Software vulnerável
O software vulnerável é uma aplicação ou código que tem falhas de segurança ou fraquezas que podem ser exploradas por atacantes para realizar várias ações maliciosas e potencialmente destrutivas. Estas vulnerabilidades podem resultar de erros não intencionais de codificação ou falhas de conceção e, se exploradas, podem levar a atividades prejudiciais, como o acesso não autorizado, o escalamento de privilégios, adulteração e muito mais.
Condutores vulneráveis
Apesar dos requisitos e revisões rigorosos impostos ao código em execução no kernel, os controladores de dispositivo permanecem suscetíveis a vários tipos de vulnerabilidades e erros. Os exemplos incluem danos na memória e erros arbitrários de leitura e escrita, que podem ser explorados por atacantes para executar ações maliciosas e destrutivas mais significativas – ações normalmente restritas no modo de utilizador. Terminar processos críticos num dispositivo é um exemplo dessa ação maliciosa.