Wie Microsoft Schadsoftware und potenziell unerwünschte Anwendungen identifiziert

Microsoft zielt darauf ab, eine angenehme und produktive Windows-Erfahrung zu bieten, indem es daran arbeitet, sicherzustellen, dass Sie sicher sind und die Kontrolle über Ihre Geräte haben. Microsoft schützt Sie vor potenziellen Bedrohungen, indem Software und Onlineinhalte identifiziert und analysiert werden. Wenn Sie Software herunterladen, installieren und ausführen, überprüfen wir den Ruf heruntergeladener Programme und stellen sicher, dass Sie vor bekannten Bedrohungen geschützt sind. Sie werden auch vor Software gewarnt, die uns unbekannt ist.

Sie können Microsoft unterstützen, indem Sie unbekannte oder verdächtige Software zur Analyse übermitteln. Übermittlungen tragen dazu bei, dass unbekannte oder verdächtige Software von unserem System gescannt wird, um mit der Reputation zu beginnen. Weitere Informationen zum Übermitteln von Dateien zur Analyse

Die nächsten Abschnitte bieten eine Übersicht über die Klassifizierungen, die wir für Anwendungen verwenden, und die Verhaltenstypen, die zu dieser Klassifizierung führen.

Hinweis

Neue Formen von Schadsoftware und potenziell unerwünschten Anwendungen werden schnell entwickelt und verteilt. Die folgende Liste ist möglicherweise nicht umfassend, und Microsoft behält sich das Recht vor, diese ohne vorherige Ankündigung anzupassen, zu erweitern und zu aktualisieren.

Unbekannt – Unbekannte Software

Keine Antiviren- oder Schutztechnologie ist perfekt. Es dauert Zeit, bösartige Websites und Anwendungen zu identifizieren und zu blockieren oder neu veröffentlichten Programmen und Zertifikaten zu vertrauen. Mit fast 2 Milliarden Websites im Internet und Software ständig aktualisiert und veröffentlicht, ist es unmöglich, Informationen über jede einzelne Website und jedes Programm zu haben.

Stellen Sie sich unbekannte/ungewöhnlich heruntergeladene Warnungen als Frühwarnsystem für potenziell unentdeckte Schadsoftware vor. Es gibt im Allgemeinen eine Verzögerung von der Veröffentlichung neuer Schadsoftware bis zur Identifizierung. Nicht alle ungewöhnlichen Programme sind bösartig, aber das Risiko in der Unbekannten Kategorie ist für den typischen Benutzer viel höher. Warnungen für unbekannte Software sind keine Blöcke. Benutzer können die Anwendung auf Wunsch herunterladen und normal ausführen.

Sobald genügend Daten gesammelt wurden, können die Sicherheitslösungen von Microsoft eine Entscheidung treffen. Entweder werden keine Bedrohungen gefunden, oder eine Anwendung oder Software wird als Schadsoftware oder potenziell unerwünschte Software kategorisiert.

Schadsoftware

Schadsoftware ist der übergreifende Name für Anwendungen und anderen Code, z. B. Software, den Microsoft genauer als Schadsoftware, unerwünschte Software oder Manipulationssoftware klassifiziert.

Schadsoftware

Schadsoftware ist eine Anwendung oder ein Code, der die Benutzersicherheit gefährdet. Schadsoftware könnte Ihre persönlichen Informationen stehlen, Ihr Gerät sperren, bis Sie ein Lösegeld zahlen, Ihr Gerät zum Senden von Spam verwenden oder andere schadhafte Software herunterladen. Im Allgemeinen möchte bösartige Software Benutzer austricksen, betrügen oder betrügen und sie in anfällige Zustände versetzen.

Microsoft klassifiziert die meisten schädlichen Software in eine der folgenden Kategorien:

  • Hintertür: Eine Art von Schadsoftware, die böswilligen Hackern Remotezugriff auf Ihr Gerät und die Kontrolle über ihr Gerät gibt.

  • Befehl und Kontrolle: Eine Art von Schadsoftware, die Ihr Gerät infiziert und die Kommunikation mit dem Befehls- und Steuerungsserver der Hacker herstellt, um Anweisungen zu erhalten. Sobald die Kommunikation eingerichtet ist, können Hacker Befehle senden, die Daten stehlen, das Gerät herunterfahren und neu starten und Webdienste unterbrechen können.

  • Downloader: Eine Art von Schadsoftware, die andere Schadsoftware auf Ihr Gerät herunterlädt. Es muss eine Verbindung mit dem Internet herstellen, um Dateien herunterzuladen.

  • Pipette: Eine Art von Schadsoftware, die andere Malware-Dateien auf Ihrem Gerät installiert. Im Gegensatz zu einem Downloader muss ein Dropper keine Verbindung mit dem Internet herstellen, um schädliche Dateien zu löschen. Die gelöschten Dateien werden in der Regel in den Dropper selbst eingebettet.

  • Ausbeuten: Ein Codeteil, der Software-Sicherheitsrisiken verwendet, um Zugriff auf Ihr Gerät zu erhalten und andere Aufgaben auszuführen, z. B. das Installieren von Schadsoftware.

  • Hacktool: Ein Tooltyp, der verwendet werden kann, um nicht autorisierten Zugriff auf Ihr Gerät zu erhalten.

  • Makrovirus: Eine Art von Schadsoftware, die sich über infizierte Dokumente verbreitet, z. B. Microsoft Word- oder Excel-Dokumente. Der Virus wird ausgeführt, wenn Sie ein infiziertes Dokument öffnen.

  • Obfuscator: Eine Art von Schadsoftware, die ihren Code und Zweck verbirgt, wodurch es für Sicherheitssoftware schwieriger zu erkennen oder zu entfernen ist.

  • Kennwortdiebstahl: Eine Art von Schadsoftware, die Ihre persönlichen Informationen sammelt, z. B. Benutzernamen und Kennwörter. Es funktioniert oft zusammen mit einer Schlüsselprotokollierung, die Informationen über die Tasten, die Sie drücken, und websites, die Sie besuchen, sammelt und sendet.

  • Ransomware: Eine Art von Schadsoftware, die Ihre Dateien verschlüsselt oder andere Änderungen vornimmt, die Sie daran hindern können, Ihr Gerät zu verwenden. Anschließend wird eine Lösegeldforderung angezeigt, die besagt, dass Sie Geld zahlen oder andere Aktionen durchführen müssen, bevor Sie Ihr Gerät wieder verwenden können. Weitere Informationen über Ransomware.

  • Nicht autorisierte Sicherheitssoftware: Schadsoftware, die vorgibt, Sicherheitssoftware zu sein, aber keinen Schutz bietet. Diese Art von Schadsoftware zeigt in der Regel Warnungen zu nicht vorhandenen Bedrohungen auf Ihrem Gerät an. Es versucht auch, Sie zu überzeugen, für seine Dienstleistungen zu bezahlen.

  • Trojaner: Eine Art von Schadsoftware, die versucht, harmlos zu erscheinen. Im Gegensatz zu einem Virus oder Wurm verbreitet sich ein Trojaner nicht von selbst. Stattdessen versucht es, legitim zu wirken, um Benutzer dazu zu bringen, es herunterzuladen und zu installieren. Nach der Installation führen Trojaner verschiedene schädliche Aktivitäten durch, z. B. das Stehlen persönlicher Informationen, das Herunterladen anderer Schadsoftware oder das Gewähren von Zugriff auf Ihr Gerät.

  • Trojan clicker: Eine Art Trojaner, der automatisch auf Schaltflächen oder ähnliche Steuerelemente auf Websites oder Anwendungen klickt. Angreifer können diesen Trojaner verwenden, um auf Online-Werbung zu klicken. Diese Klicks können Online-Umfragen oder andere Tracking-Systeme verzerren und sogar Anwendungen auf Ihrem Gerät installieren.

  • Wurm: Eine Art von Schadsoftware, die sich auf andere Geräte ausbreitet. Würmer können sich über E-Mails, Chats, Dateifreigabeplattformen, soziale Netzwerke, Netzwerkfreigaben und Wechseldatenträger verbreiten. Ausgeklügelte Würmer nutzen Softwaresicherheitsrisiken aus, um sich zu verbreiten.

Unerwünschte Software

Microsoft ist der Meinung, dass Sie die Kontrolle über Ihre Windows-Erfahrung haben sollten. Software, die unter Windows ausgeführt wird, sollte Ihnen die Kontrolle über Ihr Gerät durch fundierte Auswahlmöglichkeiten und zugängliche Steuerelemente behalten. Microsoft identifiziert Softwareverhalten, die sicherstellen, dass Sie die Kontrolle behalten. Wir klassifizieren Software, die diese Verhaltensweisen nicht vollständig demonstriert, als "unerwünschte Software".

Mangel an Auswahl

Sie müssen darüber informiert werden, was auf Ihrem Gerät geschieht, einschließlich der Software und ob sie aktiv ist.

Software, die keine Auswahl aufweist, kann:

  • Lassen Sie sich nicht deutlich über das Verhalten der Software und ihren Zweck und ihre Absicht informieren.

  • Es kann nicht eindeutig angegeben werden, wann die Software aktiv ist. Es kann auch versuchen, seine Anwesenheit zu verbergen oder zu verschleiern.

  • Installieren, installieren oder entfernen Sie Software ohne Ihre Zustimmung, Interaktion oder Zustimmung.

  • Installieren Sie andere Software ohne einen klaren Hinweis auf ihre Beziehung zur primären Software.

  • Umgehen Sie Dialogfelder zur Benutzergenehmigung im Browser oder Betriebssystem.

  • Fälschlicherweise behaupten, Software von Microsoft zu sein.

Software darf Sie nicht in die Irre führen oder dazu bringen, Entscheidungen über Ihr Gerät zu treffen. Es wird als Verhalten angesehen, das Ihre Auswahl einschränkt. Zusätzlich zur vorherigen Liste kann Software, die mangelnde Auswahl aufweist, folgende Aufgaben ausführen:

  • Zeigen Sie übertriebene Angaben zur Integrität Ihres Geräts an.

  • Machen Sie irreführende oder ungenaue Angaben zu Dateien, Registrierungseinträgen oder anderen Elementen auf Ihrem Gerät.

  • Anzeigen von Ansprüchen in alarmierender Weise zur Integrität Ihres Geräts und Erfordern einer Zahlung oder bestimmter Aktionen im Austausch zur Behebung der angeblichen Probleme.

Software, die Ihre Aktivitäten oder Daten speichert oder überträgt, muss:

  • Geben Sie Ihnen eine Benachrichtigung, und holen Sie ihre Zustimmung dazu ein. Software sollte keine Option enthalten, die sie so konfiguriert, dass Aktivitäten im Zusammenhang mit dem Speichern oder Übertragen Ihrer Daten ausgeblendet werden.

Fehlende Kontrolle

Sie müssen in der Lage sein, Software auf Ihrem Gerät zu steuern. Sie müssen in der Lage sein, die Autorisierung für Software zu starten, zu beenden oder anderweitig zu widerrufen.

Software, die mangelnde Kontrolle aufweist, kann:

  • Verhindern oder einschränken, dass Sie Browserfeatures oder -einstellungen anzeigen oder ändern können.

  • Öffnen Sie Browserfenster ohne Autorisierung.

  • Umleiten von Webdatenverkehr ohne Benachrichtigung und Zustimmung.

  • Ändern oder Bearbeiten von Webseiteninhalten ohne Ihre Zustimmung.

Software, die Ihre Browsererfahrung ändert, darf nur das unterstützte Erweiterbarkeitsmodell des Browsers für die Installation, Ausführung, Deaktivierung oder Entfernung verwenden. Browser, die keine unterstützten Erweiterbarkeitsmodelle bereitstellen, gelten als nicht mehr verfügbar und sollten nicht geändert werden.

Installation und Entfernung

Sie müssen in der Lage sein, die für Software erteilte Autorisierung zu starten, zu beenden oder auf andere Weise zu widerrufen. Software sollte vor der Installation Ihre Zustimmung einholen und muss ihnen eine klare und unkomplizierte Möglichkeit bieten, sie zu installieren, zu deinstallieren oder zu deaktivieren.

Software, die eine schlechte Installationserfahrung bietet, kann andere von Microsoft klassifizierte "unerwünschte Software" bündeln oder herunterladen.

Software, die eine schlechte Entfernungserfahrung bietet, kann:

  • Präsentieren Sie verwirrende oder irreführende Eingabeaufforderungen oder Popups, wenn Sie versuchen, sie zu deinstallieren.

  • Standardinstallations-/Deinstallationsfeatures wie "Software" können nicht verwendet werden.

Werbung und Werbung

Software, die ein Produkt oder eine Dienstleistung außerhalb der Software selbst fördert, kann Ihre Computererfahrung beeinträchtigen. Sie sollten eine klare Auswahl und Kontrolle haben, wenn Sie Software installieren, die Werbung präsentiert.

Die Werbung, die von Software präsentiert wird, muss:

  • Fügen Sie eine offensichtliche Möglichkeit für Benutzer ein, die Werbung zu schließen. Der Akt des Schließens der Werbung darf keine weitere Werbung öffnen.

  • Geben Sie den Namen der Software an, die die Werbung präsentiert hat.

Die Software, die diese Werbung präsentiert, muss:

  • Stellen Sie eine Standard-Deinstallationsmethode für die Software mit demselben Namen bereit, wie in der Ankündigung, die sie präsentiert.

Anzeigen, die Ihnen angezeigt werden, müssen:

  • Unterscheiden sie sich von Websiteinhalten.

  • Nicht irreführen, täuschen oder verwechseln.

  • Keinen schädlichen Code enthalten.

  • Rufen Sie keinen Dateidownload auf.

Verbrauchermeinung

Microsoft unterhält ein weltweites Netzwerk von Analysten und Intelligence-Systemen, in dem Sie Software zur Analyse einreichen können. Ihre Teilnahme hilft Microsoft dabei, neue Schadsoftware schnell zu erkennen. Nach der Analyse erstellt Microsoft Security Intelligence für Software, die die beschriebenen Kriterien erfüllt. Diese Sicherheitsintelligenz identifiziert die Software als Schadsoftware und steht allen Benutzern über Microsoft Defender Antivirus und andere Microsoft-Antischadsoftware-Lösungen zur Verfügung.

Manipulationssoftware

Manipulationssoftware umfasst ein breites Spektrum an Tools und Bedrohungen, die das Allgemeine Sicherheitsniveau von Geräten direkt oder indirekt verringern. Beispiele für häufige Manipulationsaktionen sind:

  • Deaktivieren oder Deinstallieren von Sicherheitssoftware: Tools und Bedrohungen, die versuchen, Verteidigungsmechanismen zu umgehen, indem Sie Sicherheitssoftware wie Antiviren-, EDR- oder Netzwerkschutzsysteme deaktivieren oder deinstallieren. Diese Aktionen machen das System anfällig für weitere Angriffe.

  • Missbrauch von Betriebssystemfeatures und -einstellungen: Tools und Bedrohungen, die Features und Einstellungen innerhalb des Betriebssystems ausnutzen, um die Sicherheit zu gefährden. Dazu gehören:

    • Firewallmissbrauch: Angreifer verwenden Firewallkomponenten, um indirekt Sicherheitssoftware zu manipulieren oder legitime Netzwerkverbindungen zu blockieren, wodurch möglicherweise nicht autorisierter Zugriff oder Datenexfiltration ermöglicht wird.

    • DNS-Manipulation: Manipulation von DNS-Einstellungen, um Datenverkehr umzuleiten oder Sicherheitsupdates zu blockieren, sodass das System schädlichen Aktivitäten ausgesetzt bleibt.

    • Ausnutzung im abgesicherten Modus: Verwenden der legitimen Einstellung für den abgesicherten Modus, um das Gerät in einen Zustand zu versetzen, in dem Sicherheitslösungen umgangen werden können, was nicht autorisierten Zugriff oder die Ausführung von Schadsoftware ermöglicht.

  • Manipulation von Systemkomponenten: Tools und Bedrohungen, die auf kritische Systemkomponenten abzielen, z. B. Kerneltreiber oder Systemdienste, um die allgemeine Sicherheit und Stabilität des Geräts zu gefährden.

  • Rechteausweitung: Techniken, die darauf abzielen, Benutzerberechtigungen zu erhöhen, um die Kontrolle über die Systemressourcen zu erlangen und möglicherweise Sicherheitseinstellungen zu ändern.

  • Stören von Sicherheitsupdates: Versucht, Sicherheitsupdates zu blockieren oder zu manipulieren, wodurch das System anfällig für bekannte Sicherheitsrisiken wird.

  • Unterbrechen kritischer Dienste: Aktionen, die wichtige Systemdienste oder -prozesse stören, die möglicherweise zu Systeminstabilität führen und die Tür für andere Angriffe öffnen.

  • Nicht autorisierte Registrierungsänderungen: Änderungen an der Windows-Registrierung oder an den Systemeinstellungen, die sich auf den Sicherheitsstatus des Geräts auswirken.

  • Manipulation von Startprozessen: Versuchen Sie, den Startvorgang zu bearbeiten, was zum Laden von schadhaftem Code während des Starts führen kann.

Potenziell unerwünschte Anwendung (PUA)

Unser PUA-Schutz zielt darauf ab, die Produktivität der Benutzer zu schützen und ein angenehmes Windows-Erlebnis zu gewährleisten. Dieser Schutz trägt zu einer produktiveren, leistungsfähigeren und ansprechenderen Windows-Umgebung bei. Anweisungen zum Aktivieren des PUA-Schutzes in Chromium-basierten Microsoft Edge und Microsoft Defender Antivirus finden Sie unter Erkennen und Blockieren potenziell unerwünschter Anwendungen.

PUAs gelten nicht als Schadsoftware.

Microsoft verwendet bestimmte Kategorien und die Kategoriedefinitionen, um Software als PUA zu klassifizieren.

  • Werbesoftware: Software, die Werbung oder Werbeaktionen anzeigt oder Sie auffordert, Umfragen zu anderen Produkten oder Dienstleistungen in anderer Software als sich selbst durchzuführen. Dies schließt Software ein, die Werbung auf Webseiten einfügt.

  • Torrent-Software (nur Enterprise): Software, die zum Erstellen oder Herunterladen von Torrents oder anderen Dateien verwendet wird, die speziell mit Peer-to-Peer-Dateifreigabetechnologien verwendet werden.

  • Cryptomining-Software (nur Enterprise): Software, die Ihre Geräteressourcen verwendet, um Kryptowährungen zu minen.

  • Bündelungssoftware: Software, die die Installation anderer Software anbietet, die nicht von derselben Entität entwickelt wurde oder für die Ausführung der Software nicht erforderlich ist. Auch Software, die die Installation anderer Software anbietet, die auf der Grundlage der in diesem Dokument beschriebenen Kriterien als PUA qualifiziert ist.

  • Marketingsoftware: Software, die die Aktivitäten der Nutzer überwacht und an andere Anwendungen oder Dienste als sich selbst zur Marketingforschung weiterleitet.

  • Ausweichsoftware: Software, die aktiv versucht, sich der Erkennung durch Sicherheitsprodukte zu entziehen, einschließlich Software, die sich bei Vorhandensein von Sicherheitsprodukten anders verhält.

  • Schlechter Ruf in der Branche: Software, die vertrauenswürdige Sicherheitsanbieter mit ihren Sicherheitsprodukten erkennen. Die Sicherheitsbranche ist bestrebt, Kunden zu schützen und ihre Erfahrungen zu verbessern. Microsoft und andere Organisationen in der Sicherheitsbranche tauschen kontinuierlich Wissen über dateien aus, die wir analysiert haben, um Benutzern den bestmöglichen Schutz zu bieten.

Anfällige Software

Anfällige Software ist eine Anwendung oder ein Code, die Sicherheitslücken oder Schwachstellen aufweist, die von Angreifern ausgenutzt werden können, um verschiedene schädliche und potenziell destruktive Aktionen auszuführen. Diese Sicherheitsrisiken können aus unbeabsichtigten Codierungsfehlern oder Designfehlern stammen und zu schädlichen Aktivitäten wie nicht autorisiertem Zugriff, Rechteausweitung, Manipulation und mehr führen, wenn sie ausgenutzt werden.

Anfällige Treiber

Trotz strenger Anforderungen und Überprüfungen an Code, der im Kernel ausgeführt wird, bleiben Gerätetreiber anfällig für verschiedene Arten von Sicherheitsrisiken und Fehlern. Beispiele hierfür sind Speicherbeschädigungen und willkürliche Lese- und Schreibfehler, die von Angreifern ausgenutzt werden können, um größere böswillige und destruktive Aktionen auszuführen – Aktionen, die in der Regel im Benutzermodus eingeschränkt sind. Das Beenden kritischer Prozesse auf einem Gerät ist ein Beispiel für eine solche böswillige Aktion.