Comment Microsoft identifie les logiciels malveillants et les applications potentiellement indésirables
Microsoft vise à fournir une expérience Windows agréable et productive en s’assurant que vous êtes sûr et en contrôle de vos appareils. Microsoft vous protège contre les menaces potentielles en identifiant et en analysant les logiciels et le contenu en ligne. Lorsque vous téléchargez, installez et exécutez des logiciels, nous case activée la réputation des programmes téléchargés et nous nous assurons que vous êtes protégé contre les menaces connues. Vous êtes également averti des logiciels qui nous sont inconnus.
Vous pouvez aider Microsoft en soumettant des logiciels inconnus ou suspects à des fins d’analyse. Les soumissions permettent de s’assurer que les logiciels inconnus ou suspects sont analysés par notre système pour commencer à établir la réputation. En savoir plus sur l’envoi de fichiers à des fins d’analyse
Les sections suivantes fournissent une vue d’ensemble des classifications que nous utilisons pour les applications et des types de comportements qui mènent à cette classification.
Remarque
De nouvelles formes de programmes malveillants et d’applications potentiellement indésirables sont développées et distribuées rapidement. La liste suivante peut ne pas être complète et Microsoft se réserve le droit d’ajuster, de développer et de mettre à jour ces informations sans préavis ni annonce.
Inconnu : logiciel non reconnu
Aucune technologie antivirus ou de protection n’est parfaite. L’identification et le blocage des sites et applications malveillants, ou l’approbation des programmes et certificats nouvellement publiés prend du temps. Avec près de 2 milliards de sites web sur Internet et des logiciels continuellement mis à jour et mis à jour, il est impossible d’avoir des informations sur chaque site et programme.
Considérez les avertissements inconnus/rarement téléchargés comme un système d’alerte précoce pour les programmes malveillants potentiellement non détectés. Il y a généralement un délai entre le moment où le nouveau programme malveillant est publié et qu’il soit identifié. Tous les programmes rares ne sont pas malveillants, mais le risque dans la catégorie inconnue est beaucoup plus élevé pour l’utilisateur classique. Les avertissements pour les logiciels inconnus ne sont pas des blocs. Les utilisateurs peuvent choisir de télécharger et d’exécuter l’application normalement s’ils le souhaitent.
Une fois que suffisamment de données sont collectées, les solutions de sécurité de Microsoft peuvent prendre une décision. Soit aucune menace n’est détectée, soit une application ou un logiciel est classé comme programme malveillant ou logiciel potentiellement indésirable.
Programme malveillant
Les logiciels malveillants sont le nom général des applications et d’autres codes, comme les logiciels, que Microsoft classe de façon plus granulaire comme des logiciels malveillants, des logiciels indésirables ou des logiciels de falsification.
Logiciels malveillants
Un logiciel malveillant est une application ou un code qui compromet la sécurité de l’utilisateur. Les logiciels malveillants peuvent voler vos informations personnelles, verrouiller votre appareil jusqu’à ce que vous payiez une rançon, utiliser votre appareil pour envoyer du courrier indésirable ou télécharger d’autres logiciels malveillants. En général, les logiciels malveillants veulent tromper, tricher ou escroquer les utilisateurs, les plaçant dans des états vulnérables.
Microsoft classe la plupart des logiciels malveillants dans l’une des catégories suivantes :
Porte dérobée: Type de programme malveillant qui permet aux pirates malveillants d’accéder à distance à votre appareil et de le contrôler.
Commande et contrôle : Type de programme malveillant qui infecte votre appareil et établit la communication avec le serveur de commande et de contrôle des pirates pour recevoir des instructions. Une fois la communication établie, les pirates peuvent envoyer des commandes qui peuvent voler des données, arrêter et redémarrer l’appareil, et perturber les services web.
Téléchargeur : Type de programme malveillant qui télécharge d’autres programmes malveillants sur votre appareil. Il doit se connecter à Internet pour télécharger des fichiers.
Compte-gouttes: Type de programme malveillant qui installe d’autres fichiers de logiciels malveillants sur votre appareil. Contrairement à un téléchargeur, un compte-goutte n’a pas besoin de se connecter à Internet pour supprimer des fichiers malveillants. Les fichiers supprimés sont généralement incorporés dans le compte-goutte lui-même.
Exploiter: Élément de code qui utilise des vulnérabilités logicielles pour accéder à votre appareil et effectuer d’autres tâches, telles que l’installation de logiciels malveillants.
Hacktool : Type d’outil qui peut être utilisé pour obtenir un accès non autorisé à votre appareil.
Virus de macro : Type de programme malveillant qui se propage par le biais de documents infectés, tels que microsoft Word ou des documents Excel. Le virus est exécuté lorsque vous ouvrez un document infecté.
Obfuscateur : Type de programme malveillant qui masque son code et son objectif, ce qui rend plus difficile la détection ou la suppression des logiciels de sécurité.
Voleur de mot de passe : Type de programme malveillant qui collecte vos informations personnelles, telles que les noms d’utilisateur et les mots de passe. Il fonctionne souvent avec un enregistreur de touches, qui collecte et envoie des informations sur les touches que vous appuyez et les sites web que vous visitez.
Ransomware : Type de programme malveillant qui chiffre vos fichiers ou apporte d’autres modifications qui peuvent vous empêcher d’utiliser votre appareil. Il affiche ensuite une note de rançon indiquant que vous devez payer de l’argent ou effectuer d’autres actions avant de pouvoir réutiliser votre appareil. Consultez plus d’informations sur les rançongiciels.
Logiciels de sécurité non autorisés : Les logiciels malveillants qui prétendent être des logiciels de sécurité, mais qui ne fournissent aucune protection. Ce type de programme malveillant affiche généralement des alertes concernant des menaces inexistantes sur votre appareil. Il tente également de vous convaincre de payer pour ses services.
Troyen: Type de programme malveillant qui tente d’apparaître inoffensif. Contrairement à un virus ou un ver, un cheval de Troie ne se propage pas seul. Au lieu de cela, il tente de sembler légitime pour inciter les utilisateurs à le télécharger et à l’installer. Une fois installés, les chevaux de Troie effectuent diverses activités malveillantes telles que le vol d’informations personnelles, le téléchargement d’autres programmes malveillants ou l’accès des attaquants à votre appareil.
Clicker de cheval de Troie : Type de cheval de Troie qui clique automatiquement sur des boutons ou des contrôles similaires sur des sites web ou des applications. Les attaquants peuvent utiliser ce cheval de Troie pour cliquer sur des publicités en ligne. Ces clics peuvent fausser les sondages en ligne ou d’autres systèmes de suivi et même installer des applications sur votre appareil.
Ver: Type de programme malveillant qui se propage à d’autres appareils. Les vers peuvent se propager par e-mail, messagerie instantanée, plateformes de partage de fichiers, réseaux sociaux, partages réseau et lecteurs amovibles. Les vers sophistiqués tirent parti des vulnérabilités logicielles pour se propager.
Logiciels indésirables
Microsoft estime que vous devez avoir le contrôle sur votre expérience Windows. Les logiciels exécutés sur Windows doivent vous garder le contrôle de votre appareil grâce à des choix éclairés et des contrôles accessibles. Microsoft identifie les comportements logiciels qui vous permettent de garder le contrôle. Nous classons les logiciels qui ne démontrent pas entièrement ces comportements comme des « logiciels indésirables ».
Manque de choix
Vous devez être informé de ce qui se passe sur votre appareil, notamment de ce que fait le logiciel et s’il est actif.
Les logiciels qui présentent un manque de choix peuvent :
Ne pas fournir un avis important sur le comportement du logiciel, son objectif et son intention.
Impossible d’indiquer clairement quand le logiciel est actif. Il peut également tenter de masquer ou de déguiser sa présence.
Installez, réinstallez ou supprimez des logiciels sans votre autorisation, interaction ou consentement.
Installez d’autres logiciels sans indication claire de leur relation avec le logiciel principal.
Contourner les boîtes de dialogue de consentement de l’utilisateur à partir du navigateur ou du système d’exploitation.
Prétendez à tort être un logiciel de Microsoft.
Le logiciel ne doit pas vous induire en erreur ou vous contraindre à prendre des décisions concernant votre appareil. Il est considéré comme un comportement qui limite vos choix. En plus de la liste précédente, les logiciels qui présentent un manque de choix peuvent :
Afficher des revendications exagérées sur l’intégrité de votre appareil.
Faites des revendications trompeuses ou inexactes sur des fichiers, des entrées de Registre ou d’autres éléments sur votre appareil.
Affichez les revendications de manière alarmante concernant l’intégrité de votre appareil et exigez un paiement ou certaines actions en échange de la résolution des problèmes supposés.
Les logiciels qui stockent ou transmettent vos activités ou données doivent :
- Donnez-vous un avis et obtenez votre consentement pour le faire. Le logiciel ne doit pas inclure une option qui le configure pour masquer les activités associées au stockage ou à la transmission de vos données.
Manque de contrôle
Vous devez être en mesure de contrôler les logiciels sur votre appareil. Vous devez être en mesure de démarrer, d’arrêter ou de révoquer l’autorisation du logiciel.
Les logiciels qui présentent un manque de contrôle peuvent :
Empêchez ou limitez-vous d’afficher ou de modifier les fonctionnalités ou paramètres du navigateur.
Ouvrez les fenêtres du navigateur sans autorisation.
Redirigez le trafic web sans donner de préavis et obtenir votre consentement.
Modifiez ou manipulez le contenu de la page web sans votre consentement.
Les logiciels qui modifient votre expérience de navigation doivent uniquement utiliser le modèle d’extensibilité pris en charge par le navigateur pour l’installation, l’exécution, la désactivation ou la suppression. Les navigateurs qui ne fournissent pas de modèles d’extensibilité pris en charge sont considérés comme nonnextensibles et ne doivent pas être modifiés.
Installation et suppression
Vous devez être en mesure de démarrer, d’arrêter ou de révoquer l’autorisation donnée au logiciel. Le logiciel doit obtenir votre consentement avant l’installation, et il doit fournir un moyen clair et simple de l’installer, de le désinstaller ou de le désactiver.
Les logiciels qui offrent une expérience d’installation médiocre peuvent regrouper ou télécharger d’autres « logiciels indésirables » classés par Microsoft.
Les logiciels qui offrent une expérience de suppression médiocre peuvent :
Présentez des invites ou des fenêtres contextuelles confuses ou trompeuses lorsque vous essayez de le désinstaller.
Échec de l’utilisation des fonctionnalités d’installation/désinstallation standard, telles que Ajout/Suppression de programmes.
Publicités et publicités
Les logiciels qui font la promotion d’un produit ou d’un service en dehors du logiciel lui-même peuvent interférer avec votre expérience informatique. Vous devez disposer d’un choix et d’un contrôle clairs lors de l’installation d’un logiciel qui présente des publicités.
Les publicités présentées par un logiciel doivent :
Incluez un moyen évident pour les utilisateurs de fermer la publicité. Le fait de fermer l’annonce ne doit pas ouvrir une autre annonce.
Incluez le nom du logiciel qui a présenté la publicité.
Le logiciel qui présente ces publicités doit :
- Fournissez une méthode de désinstallation standard pour le logiciel en utilisant le même nom que celui indiqué dans la publicité qu’il présente.
Les publicités qui vous sont présentées doivent :
Être distingué du contenu du site web.
Ne pas induire en erreur, tromper ou confondre.
Ne contient pas de code malveillant.
Ne pas appeler un téléchargement de fichier.
Opinion des consommateurs
Microsoft gère un réseau mondial d’analystes et de systèmes d’intelligence où vous pouvez soumettre des logiciels à des fins d’analyse. Votre participation aide Microsoft à identifier rapidement les nouveaux programmes malveillants. Après analyse, Microsoft crée security intelligence pour les logiciels qui répondent aux critères décrits. Cette veille de sécurité identifie le logiciel comme un programme malveillant et est disponible pour tous les utilisateurs via Microsoft Defender Antivirus et d’autres solutions microsoft anti-programme malveillant.
Logiciel de falsification
Les logiciels de falsification englobent un large éventail d’outils et de menaces qui réduisent directement ou indirectement le niveau de sécurité global des appareils. Voici quelques exemples d’actions de falsification courantes :
Désactivation ou désinstallation des logiciels de sécurité : outils et menaces qui tentent d’échapper aux mécanismes de défense en désactivant ou en désinstallant des logiciels de sécurité, tels qu’un antivirus, un EDR ou des systèmes de protection réseau. Ces actions laissent le système vulnérable à d’autres attaques.
Abus des fonctionnalités et des paramètres du système d’exploitation : outils et menaces qui exploitent les fonctionnalités et les paramètres du système d’exploitation pour compromettre la sécurité. Les exemples incluent :
Abus de pare-feu : attaquants qui utilisent des composants de pare-feu pour falsifier indirectement les logiciels de sécurité ou bloquer les connexions réseau légitimes, ce qui permet potentiellement un accès non autorisé ou l’exfiltration de données.
Manipulation DNS : falsification des paramètres DNS pour rediriger le trafic ou bloquer les mises à jour de sécurité, laissant le système exposé à des activités malveillantes.
Exploitation du mode sans échec : exploitation du paramètre de mode sans échec légitime pour placer l’appareil dans un état où les solutions de sécurité peuvent être ignorées, ce qui permet l’accès non autorisé ou l’exécution de programmes malveillants.
Manipulation des composants système : outils et menaces qui ciblent des composants système critiques, tels que les pilotes du noyau ou les services système, pour compromettre la sécurité et la stabilité globales de l’appareil.
Escalade de privilèges : techniques visant à élever les privilèges utilisateur pour prendre le contrôle des ressources du système et éventuellement manipuler les paramètres de sécurité.
Interférence avec les mises à jour de sécurité : tentatives de blocage ou de manipulation des mises à jour de sécurité, laissant le système vulnérable aux vulnérabilités connues.
Perturbation des services critiques : actions qui perturbent les services ou processus système essentiels, ce qui peut entraîner une instabilité du système et ouvrir la porte à d’autres attaques.
Modifications non autorisées du Registre : modifications apportées au Registre Windows ou aux paramètres système qui ont un impact sur la posture de sécurité de l’appareil.
Falsification des processus de démarrage : efforts pour manipuler le processus de démarrage, ce qui peut entraîner le chargement de code malveillant au démarrage.
Application potentiellement indésirable (PUA)
Notre protection PUA vise à protéger la productivité des utilisateurs et à garantir des expériences Windows agréables. Cette protection permet d’offrir des expériences Windows plus productives, performantes et agréables. Pour obtenir des instructions sur la façon d’activer la protection puA dans Microsoft Edge et Microsoft Defender Antivirus basés sur Chromium, consultez Détecter et bloquer les applications potentiellement indésirables.
Les APPLICATIONS ne sont pas considérées comme des programmes malveillants.
Microsoft utilise des catégories spécifiques et les définitions de catégorie pour classifier les logiciels en tant que PUA.
Logiciels publicitaires : Logiciel qui affiche des publicités ou des promotions, ou vous invite à remplir des enquêtes pour d’autres produits ou services dans des logiciels autres que lui-même. Cela inclut les logiciels qui insèrent des publicités dans des pages web.
Logiciel Torrent (Entreprise uniquement) : Logiciels utilisés pour créer ou télécharger des torrents ou d’autres fichiers spécifiquement utilisés avec les technologies de partage de fichiers p2P.
Logiciel de cryptomining (Entreprise uniquement) : Logiciels qui utilisent les ressources de votre appareil pour exploiter des crypto-monnaies.
Logiciel de regroupement : Logiciels qui proposent d’installer d’autres logiciels qui ne sont pas développés par la même entité ou qui ne sont pas requis pour l’exécution du logiciel. En outre, les logiciels qui proposent d’installer d’autres logiciels qui peuvent être considérés comme puA en fonction des critères décrits dans ce document.
Logiciel marketing : Logiciel qui surveille et transmet les activités des utilisateurs à des applications ou des services autres que lui-même à des fins de recherche marketing.
Logiciel d’évasion : Logiciels qui tentent activement d’échapper à la détection par les produits de sécurité, y compris les logiciels qui se comportent différemment en présence de produits de sécurité.
Mauvaise réputation de l’industrie : Logiciels que les fournisseurs de sécurité approuvés détectent avec leurs produits de sécurité. Le secteur de la sécurité est dédié à la protection des clients et à l’amélioration de leurs expériences. Microsoft et d’autres organisations du secteur de la sécurité échangent en permanence des connaissances sur les fichiers que nous avons analysés pour fournir aux utilisateurs la meilleure protection possible.
Logiciels vulnérables
Un logiciel vulnérable est une application ou un code qui présente des failles de sécurité ou des faiblesses qui peuvent être exploitées par des attaquants pour effectuer diverses actions malveillantes et potentiellement destructrices. Ces vulnérabilités peuvent provenir d’erreurs de codage involontaires ou de défauts de conception, et si elles sont exploitées, elles peuvent entraîner des activités dangereuses telles que l’accès non autorisé, l’escalade de privilèges, la falsification, etc.
Pilotes vulnérables
Malgré les exigences strictes et les révisions imposées au code s’exécutant dans le noyau, les pilotes de périphérique restent sensibles à différents types de vulnérabilités et de bogues. Les exemples incluent l’altération de la mémoire et les bogues arbitraires de lecture et d’écriture, qui peuvent être exploités par des attaquants pour exécuter des actions malveillantes et destructrices plus importantes, des actions généralement restreintes en mode utilisateur. L’arrêt des processus critiques sur un appareil est un exemple d’action malveillante.