Como o Windows Defender identifica um spywareIdentificar e analisar um spyware é um desafio complexo. Novas formas de spyware estão constantemente em desenvolvimento, e a mesma tecnologia capaz de criar spywares mal-intencionados e indesejados também está presente em programas que os usuários querem manter e usar em seus computadores, como um software antivírus. Nem sempre é possível para um software determinar se o cliente quer preservar ou remover um determinado programa.
A estratégia da Microsoft lida com este desafio de duas formas: 1. | Trabalhando com outros líderes do setor para compartilhar as práticas recomendadas sobre como identificar e analisar spywares. | 2. | Ajudando a garantir que os clientes da Microsoft tenham as informações e as ferramentas necessárias para decidirem quais softwares eles irão permitir o download e a instalação em seus computadores. |
O termo software mal-intencionado refere-se a programas que demonstram comportamento ilegal, viral, fraudulento ou mal-intencionado. O Windows Defender ajuda a identificar e bloquear spywares mal-intencionados. Ele solicita que você decida se deseja instalar programas identificados como legítimos e recomenda que você não instale programas que ainda não tenham sido analisados e definidos. Você também pode participar da rede mundial que a Microsoft criou para que os usuários enviem novos spywares suspeitos ou softwares indesejados para serem analisados pelos pesquisadores da Microsoft. Isso ajuda a Microsoft a identificar programas mal-intencionados e adicioná-los à lista de definição do Windows Defender. Todo software analisado e considerado mal-intencionado é adicionado à biblioteca de definição de spywares da Microsoft. Esta biblioteca de definição contém um enorme banco de dados de arquivos e configurações de ameaça de spyware. Quando os pesquisadores da Microsoft identificam novas ameaças, eles criam novas definições e as incluem na biblioteca. A Microsoft lança atualizações de definição regularmente para ajudar os usuários a protegerem seus computadores e informações pessoais. Veja uma ilustração do ciclo anti-spyware do Windows Defender. Como os pesquisadores da Microsoft analisam programasOs pesquisadores da Microsoft examinam um software sob várias perspectivas: | • | Contexto, objetivo e origem do programa. | | • | Comportamento exibido pelo programa. | | • | Avaliação segundo critérios que variam de opiniões de clientes até o impacto do software no desempenho do computador, segurança e privacidade do usuário. |
(Novas formas de spyware e outros softwares indesejados são desenvolvidas e distribuídas rapidamente. Por isso, a Microsoft se reserva o direito de ajustar, expandir e atualizar seus critérios de análise sem aviso prévio.) Contexto e objetivo do software
Várias formas de comportamento associadas a spywares são também usadas para fins legítimos. Por exemplo, um spyware geralmente se inicia automaticamente. Mas o mesmo acontece com programas antivírus e de firewall. Ambos podem ser configurados para se iniciarem automaticamente quando forem carregados (um recurso denominado "autostart") e ambos podem fornecer atualização automática a critério do usuário. Contudo, uma diferença importante entre um spyware e um software legítimo é que o software legítimo deve apresentar um modo claro de ativar, desativar ou modificar essas configurações. Origem do software
A Microsoft também examina o comportamento de programas instalados por fornecedores específicos de software e suas empresas afiliadas. Os pesquisadores determinam se os fornecedores e/ou empresas afiliadas devem ou não ser incluídos na biblioteca de definições. Comportamento do software
As formas de comportamento de software são classificadas de acordo com seu potencial de causar danos ou interrupções. O comportamento de um worm, por exemplo, é classificado como extremamente perigoso. O comportamento de pop-ups ("adware") é caracterizado como tendo menos potencial para causar danos, mas que pode causar interrupções no trabalho do usuário. Cinco critérios de avaliaçãoOs pesquisadores da Microsoft utilizam as seguintes categorias para determinar se um programa deve ou não ser adicionado à biblioteca de definições para detecção e qual tipo de classificação, nível de risco e recomendação deve ser atribuído a ele. | • | Comportamento enganador. Programas que executam processos no computador do usuário sem notificá-lo nem obter sua permissão para isso. Esse comportamento impede que os usuários controlem as ações executadas pelo programa durante sua execução no computador. Impede também que os usuários instalem ou removam o programa. | | • | Confidencialidade. Programas que recolhem, utilizam ou divulgam informações pessoais e padrões de comportamento do usuário (como hábitos de navegação) sem sua permissão explícita. | | • | Segurança. Programas que tentam driblar ou desativar os recursos de segurança no computador do usuário, ou afetar a segurança do computador de alguma outra forma. | | • | Desempenho. Programas que enfraquecem o desempenho, a confiabilidade e a qualidade da operação do computador, causando baixa velocidade, menor produtividade ou corrompimento do sistema operacional. | | • | Opiniões do setor e de consumidores. São considerados comentários e opiniões do mercado de software e de usuários individuais como fator fundamental para ajudar a identificar novos comportamentos e programas capazes de apresentar risco à operacionalidade do computador. |
Comportamento enganador: falta de aviso ou permissãoOs usuários devem ser avisados sobre o que acontece em seus computadores, incluindo o que um programa faz e se ele está ou não ativo. Um software que não exibe um aviso explícito: | • | Não fornece informações sobre seu editor, site de origem ou dados semelhantes. | | • | Não apresenta um contrato de licença para o usuário final durante o curso da operação normal do usuário. | | • | Não fornece informações claras sobre o comportamento do programa e seu objetivo. | | • | Não indica de forma nítida quando o programa está ativo e tenta ocultar ou disfarçar sua presença. |
Um software que não solicita uma permissão explícita: | • | Se auto-instala, reinstala ou remove sem a permissão ou interação do usuário. Incluem-se ações de empresas afiliadas do fornecedor do software. | | • | Inicia uma conexão externa (modem, Internet, etc.) sem a permissão do usuário. | | • | Instala outros softwares sem nenhuma indicação clara da sua relação com o programa original. | | • | Restaura chaves de registro ou entradas de arquivo que o usuário removeu. | | • | Não apresenta opções de registro para a obtenção de informações específicas do usuário (além da apresentação dos termos de licença). Avisar o usuário sobre a existência de termos de licença não é considerado um meio suficiente de receber a permissão do mesmo para executar um programa. |
Comportamento enganador: falta de controleOs usuários devem ser capazes de controlar os programas instalados em seus computadores. Eles devem poder iniciar e parar um programa, bem como negar autorização para executá-lo. Um software que não oferece controle: | • | Resiste às tentativas do usuário de fechá-lo ou removê-lo. | | • | Abre janelas do navegador sem autorização. | | • | Inicia processos que não podem ser encerrados manualmente pelo usuário. | | • | Redireciona ou bloqueia pesquisas, consultas, URLs digitadas pelo usuário ou acesso a outros sites sem avisar claramente o usuário nem obter sua permissão explícita. | | • | Inicia processos de inicialização ou atualização automática sem a permissão do usuário. |
Inicialização ou atualização automática
As funções de inicialização automática (autostart) e atualização automática (auto update) podem tirar o controle dos usuários e oferecer maior controle ao programa. Este comportamento não é inerentemente mal-intencionado ou errado, mas pode ser problemático. Além disso, esses programas em geral não têm uma interface de usuário e, por isso, os usuários provavelmente não sabem que o programa está em execução nem como desativá-lo, ou mesmo se ele pode ser desativado. Ao analisar o contexto e o objetivo do programa, a Microsoft leva em consideração não apenas até que ponto os usuários sabem que o programa está em operação, mas também a capacidade desses usuários de manter um nível razoável de controle sobre essas funções. Pop-ups e programas que divulgam anúncios
Os pop-ups e outros programas de divulgação de anúncios, que fazem propaganda de um produto ou serviço para fins comerciais, são as maiores formas de interferência de software na operação do computador. Os pop-ups e outros programas de divulgação de anúncios: | • | Aparecem de forma independente, fora do contexto do programa, site ou outra origem sendo anunciada pelos pop-ups. | | • | Não apresentam uma atribuição clara da sua origem. | | • | Apresentam conteúdo falso ou disfarçado. | | • | Fornecem controles limitados ou não fornecem controle, o que torna difícil para os usuários fechar ou excluir o programa. |
O Windows Defender avisa ao usuário quanto à presença de anúncios pop-up automáticos que aparecem fora do contexto do programa sendo utilizado no momento, quer o pop-up apresente ou não atribuição. Os usuários também são avisados da existência de programas que geram pop-ups e que não oferecem controle explícito. Comportamento enganador: instalação e remoçãoOs usuários devem poder iniciar e parar um programa, bem como negar autorização para executá-lo. Os programas devem obter permissão apropriada dos usuários antes de serem instalados. O programa deve oferecer uma forma clara e direta de ser instalado, desinstalado ou desativado pelo usuário. Um software que apresenta instalação precária: | • | Utiliza nomes que podem ser confundidos com outros programas ou são falsos ou disfarçados. | | • | Instala-se em um diretório obscuro. | | • | Instala um controle ActiveX sem um procedimento de configuração prévio. | | • | Utiliza prompts enganosos para convencer os usuários a baixar ou instalar softwares. | | • | Se oculta ou não consegue identificar um software adicional que está reunido ao software para download. |
Um software que apresenta remoção precária: | • | Não fornece informações de ajuda para a desinstalação do programa. | | • | Não utiliza recursos padrões de instalação/desinstalação, tais como Adicionar ou remover programas. | | • | Requer o download de um programa de desinstalação separado a partir de um site ou a conexão à Internet para que possa ser desinstalado. | | • | Apresenta um grande número de prompts ou pop-ups confusos/enganadores durante a tentativa de desinstalar o software. | | • | Não remove ou desativa um programa quando solicitado pelo usuário. | | • | Remove o utilitário Restauração do sistema, o Painel de Controle ou elementos destes recursos, ou oculta-os da exibição do usuário. | | • | Remove ou desativa outros softwares sem avisar ao usuário ou solicitar sua permissão. |
Programas reunidos Alguns softwares vêm "reunidos" a programas adicionais, que podem conter recursos extras que estejam relacionados ao software ou que ofereçam funções não relacionadas. Os termos relativos a todos os softwares reunidos em um conjunto devem ser discutidos no acordo de licença. Os programas devem listar os programas do conjunto cuja execução simultânea seja necessária para o funcionamento do software, bem como todas as outras implicações práticas do contrato de licença. Um software formado por conjuntos reunidos pode indicar um software mal-intencionado se o relacionamento entre os programas reunidos não ficar claro para o usuário. Por exemplo: | • | O usuário deve saber se os programas X, Y e Z são componentes reunidos do Programa A. Do contrário, o usuário não irá saber por que eles estão presentes no computador (talvez ele só saiba sobre a instalação do Programa A). | | • | O usuário deve ter a opção de remover os Programas X, Y e Z quando remover o Programa A. | | • | O usuário deve ser informado antes de instalar o Programa A se ele não funcionará sem que sejam instalados também os Programas X, Y e Z no computador. |
ConfidencialidadeOs usuários geralmente querem manter o controle sobre suas informações pessoais. Eles esperam poder determinar como suas informações pessoais serão recolhidas, usadas e divulgadas a terceiros — seja em uma comunicação com pessoas ou empresas ou em transações comerciais. A confidencialidade também inclui livrar-se de comunicações indesejadas. Um software que apresenta práticas precárias de confidencialidade: | • | Não oferece uma diretiva de privacidade facilmente acessível, que explique o recolhimento de dados e outras práticas usadas pelo programa ou site. | | • | Rastreia os hábitos de navegação sem permissão explícita do usuário. | | • | Requer informações adicionais para poder ser desinstalado, tais como o endereço de email do usuário ou informações de contato. | | • | Permite que as comunicações do usuário sejam monitoradas, redirecionadas ou alteradas sem aviso ou permissão. | | • | Emprega decodificadores de software que decifram a criptografia, autorização e/ou não-repúdio de dados sem autorização. |
Alguns tipos de programas residem fora do sistema operacional mas também podem causar impacto na confidencialidade do usuário. Entre eles, estão: | • | Programas de monitoração. Programas que monitoram a atividade do usuário, registrando teclas pressionadas, imagens de tela exibidas ou outros elementos identificáveis. | | • | Programas de acesso remoto. Programas projetados para oferecer controle sobre um computador a partir de um local remoto. |
Observação: Nem todos os programas de monitoração e de acesso remoto são mal-intencionados. Os controles de restrição para menores podem apresentar monitoradores de teclas pressionadas, e é comum que administradores ou proprietários de computadores empresariais instalem programas de acesso remoto como complementos às configurações básicas dos computadores. Mas esses programas podem apresentar risco à confidencialidade do usuário, se ele não espera ou desconhece a presença deles. SegurançaOs usuários devem esperar que seus sistemas tenham capacidade para se recuperar de ataques a rede cada vez mais freqüentes e sofisticados. Eles devem ser capazes de manter a confidencialidade, integridade e disponibilidade do sistema e dos dados. Um software que apresenta práticas precárias de segurança: | • | Desabilita firewalls, antivírus ou outros softwares de segurança ou interfere na operação dos mesmos. | | • | Explora vulnerabilidades na segurança. | | • | Altera as configurações de segurança do sistema operacional ou software (tais como as configurações de segurança do navegador) sem a permissão do usuário. | | • | Realiza alterações vitais na configuração (tais como modificações no registro de inicialização, em arquivos de host ou nas configurações de segurança) sem a permissão do usuário. | | • | Inicia uma conexão externa (como uma conexão por modem ou à Internet) sem a permissão do usuário. | | • | É executado em um modo que oculta processos do usuário ou das ferramentas do sistema. | | • | Abre uma porta no computador sem o conhecimento do usuário. | | • | Incentiva terceiros a distribuir programas de forma ilegal ou antiética. Entre esses programas, incluem-se os softwares mal-intencionados. |
Software mal-intencionado Os comportamentos relacionados abaixo comprometem a segurança e são também característicos de um software mal-intencionado. Entre os vários tipos de softwares mal-intencionados, incluem-se: | • | Backdoor. Este software fornece um meio não documentado de obter acesso a um programa, serviço online ou a todo o sistema. | | • | Discagem. Este software se auto-instala nas configurações de acesso discado do computador e liga para números sem o conhecimento do usuário. | | • | Worm. Este software se difunde pelos computadores de uma rede automaticamente, sem ação humana. A partir daí, o worm passa a residir na memória do computador e a realizar tarefas prejudiciais. | | • | Tróia. Este software inicialmente parece ser útil e benigno, de modo a iludir os usuários e convencê-los a executá-lo. Quando executado, ele pode oferecer acesso indireto ao computador a hackers, destruir arquivos do disco rígido ou realizar outras tarefas mal-intencionadas. | | • | Tróia de acesso remoto (RAT). Esta classe de software Tróia permite que um hacker controle outro computador remotamente por meio de uma conexão à Internet, com privilégios de administrador do sistema. | | • | Phishing. Este software é utilizado para criar falsos emails ou páginas da web, que parecem ser de uma empresa legítima e conhecida. Seu objetivo é convencer o usuário a fornecer informações pessoais, que podem ser usadas para falsa identidade. |
As ameaças baseadas em spyware continuam a evoluir, tornando-se cada vez mais complexas e sofisticadas e propagando-se cada vez mais rápido. É importante que os usuários fiquem alertas para ameaças novas, existentes e em surgimento, que demonstrem comportamento mal-intencionado. DesempenhoAs formas de comportamento de software que afetam o desempenho do computador: | • | Sobrecarregam os recursos do sistema, o que resulta no desempenho visivelmente mais lento do computador. | | • | Consomem uma quantidade excepcionalmente grande de largura de banda em uma conexão à Internet. | | • | Reduzem a confiabilidade do computador. | | • | Criam incompatibilidades evidentes entre o software e o sistema operacional. | | • | Reduzem a qualidade da operação do computador de um modo geral. |
O Windows Defender ajuda a alertar os usuários quanto à presença de programas que reduzem significativamente o desempenho do ambiente de computação, principalmente quando os problemas criados pelo software agravarem problemas já existentes com comportamento enganador, privacidade ou segurança. Opiniões do setor e de consumidoresOs pesquisadores da Microsoft baseiam-se em comentários e opiniões do mercado de software e de usuários individuais para identificar novas formas de software potencialmente indesejadas. Para determinarem as classificações de software apropriadas, os pesquisadores consideram o impacto que o software indesejado exerce sobre a operacionalidade do computador para o usuário. Recurso de divulgação das opiniões de clientes
O Windows Defender permite que os usuários conheçam a opinião de outros usuários do software que está sendo analisado. Ele exibe percentuais vigentes de usuários que permitiram ou bloquearam cada software em questão, para fornecer ainda mais contexto para cada usuário determinar se deve permitir ou bloquear o software. Clientes do Windows Defender
A Microsoft criou uma rede mundial para onde os usuários podem enviar novos spywares suspeitos ou softwares indesejados para serem analisados pelos pesquisadores da Microsoft. Os participantes da rede desempenham um papel fundamental ajudando a Microsoft a identificar novos programas suspeitos rapidamente. A Microsoft cria definições para os programas que correspondem aos critérios da análise e as disponibiliza a todos os usuários do Windows Defender. Origens de dados novas e emergentes
A Microsoft também examina uma grande quantidade de origens de dados novas e emergentes ao analisar e classificar um software. Como parte do seu esforço, a Microsoft compromete-se a trabalhar com grupos e organizações do setor, tais como o Center for Democracy & Technology e seu grupo Consumer Software Working Group, a fim de ajudar a concentrar esforços de regulamentação e imposição de práticas relacionadas ao desenvolvimento de programas realmente enganosos. Fale com a Microsoft para informar problemas potenciais com spywaresSe você achar que foi afetado de forma negativa por um spyware, baixe e instale o Windows Defender. Se o spyware persistir, informe o problema à Microsoft.
| 
