Microsoft сообщила, что в августе 2021 года Microsoft Defender и Microsoft Edge в Windows 10 начнут автоматически блокировать потенциально нежелательные приложения (potentially unwanted applications, PUA) на машинах пользователей. Хотя такое ПО не является таким опасным, как банковские трояны, инфостилеры или вымогатели, PUA по-прежнему считаются вредоносными.
Как правило, PUA — это рекламное ПО, которое часто распространяется в комплекте с другим софтом или устанавливается в систему без согласия пользователя по схемам pay-per-install. Такие приложения часто показывают навязчивую рекламу, отслеживают пользователей и продают их данные рекламодателям, изменяют настройки браузера, устанавливают корневые сертификаты для перехвата трафика, «загрязняют» результаты поиска в браузере, чтобы принести прибыль третьей стороне.
Но проблема заключается в том, что под определение PUA может попасть многое, от расширений для браузера и рекламного ПО, до оптимизаторов ОС и программ, не обеспечивающих обещанной функциональности.
Представители Microsoft перечисляют, по каким критериям в компании определяют, что то или иное приложение следует отнести к PUA.
- Рекламное ПО: программное обеспечение, которое отображает рекламу или осуществляет рекламное продвижение, предлагает пройти опросы для других продуктов или сервисов в программном обеспечении, отличном от него самого. К этой категории относится ПО, внедряющее рекламу на веб-страницы.
- ПО для торрентов (только для Enterprise-версий): программное обеспечение, которое используется для создания или загрузки торрент-файлов или других файлов, используемых в рамках p2p-обмена.
- ПО для майнинга криптовалют: программное обеспечение, которое использует ресурсы устройства для добычи криптовалют.
- Бандлы: программное обеспечение, которое предлагает установить другое программное обеспечение, не разработанное той же организацией и не требующееся для работы. Также программное обеспечение, предлагающее установить другое программное обеспечение, которое квалифицируется как PUA (в соответствии с критериями, изложенными в этом документе).
- Маркетинговое ПО: программное обеспечение, которое отслеживает действия пользователей и передает данные приложениям или сервисам, отличным от себя, для маркетинговых исследований.
- ПО уклоняющееся от обнаружения: программное обеспечение, которое активно пытается уклониться от обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя иначе, если продукты безопасности активны.
- ПО с плохой репутацией в отрасли: программное обеспечение, которое проверенные поставщики средств безопасности обнаруживают с помощью своих продуктов. Индустрия безопасности посвящена защите клиентов и улучшению их опыта. Microsoft и другие ИБ-организации постоянно обмениваются знаниями об изученных файлах, чтобы обеспечить пользователям наилучшую защиту.
Таким образом, ряд легитимных программ тоже может быть отнесен к PUA и заблокирован Microsoft Defender. Например, обнаружены и удалены могут быть приложения для майнинга криптовалют и торрент-клиенты, которые обычно используются в законных целях.
Функция блокировки PUA появилась в Windows (v2004) в мае прошлого года, когда соответствующей функциональностью обзавелся Microsoft Defender. Однако весь этот год функция была отключена по умолчанию, так как инженеры Microsoft продолжали работать над ошибками. Теперь же эту функцию по умолчанию включат для всех пользователей Windows 10. Проверить, включена ли она, можно в Start -> Settings -> Update & Security -> Windows Security -> App & browser control -> Reputation-based protection settings.
Хотя функцию можно отключить, вместо столь радикальных мер специалисты Microsoft советуют создавать исключения в Microsoft Defender, чтобы предотвратить попадание конкретных файлов в карантин, но не отключать защиту.