MMPC下发查杀广告软件定义，进入倒计时一周（什么？现在已经开始前奏了）

驭龙

全新时代即将来临，MMPC下发查杀广告软件定义倒计时一周，查杀PUS（潜在不需要软件）时刻，即将来临，我会在样本区坐等PUS定义的到来。

​A quick note to all of developers out there. You have until 1 July to let us know if you think your software shouldn’t be detected under our new adware criteria.

A few months ago I announced some major changes to how we at the Microsoft Malware Protection Center assess adware in my blog Adware: A new approach.

As a reminder, the updated criteria defines adware as:

Programs that promote a product or service outside of their own program can interfere with your computing experience. You should have clear choice and control when installing programs that open advertisements.

The advertisements that are opened by these programs must:

•Include an obvious way to close the ad.


•Include the name of the program that created the ad.


The program that creates these advertisements must:

•Provide a standard uninstall method for the program using the same name as shown in the ads it produces.


On 1 July, 2014 we will change the way our products behave when they detect adware. The programs that we still detect, and their supporting files, will be removed by default.

This means that you have about a week to let us know if you think your program shouldn’t be detected.

You can let us know through our developer contact form.

谷歌翻译：

一个快速的注意这里给所有的开发者。您必须在7月1日，让我们知道，如果你认为你的软件应该不属于我们的新广告的标准进行检测。

几个月前，我宣布了一些重大的变化，我们在微软恶意软件保护中心如何评估广告在我的博客广告软件：一种新的方法。

作为提醒，更新的标准定义广告为：

促进产品或服务本身的程序之外的程序可以与您的计算体验干涉。安装打开广告程序时，你应该有明确的选择和控制。

由这些程序必须打开广告：

•包括一个明显的方式来关闭广告。


•包括创建该广告的节目的名称。

  
创建这些广告必须的程序：

•使用相同的名称在它产生的广告所示的程序提供一个标准卸载方法。


于2014年7月1日，我们将改变我们的产品时，他们检测到广告软件的行为。我们仍然检测的程序，及其配套文件，将默认被删除。

这意味着你有一个星期左右，让我们知道，如果你觉得不应该检测你的程序。

您可以让我们知道通过我们的开发者联系方式。

这是今天更新的特征库定义中的一次特征库更新，注意其中包含多个行为定义和两个中等广告定义，难道PUS已经渐渐开始了吗？之前是很少有Behavior定义更新的，最近几天几乎天天有新Behavior定义添加到特征库，有可能是前奏。

New definitions
Antimalware (Antivirus + Antispyware)                        

Name	Alert Level
Behavior:Win32/Bariori.A	Severe
Behavior:Win32/BcdeditTestSigning.A	Severe
TrojanDownloader:Win32/Beebone.QV	Severe
TrojanDownloader:Win32/Berbew	Severe
Backdoor:MSIL/Bladabindi.CA	Severe
Behavior:Win32/BladabindiNRI.A	Severe
DDoS:Win32/Darktima.A	Severe
Rogue:Win32/Defmid	Severe
TrojanDownloader:Win32/Delf.VL	Severe
TrojanDownloader:Win32/Dofoil.D	Severe
Worm:Win32/Enosch.A	Severe
Virus:Win32/Expiro.CD	Severe
Trojan:Win32/Gatak	Severe
VirTool:MSIL/Injector	Severe
Trojan:Win64/Killav.B	Severe
PWS:Win32/Lmir.X	Severe
Behavior:Win32/MpTamperMsi.A	Severe
Trojan:Win32/Orbus	Severe
Worm:Win32/Polkayam.A	Severe
Worm:Win32/Pykspa.C	Severe
Behavior:Win32/RunDotDotKey.A	Severe
Behavior:Win32/ShadowCopyDelete.A	Severe
Trojan:Win32/Shapouf.B	Severe
Trojan:Win32/Sirefef.P	Severe
Worm:Win32/Slodoor.A	Severe
Trojan:Win32/Vundo.RU	Severe
TrojanDownloader:Win32/Zemot.E	Severe
Adware:Win32/BetterSurf	Moderate
HackTool:Win32/Passview	Moderate
Adware:Win32/Vonteera	Moderate

Miostartos

又回到WD啦

cxy密斯

坐等ing，到时候看看怎么样

驭龙

STCn1000 发表于 2014-6-24 12:35
又回到WD啦

你是在说我吗？前几天我不是说卸载卡巴，因为那天的一条定义。

话说今天MA获得一条新行为定义，是检测修改Hoststxt文件的行为定义，越来越有趣了

markland

关键时刻微软拉稀就搞笑了。应该是7月份补丁日才推送新版的吧。

狴犴睚眦

又多了一个能用的了

Miostartos

驭龙 发表于 2014-6-24 12:41
你是在说我吗？前几天我不是说卸载卡巴，因为那天的一条定义。

话说今天MA获得一条新行为定义，是检测 ...

哈哈。。微软动作可真多啊
不过这文件是干啥的

驭龙

STCn1000 发表于 2014-6-24 12:47
哈哈。。微软动作可真多啊
不过这文件是干啥的

不会吧，Hosts，不就是指定ip的主机文件吗

Miostartos

驭龙 发表于 2014-6-24 12:49
不会吧，Hosts，不就是指定ip的主机文件吗

咱的基础知识很不过关的。
不过这一说我倒是想起来了
这下主防覆盖范围更大了啊

驭龙

STCn1000 发表于 2014-6-24 12:57
咱的基础知识很不过关的。
不过这一说我倒是想起来了
这下主防覆盖范围更大了啊

我现在就是在想PUS定义，究竟会是独立定义的特征库，还是直接添加到现在的防间谍软件定义特征库中，希望是独立的。

话说SCEP的上次更新已经过去三个月了，不知七月补丁日会不会更新版本，毕竟之前说一年更新三次版本。

只可惜到现在也没有新版本的消息，连测试版、预发行版本都没有消息