Kaspersky Endpoint Security для Windows 11.10.0
- English
- Čeština (Česká republika)
- Deutsch
- Español (España)
- Español (México)
- Français
- Italiano
- Magyar (Magyarország)
- Nederlands (Nederland)
- Polski (Polska)
- Português (Brasil)
- Português (Portugal)
- Română (România)
- Tiếng Việt (Việt Nam)
- Türkçe (Türkiye)
- العربية (الإمارات العربية المتحدة)
- 한국어 (대한민국)
- 简体中文
- 繁體中文
- 日本語(日本)
- English
- Čeština (Česká republika)
- Deutsch
- Español (España)
- Español (México)
- Français
- Italiano
- Magyar (Magyarország)
- Nederlands (Nederland)
- Polski (Polska)
- Português (Brasil)
- Português (Portugal)
- Română (România)
- Tiếng Việt (Việt Nam)
- Türkçe (Türkiye)
- العربية (الإمارات العربية المتحدة)
- 한국어 (대한민국)
- 简体中文
- 繁體中文
- 日本語(日本)
- Справка Kaspersky Endpoint Security для Windows
- Kaspersky Endpoint Security для Windows
- Установка и удаление приложения
- Развертывание через Kaspersky Security Center
- Локальная установка приложения с помощью мастера
- Удаленная установка приложения с помощью System Center Configuration Manager
- Описание параметров установки в файле setup.ini
- Изменение состава компонентов приложения
- Обновление предыдущей версии приложения
- Удаление приложения
- Лицензирование приложения
- О Лицензионном соглашении
- О лицензии
- О лицензионном сертификате
- О подписке
- О лицензионном ключе
- О коде активации
- О файле ключа
- Сравнение функций приложения в зависимости от типа лицензии для рабочих станций
- Сравнение функций приложения в зависимости от типа лицензии для серверов
- Активация приложения
- Просмотр информации о лицензии
- Приобретение лицензии
- Продление подписки
- Предоставление данных
- Начало работы
- O плагине управления Kaspersky Endpoint Security для Windows
- Особенности работы с плагинами управления разных версий
- Особенности использования защищенных протоколов для взаимодействия с внешними службами
- Интерфейс приложения
- Подготовка приложения к работе
- Управление политиками
- Управление задачами
- Настройка локальных параметров приложения
- Запуск и остановка Kaspersky Endpoint Security
- Приостановка и возобновление защиты и контроля компьютера
- Создание и использование конфигурационного файла
- Восстановление параметров приложения по умолчанию
- Антивирусная проверка компьютера
- Обновление баз и модулей приложения
- Схемы обновления баз и модулей приложения
- Запуск и остановка задачи обновления
- Запуск задачи обновления с правами другого пользователя
- Выбор режима запуска для задачи обновления
- Добавление источника обновлений
- Настройка обновления из папки общего доступа
- Обновление модулей приложения
- Использование прокси-сервера при обновлении
- Откат последнего обновления
- Работа с активными угрозами
- Защита компьютера
- Защита от файловых угроз
- Включение и выключение Защиты от файловых угроз
- Автоматическая приостановка Защиты от файловых угроз
- Изменение действия компонента Защита от файловых угроз над зараженными файлами
- Формирование области защиты компонента Защита от файловых угроз
- Использование методов проверки
- Использование технологий проверки в работе компонента Защита от файловых угроз
- Оптимизация проверки файлов
- Проверка составных файлов
- Изменение режима проверки файлов
- Защита от веб-угроз
- Защита от почтовых угроз
- Включение и выключение Защиты от почтовых угроз
- Изменение действия над зараженными сообщениями электронной почты
- Формирование области защиты компонента Защита от почтовых угроз
- Проверка составных файлов, вложенных в сообщения электронной почты
- Фильтрация вложений в сообщениях электронной почты
- Экспорт и импорт списка расширений для фильтра вложений
- Проверка почты в Microsoft Office Outlook
- Защита от сетевых угроз
- Сетевой экран
- Защита от атак BadUSB
- AMSI-защита
- Защита от эксплойтов
- Анализ поведения
- Включение и выключение Анализа поведения
- Выбор действия при обнаружении вредоносной активности приложения
- Защита папок общего доступа от внешнего шифрования
- Включение и выключение защиты папок общего доступа от внешнего шифрования
- Выбор действия при обнаружении внешнего шифрования папок общего доступа
- Создание исключения для защиты папок общего доступа от внешнего шифрования
- Настройка адресов исключений из защиты папок общего доступа от внешнего шифрования
- Экспорт и импорт списка исключений из защиты папок общего доступа от внешнего шифрования
- Предотвращение вторжений
- Откат вредоносных действий
- Kaspersky Security Network
- Проверка защищенных соединений
- Удаление данных
- Защита от файловых угроз
- Контроль компьютера
- Веб-Контроль
- Включение и выключение Веб-Контроля
- Действия с правилами доступа к веб-ресурсам
- Экспорт и импорт списка адресов веб-ресурсов
- Мониторинг активности пользователей в интернете
- Изменение шаблонов сообщений Веб-Контроля
- Правила формирования масок адресов веб-ресурсов
- Миграция правил доступа к веб-ресурсам из предыдущих версий приложения
- Контроль устройств
- Включение и выключение Контроля устройств
- О правилах доступа
- Изменение правила доступа к устройствам
- Изменение правила доступа к шине подключения
- Добавление сети Wi-Fi в список доверенных
- Мониторинг использования съемных дисков
- Изменение периода кеширования
- Действия с доверенными устройствами
- Получение доступа к заблокированному устройству
- Изменение шаблонов сообщений Контроля устройств
- Анти-Бриджинг
- Адаптивный контроль аномалий
- Включение и выключение Адаптивного контроля аномалий
- Включение и выключение правила Адаптивного контроля аномалий
- Изменение действия при срабатывании правила Адаптивного контроля аномалий
- Создание исключения для правила Адаптивного контроля аномалий
- Экспорт и импорт исключений для правил Адаптивного контроля аномалий
- Применение обновлений для правил Адаптивного контроля аномалий
- Изменение шаблонов сообщений Адаптивного контроля аномалий
- Просмотр отчетов Адаптивного контроля аномалий
- Контроль приложений
- Ограничения функциональности Контроля приложений
- Получение информации о приложениях, которые установлены на компьютерах пользователей
- Включение и выключение Контроля приложений
- Выбор режима Контроля приложений
- Управление правилами Контроля приложений
- Добавление условия срабатывания правила Контроля приложений
- Добавление в категорию приложений исполняемых файлов из папки Исполняемые файлы
- Добавление в категорию приложений исполняемых файлов, связанных с событиями
- Добавление правила Контроля приложений
- Изменение статуса правила Контроля приложений с помощью Kaspersky Security Center
- Экспорт и импорт правил Контроля приложений
- Просмотр событий по результатам работы компонента Контроль приложений
- Просмотр отчета о запрещенных приложениях
- Тестирование правил Контроля приложений
- Мониторинг активности приложений
- Правила формирования масок имен файлов или папок
- Изменение шаблонов сообщений Контроля приложений
- Лучшие практики по внедрению режима списка разрешенных приложений
- Контроль сетевых портов
- Веб-Контроль
- Защита паролем
- Доверенная зона
- Создание исключения из проверки
- Запуск и остановка работы исключения из проверки
- Выбор типов обнаруживаемых объектов
- Формирование списка доверенных приложений
- Включение и выключение действия правил доверенной зоны на приложение из списка доверенных приложений
- Использование доверенного системного хранилища сертификатов
- Работа с резервным хранилищем
- Служба уведомлений
- Работа с отчетами
- Самозащита Kaspersky Endpoint Security
- Производительность Kaspersky Endpoint Security и совместимость с другими приложениями
- Шифрование данных
- Ограничения функциональности шифрования
- Смена длины ключа шифрования (AES56 / AES256)
- Шифрование диска Kaspersky
- Особенности шифрования SSD-дисков
- Запуск шифрования диска Kaspersky
- Формирование списка жестких дисков для исключения из шифрования
- Экспорт и импорт списка жестких дисков для исключения из шифрования
- Включение использования технологии единого входа (SSO)
- Управление учетными записями Агента аутентификации
- Использование токена и смарт-карты при работе с Агентом аутентификации
- Расшифровка жестких дисков
- Восстановление доступа к диску, защищенному технологией Шифрование диска Kaspersky
- Вход под служебной учетной записью Агента аутентификации
- Обновление операционной системы
- Устранение ошибок при обновлении функциональности шифрования
- Выбор уровня трассировки Агента аутентификации
- Изменение справочных текстов Агента аутентификации
- Удаление объектов и данных, оставшихся после тестовой работы Агента аутентификации
- Управление BitLocker
- Шифрование файлов на локальных дисках компьютера
- Запуск шифрования файлов на локальных дисках компьютера
- Формирование правил доступа приложений к зашифрованным файлам
- Шифрование файлов, создаваемых и изменяемых отдельными приложениями
- Формирование правила расшифровки
- Расшифровка файлов на локальных дисках компьютера
- Создание зашифрованных архивов
- Восстановление доступа к зашифрованным файлам
- Восстановление доступа к зашифрованным данным в случае выхода из строя операционной системы
- Изменение шаблонов сообщений для получения доступа к зашифрованным файлам
- Шифрование съемных дисков
- Просмотр информации о шифровании данных
- Работа с зашифрованными устройствами при отсутствии доступа к ним
- Решения Detection and Response
- Kaspersky Endpoint Agent
- Managed Detection and Response
- Endpoint Detection and Response
- Интеграция с Kaspersky Endpoint Detection and Response
- Миграция из Kaspersky Endpoint Agent
- Поиск индикаторов компрометации (стандартная задача)
- Помещение файла на карантин
- Получение файла
- Удаление файла
- Запуск процесса
- Завершение процесса
- Запрет запуска объектов
- Сетевая изоляция компьютера
- Cloud Sandbox
- Приложение 1. Поддерживаемые расширения файлов для Запрета запуска объектов
- Приложение 2. Поддерживаемые интерпретаторы скриптов
- Приложение 3. Область поиска IOC в реестре (RegistryItem)
- Приложение 4. Требования к IOC-файлам
- Kaspersky Sandbox
- Kaspersky Anti Targeted Attack Platform (KATA EDR)
- Работа с карантином
- Kaspersky Security для Windows Server
- Управление приложением из командной строки
- Установка приложения
- Активация приложения
- Удаление приложения
- Команды AVP
- SCAN. Антивирусная проверка
- UPDATE. Обновление баз и модулей приложения
- ROLLBACK. Откат последнего обновления
- TRACES. Трассировка
- START. Запуск профиля
- STOP. Остановка профиля
- STATUS. Статус профиля
- STATISTICS. Статистика выполнения профиля
- RESTORE. Восстановление файлов из резервного хранилища
- EXPORT. Экспорт параметров приложения
- IMPORT. Импорт параметров приложения
- ADDKEY. Применение файла ключа
- LICENSE. Лицензирование
- RENEW. Приобретение лицензии
- PBATESTRESET. Сбросить результаты проверки перед шифрованием диска
- EXIT. Завершение работы приложения
- EXITPOLICY. Выключение политики
- STARTPOLICY. Включение политики
- DISABLE. Выключение защиты
- SPYWARE. Обнаружение шпионского ПО
- KSN. Переключение Глобальный / Локальный KSN
- Команды KESCLI
- Scan. Антивирусная проверка
- GetScanState. Статус выполнения проверки
- GetLastScanTime. Определения времени выполнения проверки
- GetThreats. Получение данных об обнаруженных угрозах
- UpdateDefinitions. Обновление баз и модулей приложения
- GetDefinitionState. Определение времени выполнения обновления
- EnableRTP. Включение защиты
- GetRealTimeProtectionState. Статус Защиты от файловых угроз
- Version. Определение версии приложения
- Команды управления Detection and Response
- Коды ошибок
- Приложение. Профили приложения
- Управление приложением через REST API
- Источники информации о программе
- Обращение в Службу технической поддержки
- Ограничения и предупреждения
- Глоссарий
- IOC
- IOC-файл
- OLE-объект
- OpenIOC
- Агент администрирования
- Агент аутентификации
- Активный ключ
- Антивирусные базы
- Архив
- База вредоносных веб-адресов
- База фишинговых веб-адресов
- Группа администрирования
- Доверенный платформенный модуль
- Дополнительный ключ
- Задача
- Зараженный файл
- Издатель сертификата
- Лечение объектов
- Лицензионный сертификат
- Ложное срабатывание
- Маска
- Нормализованная форма адреса веб-ресурса
- Область защиты
- Область проверки
- Портативный файловый менеджер
- Потенциально заражаемый файл
- Приложения
- Приложение 1. Параметры приложения
- Защита от файловых угроз
- Защита от веб-угроз
- Защита от почтовых угроз
- Защита от сетевых угроз
- Сетевой экран
- Защита от атак BadUSB
- AMSI-защита
- Защита от эксплойтов
- Анализ поведения
- Предотвращение вторжений
- Откат вредоносных действий
- Kaspersky Security Network
- Веб-Контроль
- Контроль устройств
- Контроль приложений
- Адаптивный контроль аномалий
- Endpoint Sensor
- Kaspersky Sandbox
- Endpoint Detection and Response
- Полнодисковое шифрование
- Шифрование файлов
- Шифрование съемных дисков
- Шаблоны (шифрование данных)
- Исключения
- Настройки приложения
- Отчеты и хранилище
- Настройки сети
- Интерфейс
- Управление настройками
- Обновление баз и модулей приложения
- Приложение 2. Группы доверия приложений
- Приложение 3. Расширения файлов для быстрой проверки съемных дисков
- Приложение 4. Типы файлов для фильтра вложений Защиты от почтовых угроз
- Приложение 5. Сетевые параметры для взаимодействия с внешними службами
- Приложение 6. События приложения
- Приложение 1. Параметры приложения
- Информация о стороннем коде
- Уведомления о товарных знаках
Выбор типов обнаруживаемых объектов
Чтобы выбрать типы обнаруживаемых объектов, выполните следующие действия:
- В главном окне приложения нажмите на кнопку
. - В окне параметров приложения выберите раздел Общие настройки → Угрозы и исключения.
- В блоке Типы обнаруживаемых объектов установите флажки для типов объектов, которые должен обнаруживать Kaspersky Endpoint Security:
- Вирусы и черви;
Подкатегория: вирусы и черви (Viruses_and_Worms)
Степень угрозы: высокая
Классические вирусы и черви выполняют на компьютере действия, не разрешенные пользователем. Они могут создавать свои копии, которые обладают способностью дальнейшего самовоспроизведения.
Классический вирус
Попав в систему, классический вирус заражает какой-либо файл, активизируется в нем, выполняет свое вредоносное действие, а затем добавляет свои копии в другие файлы.
Классический вирус размножается только на локальных ресурсах компьютера и не может самостоятельно проникать на другие компьютеры. Он может попасть на другой компьютер только в том случае, если добавит свою копию в файл, который хранится в папке общего доступа или на установленном компакт-диске, или если пользователь сам перешлет сообщение электронной почты с вложенным в него зараженным файлом.
Код классического вируса может внедряться в различные области компьютера, операционной системы или приложения. В зависимости от среды обитания вирусы подразделяют на файловые, загрузочные, скриптовые и макро-вирусы.
Вирусы могут заражать файлы различными способами. Перезаписывающие (Overwriting) вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Зараженный файл перестает работать, и его нельзя восстановить. Паразитические (Parasitic) вирусы изменяют файлы, оставляя их полностью или частично работоспособными. Вирусы-компаньоны (Companion) не изменяют файлы, но создают их двойники. При открытии зараженного файла запускается его двойник, то есть вирус. Среди вирусов встречаются также вирусы-ссылки (Link), вирусы, заражающие объектные модули (OBJ), вирусы, заражающие библиотеки компиляторов (LIB), вирусы, заражающие исходные тексты программ, и другие.
Червь
Код червя, как и код классического вируса, попав в систему, активизируется и выполняет свое вредоносное действие. Свое название червь получил благодаря способности "переползать" с компьютера на компьютер – без разрешения пользователя распространять свои копии через различные информационные каналы.
Основной признак, по которому черви различаются между собой, – способ их распространения. Описание типов червей по способу распространения приводится в следующей таблице.
Способы распространения червей
Тип
Название
Описание
Email-Worm
Почтовые черви
Распространяются через электронную почту.
Зараженное сообщение электронной почты содержит прикрепленный файл с копией червя или ссылку на такой файл на веб-сайте, например, взломанном или специально созданном. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие адреса электронной почты и отправляя по ним зараженные сообщения.
IM-Worm
Черви IM-клиентов
Распространяются через IM-клиенты.
Обычно такой червь рассылает по контакт-листам сообщения, содержащие ссылку на файл с его копией на веб-сайте. Когда пользователь загружает файл и открывает его, червь активизируется.
IRC-Worm
Черви интернет-чатов
Распространяются через ретранслируемые интернет-чаты (Internet Relay Chats) – сервисные системы, с помощью которых можно общаться через интернет с другими людьми в реальном времени.
Такой червь публикует в интернет-чате файл со своей копией или ссылку на файл. Когда пользователь загружает файл и открывает его, червь активизируется.
Net-Worm
Сетевые черви (черви компьютерных сетей)
Распространяются через компьютерные сети.
В отличие от червей других типов, сетевой червь распространяется без участия пользователя. Он ищет в локальной сети компьютеры, на которых используются программы, содержащие уязвимости. Для этого он посылает специально сформированный сетевой пакет (эксплойт), который содержит код червя или его часть. Если в сети находится "уязвимый" компьютер, он принимает такой сетевой пакет. Полностью проникнув на компьютер, червь активизируется.
P2P-Worm
Черви файлообменных сетей
Распространяются через файлообменные пиринговые сети.
Чтобы внедриться в файлообменную сеть, червь копирует себя в каталог обмена файлами, обычно расположенный на компьютере пользователя. Файлообменная сеть отображает информацию об этом файле, и пользователь может "найти" зараженный файл в сети так же, как и любой другой, загрузить его и открыть.
Более сложные черви имитируют сетевой протокол конкретной файлообменной сети: они положительно отвечают на поисковые запросы и предлагают для загрузки свои копии.
Worm
Прочие черви
К прочим сетевым червям относятся:
- Черви, которые распространяют свои копии через сетевые ресурсы. Используя функции операционной системы, они перебирают доступные сетевые папки, подключаются к компьютерам в глобальной сети и пытаются открыть их диски на полный доступ. В отличие от описанных выше разновидностей червей, прочие черви активизируются не самостоятельно, а как только пользователь открывает файл с копией червя.
- Черви, которые не относятся ни к одному из описанных в этой таблице способов распространения (например, те, которые распространяются через мобильные телефоны).
- Троянские приложения (в том числе приложения-вымогатели);
Подкатегория: троянские программы (Trojan_programs)
Степень угрозы: высокая
В отличие от червей и вирусов, троянские программы не создают свои копии. Они проникают на компьютер, например, через электронную почту или через браузер, когда пользователь посещает зараженную веб-страницу. Троянские программы запускаются при участии пользователя. Они начинают выполнять свое вредоносное действие сразу после запуска.
Разные троянские программы ведут себя на зараженном компьютере по-разному. Основные функции троянских программ – блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Кроме этого, троянские программы могут принимать или отправлять файлы, выполнять их, выводить на экран сообщения, обращаться к веб-страницам, загружать и устанавливать программы, перезагружать компьютер.
Злоумышленники часто используют "наборы" из разных троянских программ.
Типы поведения троянских программ описаны в следующей таблице.
Типы поведения троянских программ на зараженном компьютере
Тип
Название
Описание
Trojan-ArcBomb
Троянские программы – "архивные бомбы"
Архивы; при распаковке увеличиваются до таких размеров, что нарушают работу компьютера.
Когда пользователь пытается распаковать такой архив, компьютер может начать работать медленно или "зависнуть", диск может заполниться "пустыми" данными. "Архивные бомбы" особенно опасны для файловых и почтовых серверов. Если на сервере используется система автоматической обработки входящей информации, такая "архивная бомба" может остановить сервер.
Backdoor
Троянские программы удаленного администрирования
Считаются наиболее опасными среди троянских программ. По своим функциям напоминают устанавливаемые на компьютеры программы удаленного администрирования.
Эти программы устанавливают себя в компьютере незаметно для пользователя и позволяют злоумышленнику удаленно управлять компьютером.
Trojan
Троянские программы
Включают следующие вредоносные программы:
- Классические троянские программы. Эти программы выполняют только основные функции троянских программ: блокирование, изменение или уничтожение информации, нарушение работы компьютеров или компьютерных сетей. Они не имеют дополнительных функций, свойственных другим типам троянских программ, описанным в этой таблице.
- "Многоцелевые" троянские программы. Эти программы имеют дополнительные функции, присущие сразу нескольким типам троянских программ.
Trojan-Ransom
Троянские программы, требующие выкупа
"Берут в заложники" информацию на компьютере пользователя, изменяя или блокируя ее, или нарушают работу компьютера таким образом, чтобы пользователь не мог воспользоваться информацией. Злоумышленник требует от пользователя выкуп за обещание выслать программу, которая восстановит работоспособность компьютера и данные на нем.
Trojan-Clicker
Троянские программы-кликеры
С компьютера пользователя обращаются к веб-страницам: они или сами посылают команды браузеру, или заменяют хранящиеся в системных файлах веб-адреса.
C помощью этих программ злоумышленники организовывают сетевые атаки, повышают посещаемость сайтов, чтобы увеличить количество показов рекламных баннеров.
Trojan-Downloader
Троянские программы-загрузчики
Обращаются к веб-странице злоумышленника, загружают с нее другие вредоносные программы и устанавливают их на компьютере пользователя; могут хранить имя файла загружаемой вредоносной программы в себе или получать его с веб-страницы, к которой обращаются.
Trojan-Dropper
Троянские программы-установщики
Сохраняют на диске компьютера, а затем устанавливают другие троянские программы, которые хранятся в теле этих программ.
Злоумышленники могут использовать троянские программы-установщики, чтобы достичь следующих целей:
- установить вредоносную программу незаметно для пользователя: троянские программы-установщики не отображают никаких сообщений или выводят на экран ложные сообщения, например, об ошибке в архиве или неверной версии операционной системы;
- защитить от обнаружения другую известную вредоносную программу: не все антивирусы могут распознать вредоносную программу внутри троянской программы-установщика.
Trojan-Notifier
Троянские программы-уведомители
Сообщают злоумышленнику о том, что зараженный компьютер находится "на связи"; передают ему информацию о компьютере: IP-адрес, номер открытого порта или адрес электронной почты. Они связываются со злоумышленником по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.
Троянские программы-уведомители часто используются в наборах из разных троянских программ. Они извещают злоумышленника о том, что другие троянские программы успешно установлены на компьютере пользователя.
Trojan-Proxy
Троянские программы-прокси
Позволяют злоумышленнику анонимно обращаться через компьютер пользователя к веб-страницам; часто используются для рассылки спама.
Trojan-PSW
Троянские программы, крадущие пароли
Троянские программы, крадущие пароли (Password Stealing Ware); крадут учетные записи пользователей, например, регистрационную информацию к программному обеспечению. Они отыскивают конфиденциальные данные в системных файлах и реестре и пересылают ее "хозяину" по электронной почте, через FTP, обращаясь к веб-странице злоумышленника или другим способом.
Некоторые из этих троянских программ выделены в отдельные типы, описанные в этой таблице. Это троянские программы, крадущие банковские счета (Trojan‑Banker), троянские программы, крадущие данные пользователей IM-клиентов (Trojan‑IM) и троянские программы, крадущие данные пользователей сетевых игр (Trojan‑GameThief).
Trojan-Spy
Троянские программы-шпионы
Ведут электронный шпионаж за пользователем: собирают информацию о его действиях на компьютере, например, перехватывают данные, которые пользователь вводит с клавиатуры, делают снимки экрана или собирают списки активных приложений. Получив эту информацию, они передают ее злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.
Trojan-DDoS
Троянские программы – сетевые атаки
Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании). Такими программами часто заражают многие компьютеры, чтобы с них одновременно атаковать один сервер.
DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера.
Trojan-IM
Троянские программы, крадущие данные пользователей IM-клиентов
Крадут номера и пароли пользователей IM-клиентов. Передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.
Rootkit
Руткиты
Скрывают другие вредоносные программы и их активность и таким образом продлевают пребывание этих программ в системе; могут скрывать файлы, процессы в памяти зараженного компьютера или ключи реестра, которые запускают вредоносные программы; могут скрывать обмен данными между приложениями на компьютере пользователя и других компьютерах в сети.
Trojan-SMS
Троянские программы – SMS-сообщения
Заражают мобильные телефоны и с них отправляют SMS-сообщения на платные номера.
Trojan-GameThief
Троянские программы, крадущие данные пользователей сетевых игр
Крадут учетные данные пользователей сетевых компьютерных игр; передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.
Trojan-Banker
Троянские программы, крадущие банковские счета
Крадут данные банковских счетов или счетов в системах электронных денег; передают данные злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом.
Trojan-Mailfinder
Троянские программы – сборщики адресов электронной почты
Собирают адреса электронной почты на компьютере и передают их злоумышленнику по электронной почте, через FTP, обращаясь к его веб-странице или другим способом. По собранным адресам злоумышленники могут рассылать спам.
- Вредоносные утилиты;
Подкатегория: вредоносные утилиты (Malicious_tools)
Уровень опасности: средний
Вредоносные утилиты, в отличие от других вредоносных программ, не выполняют своих действий сразу при запуске и могут безопасно храниться и запускаться на компьютере пользователя. Злоумышленники используют функции этих программ для создания вирусов, червей и троянских программ, организации сетевых атак на удаленные серверы, "взлома" компьютеров или других вредоносных действий.
Разнообразные функции вредоносных утилит делятся на типы, которые описаны в следующей таблице.
Функции вредоносных утилит
Тип
Название
Описание
Constructor
Конструкторы
Позволяют создавать новые вирусы, черви и троянские программы. Некоторые конструкторы имеют стандартный оконный интерфейс, в котором с помощью меню можно выбирать тип создаваемой вредоносной программы, способ ее противодействия отладчику и другие свойства.
Dos
Сетевые атаки
Отправляют с компьютера пользователя многочисленные запросы на удаленный сервер. У сервера не хватает ресурсов для обработки запросов, и он перестает работать (Denial-of-Service (DoS) – отказ в обслуживании).
Exploit
Эксплойты
Эксплойт – это набор данных или программный код, использующий уязвимости приложения, в котором он обрабатывается, чтобы выполнить на компьютере вредоносное действие. Например, эксплойт может записывать или считывать файлы либо обращаться к "зараженным" веб-страницам.
Разные эксплойты используют уязвимости разных приложений или сетевых служб. Эксплойт в виде сетевого пакета передается по сети на многие компьютеры, выискивая компьютеры с уязвимыми сетевыми службами. Эксплойт в файле DOC использует уязвимости текстового редактора. Он может начать выполнять заложенные в него злоумышленником функции, когда пользователь откроет зараженный файл. Эксплойт, внедренный в сообщение электронной почты, ищет уязвимости в каком-либо почтовом клиенте. Он может начать выполнять вредоносное действие, как только пользователь откроет зараженное сообщение в этом почтовом клиенте.
С помощью эксплойтов распространяются сетевые черви (Net-Worm). Эксплойты-ньюкеры (Nuker) представляют собой сетевые пакеты, которые выводят компьютеры из строя.
FileCryptor
Шифровальщики
Шифруют другие вредоносные программы, чтобы скрыть их от антивирусного приложения.
Flooder
Программы для "замусоривания" сетей
Рассылают многочисленные сообщения по сетевым каналам. К этому типу относятся, например, программы для замусоривания ретранслируемых интернет-чатов (Internet Relay Chats).
К типу Flooder не относятся программы, "забивающие мусором" каналы электронной почты, IM-клиентов и мобильных систем. Эти программы выделяют в отдельные типы, описанные в этой таблице (Email-Flooder, IM-Flooder и SMS-Flooder).
HackTool
Инструменты хакера
Позволяют взламывать компьютер, на котором они установлены, или атаковать другой компьютер (например, без разрешения пользователя добавлять других пользователей системы; очищать системные журналы, чтобы скрыть следы присутствия в системе). К этому типу относят некоторые снифферы, которые обладают вредоносными функциями, например перехватывают пароли. Снифферы (Sniffers) – это программы, которые позволяют просматривать сетевой трафик.
Hoax
Злые шутки
Пугают пользователя вирусоподобными сообщениями: могут "обнаружить" вирус в незараженном файле или объявить о форматировании диска, которого на самом деле не происходит.
Spoofer
Утилиты-имитаторы
Отправляют сообщения и сетевые запросы с поддельным адресом отправителя. Злоумышленники используют утилиты-имитаторы, чтобы, например, выдать себя за отправителя.
VirTool
Инструменты для модификации вредоносных программ
Позволяют модифицировать другие вредоносные программы так, чтобы скрыть их от антивирусных приложений.
Email-Flooder
Программы для "замусоривания" адресов электронной почты
Отправляют многочисленные сообщения по адресам электронной почты ("забивают их мусором"). Большой поток сообщений не дает пользователям просматривать полезную входящую почту.
IM-Flooder
Программы для "замусоривания" IM-клиентов
Отправляют многочисленные сообщения пользователям IM-клиентов. Большой поток сообщений не дает пользователям просматривать полезные входящие сообщения.
SMS-Flooder
Программы для "замусоривания" SMS-сообщениями
Отправляют многочисленные SMS-сообщения на мобильные телефоны.
- Рекламные приложения;
Подкатегория: рекламные программы (Adware)
Степень угрозы: средняя
Рекламные программы связаны с показом пользователю рекламной информации. Они отображают в интерфейсе других программ рекламные баннеры, перенаправляют поисковые запросы на рекламные веб-страницы. Некоторые из них собирают и переправляют своему разработчику маркетинговую информацию о пользователе: например, сведения о том, какие тематические веб-сайты он посещает, какие поисковые запросы делает. В отличие от троянских программ-шпионов, рекламные программы передают эту информацию разработчику с разрешения пользователя.
- Приложения автодозвона;
Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.
Уровень опасности: средний
Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.
Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.
Подобные программы различают по функциям, типы которых описаны в таблице ниже.
Тип
Название
Описание
Client-IRC
Клиенты интернет-чатов
Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.
Dialer
Программы автодозвона
Могут устанавливать телефонные соединения через модем в скрытом режиме.
Downloader
Программы-загрузчики
Могут загружать файлы с веб-страниц в скрытом режиме.
Monitor
Программы-мониторы
Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).
PSWTool
Восстановители паролей
Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.
RemoteAdmin
Программы удаленного администрирования
Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.
Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.
Server-FTP
FTP-серверы
Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.
Server-Proxy
Прокси-серверы
Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.
Server-Telnet
Telnet-серверы
Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.
Server-Web
Веб-серверы
Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.
RiskTool
Инструменты для работы на локальном компьютере
Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).
NetTool
Сетевые инструменты
Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).
Client-P2P
Клиенты пиринговых сетей
Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.
Client-SMTP
SMTP-клиенты
Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.
WebToolbar
Веб-панели инструментов
Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.
FraudTool
Псевдопрограммы
Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.
- Обнаруживать другие приложения, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя;
Подкатегория: легальные программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя.
Уровень опасности: средний
Большинство этих программ являются полезными, и многие пользователи применяют их. Среди таких программ – IRC-клиенты, программы автодозвона, программы для загрузки файлов, мониторы активности компьютерных систем, утилиты для работы с паролями, интернет-серверы служб FTP, HTTP или Telnet.
Однако если злоумышленники получат доступ к таким программам или внедрят их на компьютер пользователя, они могут использовать некоторые их функции для нарушения безопасности.
Подобные программы различают по функциям, типы которых описаны в таблице ниже.
Тип
Название
Описание
Client-IRC
Клиенты интернет-чатов
Пользователи устанавливают эти программы, чтобы общаться в ретранслируемых интернет-чатах (Internet Relay Chats). Злоумышленники используют их для распространения вредоносных программ.
Dialer
Программы автодозвона
Могут устанавливать телефонные соединения через модем в скрытом режиме.
Downloader
Программы-загрузчики
Могут загружать файлы с веб-страниц в скрытом режиме.
Monitor
Программы-мониторы
Позволяют наблюдать за активностью на компьютере, на котором установлены (видеть, какие приложения работают, и как они обмениваются данными с приложениями на других компьютерах).
PSWTool
Восстановители паролей
Позволяют просматривать и восстанавливать забытые пароли. С этой же целью их скрыто внедряют на компьютеры пользователей злоумышленники.
RemoteAdmin
Программы удаленного администрирования
Широко используются системными администраторами; позволяют получать доступ к интерфейсу удаленного компьютера, чтобы наблюдать за ним и управлять им. С этой же целью злоумышленники скрыто внедряют их на компьютеры пользователей для наблюдения за удаленными компьютерами и управления ими.
Легальные программы удаленного администрирования отличаются от троянских программ удаленного администрирования Backdoor. Троянские программы обладают функциями, которые позволяют им самостоятельно проникать в систему и устанавливать себя; легальные программы этих функций не имеют.
Server-FTP
FTP-серверы
Выполняют функции FTP-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу FTP.
Server-Proxy
Прокси-серверы
Выполняют функции прокси-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.
Server-Telnet
Telnet-серверы
Выполняют функции Telnet-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу Telnet.
Server-Web
Веб-серверы
Выполняют функции веб-сервера. Злоумышленники внедряют их на компьютер пользователя, чтобы открыть к нему удаленный доступ по протоколу HTTP.
RiskTool
Инструменты для работы на локальном компьютере
Дают пользователю дополнительные возможности при работе на своем компьютере (позволяют скрывать на своем компьютере файлы или окна активных приложений, закрывать активные процессы).
NetTool
Сетевые инструменты
Дают пользователю компьютера, на котором установлены, дополнительные возможности при работе с другими компьютерами в сети (позволяют перезагружать их, находить открытые порты, запускать установленные на них программы).
Client-P2P
Клиенты пиринговых сетей
Позволяют работать в пиринговых (Peer-to-Peer) сетях. Могут использоваться злоумышленниками для распространения вредоносных программ.
Client-SMTP
SMTP-клиенты
Отправляют сообщения электронной почты в скрытом режиме. Злоумышленники внедряют их на компьютер пользователя, чтобы от его имени рассылать спам.
WebToolbar
Веб-панели инструментов
Добавляют в интерфейс других приложений панели инструментов для использования поисковых систем.
FraudTool
Псевдопрограммы
Выдают себя за другие программы. Например, существуют псевдоантивирусы, которые выводят на экран сообщения об обнаружении вредоносных программ, но на самом деле ничего не находят и не лечат.
- Упакованные объекты, способ упаковки которых может использоваться для защиты вредоносного кода;
Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).
Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.
Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.
Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.
Kaspersky Endpoint Security выделяет следующие программы:
- Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
- Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.
- Множественно упакованные объекты.
Kaspersky Endpoint Security проверяет упакованные объекты и модуль-распаковщик в составе самораспаковывающихся архивов SFX (self-extracting archive).
Чтобы скрыть опасные программы от обнаружения антивирусом, злоумышленники упаковывают их с помощью специальных упаковщиков или многократно упаковывают один объект.
Вирусные аналитики "Лаборатории Касперского" отобрали упаковщики, которые злоумышленники используют чаще всего.
Если Kaspersky Endpoint Security обнаружил в объекте такой упаковщик, то скорее всего он содержит вредоносную программу или программу, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя.
Kaspersky Endpoint Security выделяет следующие программы:
- Упакованные файлы, которые могут нанести вред – используются для упаковки вредоносных программ: вирусов, червей, троянских программ.
- Многократно упакованные файлы (степень угрозы средняя) – объект упакован трижды одним или несколькими упаковщиками.
- Вирусы и черви
- Сохраните внесенные изменения.