Ausnahmen

Die vertrauenswürdige Zone ist eine Liste mit Objekten und Programmen, die nicht von Kaspersky Endpoint Security untersucht werden. Diese Liste wird vom Systemadministrator erstellt. Anders ausgedrückt, handelt es sich hierbei um ein Paket von Untersuchungsausnahmen.

Die vertrauenswürdige Zone wird manuell vom Systemadministrator angelegt. Berücksichtigt werden dabei die Besonderheiten von Objekten, die für die Arbeit erforderlich sind, sowie die Programme, die auf dem Computer installiert sind. Die Aufnahme von Objekten und Programmen in die vertrauenswürdige Zone kann beispielsweise erforderlich sein, wenn Kaspersky Endpoint Security den Zugriff auf ein bestimmtes Objekt oder Programm blockiert, Sie aber sicher sind, dass dieses Objekt oder Programm unschädlich ist.

Objekte können wie folgt von der Untersuchung ausgeschlossen werden:

Geben Sie einen Datei- oder Ordnerpfad an.
Geben Sie den Hash eines Objekts an.
Verwenden Sie Masken:
- Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
- Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
- Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst alle Pfade von Dateien im Ordner Folder mit der Erweiterung txt und einem Namen, der aus drei Zeichen besteht.
Um den Namen des Objekts einzugeben, verwenden Sie die Klassifikation der Viren-Enzyklopädie von Kaspersky Lab (z. B. Email-Worm, Rootkit oder RemoteAdmin).

Untersuchungsausnahmen

Eine Untersuchungsausnahme ist eine Kombination von Bedingungen. Sind diese Bedingungen erfüllt, so untersucht Kaspersky Endpoint Security ein Objekt nicht auf Viren und andere bedrohliche Programme.

Die Untersuchungsausnahmen ermöglichen es, mit legalen Programmen zu arbeiten, die von Angreifern für eine Beschädigung des Computers oder der Benutzerdaten verwendet werden können. Solche Programme haben zwar selbst keine schädlichen Funktionen, können aber von Angreifern verwendet werden. Nähere Informationen zu legalen Programmen, die von Angreifern missbraucht werden können, um den Computer oder die Daten des Anwenders zu beschädigen, erhalten Sie auf der Website der Viren-Enzyklopädie von Kaspersky.

Derartige Programme können bei der Ausführung von Kaspersky Endpoint Security gesperrt werden. Sie können Untersuchungsausnahmen anpassen, um eine Sperrung von notwendigen Programmen zu verhindern. Dazu muss der vertrauenswürdigen Zone der Name oder eine Namensmaske hinzugefügt werden, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht. Es kann beispielsweise sein, dass Sie häufig mit dem Programm Radmin, zur Remote-Administration von Computern. Eine solche Programmaktivität wird von Kaspersky Endpoint Security als schädlich eingestuft und kann blockiert werden. Um zu verhindern, dass ein Programm gesperrt wird, muss eine Untersuchungsausnahme erstellt werden. In dieser Ausnahme wird ein Name oder eine Namensmaske angegeben, die der Klassifikation der Viren-Enzyklopädie von Kaspersky entspricht.

Ist auf Ihrem Computer ein Programm installiert, das Informationen sammelt und zur Verarbeitung weiterleitet, so kann das Programm von Kaspersky Endpoint Security als schädlich eingestuft werden. Um dies zu vermeiden, können Sie das Programm von der Untersuchung ausschließen. Die entsprechenden Einstellungen für Kaspersky Endpoint Security werden im vorliegenden Dokument beschrieben.

Untersuchungsausnahmen können von folgenden Komponenten und Programmaufgaben verwendet werden, die vom Systemadministrator erstellt wurden:

Verhaltensanalyse.
Exploit-Prävention.
Programm-Überwachung.
Schutz vor bedrohlichen Dateien
Schutz vor Web-Bedrohungen.
Schutz vor E-Mail-Bedrohungen.
Untersuchungsaufgaben

Liste der vertrauenswürdigen Programme

Die Liste der vertrauenswürdigen Programme ist eine Liste mit Programmen, deren Datei- oder Netzwerkaktivität nicht von Kaspersky Endpoint Security überwacht wird (selbst wenn diese schädlich ist). Gleiches gilt für den Zugriff dieser Programme auf die Systemregistrierung. Kaspersky Endpoint Security untersucht standardmäßig alle Objekte, die von einem beliebigen Programmprozess geöffnet, gestartet oder gespeichert werden, und kontrolliert die Aktivität aller Programme sowie den von ihnen erzeugten Netzwerkverkehr. Programme, die auf der Liste der vertrauenswürdigen Programme stehen, werden von Kaspersky Endpoint Security aus der Untersuchung ausgeschlossen.

Wenn Sie beispielsweise die Objekte, die von dem Microsoft-Windows-Programm Editor verwendet werden, für ungefährlich und eine Untersuchung dieser Objekte für nicht erforderlich halten, so vertrauen Sie diesem Programm und sollten das Programm Editor zur Liste der vertrauenswürdigen Programme hinzufügen. Die Objekte, die dieses Programm verwendet, werden dann nicht untersucht.

Außerdem können spezielle Aktionen, die von Kaspersky Endpoint Security als schädlich klassifiziert werden, im Rahmen bestimmter Programme ungefährlich sein. So ist das Abfangen eines Textes, den Sie über die Tastatur eingeben, für Programme zum automatischen Umschalten der Tastaturbelegung (z. B. Punto Switcher) ein normaler Vorgang. Es wird empfohlen, solche Programme in die Liste der vertrauenswürdigen Programme aufzunehmen, um ihre speziellen Funktionen zu berücksichtigen und sie von der Aktivitätskontrolle auszuschließen.

Wenn vertrauenswürdige Programme von der Untersuchung ausgeschlossen werden, lassen sich Kompatibilitätsprobleme von Kaspersky Endpoint Security mit anderen Programmen vermeiden (beispielsweise Probleme einer doppelten Untersuchung des Netzwerkverkehrs eines anderen Computers durch Kaspersky Endpoint Security und durch ein anderes Antiviren-Programm). Außerdem wird dadurch die Leistung des Computers erhöht, was speziell bei der Verwendung von Serverprogrammen wichtig ist.

Die ausführbare Datei und der Prozess eines vertrauenswürdigen Programms werden jedoch weiterhin auf Viren und andere Schadprogramme untersucht. Verwenden Sie Untersuchungsausnahmen, um ein Programm vollständig aus der Untersuchung durch Kaspersky Endpoint Security auszuschließen.

Einstellungen für Ausnahmen

Einstellung

Beschreibung

Zu erkennende Objekte

Kaspersky Endpoint Security sucht unabhängig von den aktuellen Einstellungen stets nach Viren, Würmern und Trojanern und blockiert diese. Diese Programme können dem Computer erheblichen Schaden zufügen.

Viren, Würmer

Unterkategorie: Viren und Würmer (Viruses_and_Worms)

Bedrohungsgrad: hoch

Klassische Viren und Würmer führen auf einem Computer Aktionen aus, die nicht vom Benutzer erlaubt wurden. Sie können sich selbst kopieren, wobei die Kopien ebenfalls zur Reproduktion fähig sind.

Klassischer Virus

Nachdem ein klassischer Virus in ein System eingedrungen ist, infiziert er eine Datei, aktiviert sich darin, führt seine schädlichen Aktionen aus und fügt anderen Dateien Kopien von sich hinzu.

Ein klassischer Virus vermehrt sich nur auf lokalen Computerressourcen und kann nicht selbständig in andere Rechner eindringen. Er kann nur auf andere Computer gelangen, wenn er seine Kopie einer Datei hinzufügt, die in einem gemeinsamen Ordner oder auf einer eingelegten CD gespeichert wird, oder wenn der Benutzer eine E-Mail-Nachricht verschickt, an welche die infizierte Datei angehängt ist.

Der Code eines klassischen Virus kann in unterschiedliche Computerbereiche, in das Betriebssystem oder in Programme eindringen. Abhängig vom Milieu werden Dateiviren, Bootviren, Skriptviren und Makroviren unterschieden.

Viren verwenden unterschiedliche Methoden, um Dateien zu infizieren. Überschreibende Viren (Overwriting) schreiben ihren Code anstelle des Codes einer infizierten Datei und zerstören deren Inhalt. Die infizierte Datei funktioniert nicht mehr und kann nicht repariert werden. Parasitäre Viren (Parasitic) verändern Dateien, wobei diese vollständig oder teilweise funktionsfähig bleiben. Companion-Viren (Companion) verändern Dateien nicht, sondern legen Zwillingsdateien an. Beim Öffnen einer infizierten Datei wird ihr Zwilling gestartet, der ein Virus ist. Außerdem gibt es noch folgende Virentypen: Linkviren (Link), Viren, die Objektmodule (OBJ), Compiler-Bibliotheken (LIB) oder den Quelltext von Programmen infizieren, u.a.

Wurm

Genau wie bei einem klassischen Virus aktiviert sich der Code eines Wurms nach dem Eindringen in ein System selbst und führt seine schädlichen Aktionen aus. Die Bezeichnung Wurm geht darauf zurück, dass er wie ein Wurm von Computer zu Computer "kriechen" und seine Kopien ohne Erlaubnis des Benutzers über verschiedene Datenkanäle verbreiten kann.

Würmer werden grundsätzlich nach der Art ihrer Verbreitung unterschieden. Die folgende Tabelle klassifiziert die Wurmtypen nach der Verbreitungsmethode.

Verbreitungsmethoden von Würmern

Typ	Name	Beschreibung
Email-Worm	Mailwürmer	Sie verbreiten sich über E-Mails. Eine infizierte E-Mail-Nachricht enthält eine angehängte Datei mit einer Wurmkopie oder einem Link zu einer solchen Datei, die sich auf einer gehackten oder speziell erstellten Website befindet. Wenn Sie die angehängte Datei öffnen, wird der Wurm aktiviert. Wenn Sie auf den Link klicken, die Datei laden und anschließend öffnen, führt der Wurm ebenfalls schädliche Aktionen aus. Danach verbreitet er seine Kopien. Dazu sucht er andere E-Mail-Adressen und schickt infizierte Nachrichten an diese.
IM-Worm	IM-Clients	Sie verbreiten sich über IM-Clients. Ein IM-Wurm verschickt in der Regel Nachrichten mit einem Link, der zu einer Website mit seiner Kopie führt, an die Adressen der Kontaktliste. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
IRC-Worm	Würmer für Internet-Chats	Sie verbreiten sich über Internet Relay Chats. Dies sind Chat-Systeme, mit denen über das Internet in Echtzeit Gespräche mit mehreren Teilnehmern möglich sind. Ein solcher Wurm veröffentlicht im Internet-Chat eine Datei mit seiner Kopie oder einem Link zu einer Datei. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
Net-Worm	Netzwürmer (Würmer für Computernetzwerke)	Sie verbreiten sich über Computernetzwerke. Im Unterschied zu anderen Wurmtypen verbreitet sich ein Netzwurm ohne Zutun des Benutzers. Er sucht im lokalen Netzwerk nach Computern, auf denen Programme laufen, die Schwachstellen aufweisen. Zu diesem Zweck schickt er ein spezielles Netzwerkpaket (Exploit), das den Wurmcode oder einen Teil davon enthält. Befindet sich ein "verwundbarer" Computer im Netzwerk, nimmt er das Netzwerkpaket an. Nachdem der Wurm vollständig in den Computer eingedrungen ist, aktiviert er sich.
P2P-Worm	Würmer für Dateitausch-Netzwerke	Sie verbreiten sich über Peer-to-Peer-Netze. Um in ein P2P-Netz einzudringen, kopiert sich der Wurm in einen Ordner, der zum Dateiaustausch verwendet wird und sich gewöhnlich auf einem PC befindet. Das P2P-Netz zeigt Informationen über diese Datei an. Ein Benutzer kann die infizierte Datei wie andere angebotene Dateien im Netzwerk "finden", herunterladen und öffnen. Komplexere Würmer imitieren das Netzwerkprotokoll eines konkreten P2P-Netzes: Sie antworten positiv auf Suchanfragen und bieten ihre Kopien zum Download an.
Worm	Sonstige Würmer	Zu den sonstigen Netzwürmern zählen: Würmer, die ihre Kopien in Netzwerkressourcen verbreiten. Unter Verwendung von Betriebssystemfunktionen durchsuchen sie verfügbare Netzwerkordner, bauen Verbindungen zu Computern im globalen Netzwerk auf und versuchen, umfassenden Zugriff auf ihre Laufwerke zu erhalten. Im Unterschied zu den oben beschriebenen Wurmarten verbreiten sich die sonstigen Würmer nicht selbständig weiter, sondern nur, wenn der Benutzer eine Datei mit einer Wurmkopie öffnet. Würmer, die nicht zu den in dieser Tabelle beschriebenen Verbreitungsmethoden gehören (z. B. Würmer, die sich über Mobiltelefone weiterverbreiten).

Trojanische Programme

Subkategorie: trojanische Programme (Trojan_programs)

Bedrohungsgrad: hoch

Im Gegensatz zu Würmern und Viren erstellen trojanische Programme keine Kopien von sich. Sie dringen z. B. über E-Mails oder über den Browser in den Computer ein, wenn der Benutzer eine infizierte Webseite besucht. Trojanische Programme werden unter Beteiligung des Benutzers gestartet. Unmittelbar nach ihrem Start beginnen sie mit ihren schädlichen Aktionen.

Jeder Trojaner-Typ zeigt ein individuelles Verhalten auf dem infizierten Computer. Die Hauptfunktionen von trojanischen Programmen sind das Sperren, Verändern oder Vernichten von Informationen sowie das Hervorrufen von Funktionsstörungen in Computern oder Computernetzwerken. Außerdem können trojanische Programme Dateien empfangen oder senden, Dateien ausführen, auf dem Bildschirm Meldungen anzeigen, auf Webseiten zugreifen, Programme herunterladen und installieren, und einen Computer neu starten.

Häufig verwenden Angreifer eine "Kombination" aus unterschiedlichen Trojanerprogrammen.

Die folgende Tabelle unterscheidet die Typen der trojanischen Programme nach ihrem Verhalten.

Typen der trojanischen Programme nach ihrem Verhalten auf einem infizierten Computer

Typ	Name	Beschreibung
Trojan-ArcBomb	Trojanische Programme – "Archivbomben"	Archive. Beim Extrahieren vergrößert sich der Inhalt so stark, dass es auf dem Computer zu Funktionsstörungen kommt. Wenn der Benutzer versucht, ein solches Archiv zu entpacken, kann es sein, dass die Leistung des Computers sinkt, der Computer hängen bleibt oder die Festplatte mit "leeren" Daten überfüllt wird. Eine besondere Gefahr bilden "Archivbomben" für Datei- und Mailserver. Wird auf dem Server ein System zur automatischen Verarbeitung eingehender Daten verwendet, kann eine "Archivbombe" den Server zum Absturz bringen.
Backdoor	Trojanische Programme zur Remote-Administration	Dieser Typ gilt unter den trojanischen Programmen als der gefährlichste. Sie gleichen funktionsmäßig Programmen, die zur Remote-Administration auf einem Computer installiert werden. Diese Programme installieren sich auf dem Computer, ohne dass der Benutzer etwas davon bemerkt, und ermöglichen dem Angreifer die Fernsteuerung des Computers.
Trojan	Trojanische Programme	Dieser Typ umfasst folgende schädlichen Programme: Klassische trojanische Programme. Diese Programme führen nur die Grundfunktionen trojanischer Programme aus: Sperrung, Veränderung oder Zerstörung von Informationen, Störung der Arbeit von Computern oder Computernetzwerken. Sie besitzen keine Zusatzfunktionen, über die andere Trojaner-Typen verfügen, die in dieser Tabelle beschrieben sind. "Mehrzweck"-Trojaner. Sie besitzen Zusatzfunktionen, die gleichzeitig für mehrere Typen trojanischer Programme charakteristisch sind.
Trojan-Ransom	Trojanische Erpressungsprogramme	Sie nehmen die Daten auf einem PC als "Geisel", indem sie diese verändern oder sperren, oder stören die Arbeit des Computers, damit der Benutzer nicht mehr auf seine Daten zugreifen kann. Der Angreifer fordert vom Benutzer ein Lösegeld und verspricht, dafür ein Programm zu liefern, das die Funktionsfähigkeit des Computers und der Daten wiederherstellt.
Trojan-Clicker	Trojanische Clicker-Programme	Diese Programme greifen von einem PC aus auf Webseiten zu: Sie senden entweder selbst Befehle an den Browser oder ersetzen Webadressen, die in Systemdateien gespeichert sind. Mithilfe dieser Programme organisieren Angreifer Netzwerkangriffe oder steigern die Besucherzahlen von Seiten, um die Anzeigehäufigkeit von Werbebannern zu erhöhen.
Trojan-Downloader	Trojanische Download-Programme	Sie greifen auf eine Webseite des Angreifers zu, laden von dort andere schädliche Programme herunter und installieren sie auf dem PC. Den Dateinamen der herunterzuladenden Schadsoftware können sie in sich speichern oder von einer Webseite abrufen, auf die sie zugreifen.
Trojan-Dropper	Trojanische Installationsprogramme	Nachdem sie auf der Computerfestplatte gespeichert wurden, installieren sie andere trojanische Programme, die sich in ihrem Körper befinden. Angreifer können trojanische Installationsprogramme zu folgenden Zwecken verwenden: um ohne Wissen des Benutzers ein schädliches Programm zu installieren: Trojanische Installationsprogramme zeigen keinerlei Meldungen an oder blenden falsche Meldungen über einen Fehler im Archiv oder eine inkorrekte Version des Betriebssystems ein. um andere bekannte Schadsoftware vor der Entdeckung zu schützen: Nicht alle Antiviren-Programme können Schadsoftware in trojanischen Installationsprogrammen erkennen.
Trojan-Notifier	Trojanische Benachrichtigungsprogramme	Sie informieren einen Angreifer darüber, dass der infizierte Computer "online" ist und übermitteln folgende Informationen über den Computer: IP-Adresse, Nummer des offenen Ports oder E-Mail-Adresse. Sie nehmen per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise Kontakt mit dem Angreifer auf. Trojanische Benachrichtigungsprogramme werden häufig in Kombination mit unterschiedlichen Trojanerprogrammen eingesetzt. Sie teilen dem Angreifer mit, dass andere trojanische Programme erfolgreich auf einem PC installiert wurden.
Trojan-Proxy	Trojanische Proxy-Programme	Sie ermöglichen es einem Angreifer, über einen PC anonym auf Webseiten zuzugreifen. Sie dienen häufig zum Spam-Versand.
Trojan-PSW	Trojanische Programme zum Kennwortdiebstahl	Trojanische Programme, die Kennwörter stehlen (Password Stealing Ware). Sie berauben Benutzerkonten und stehlen beispielsweise Registrierungsdaten für Softwareprodukte. Sie durchsuchen Systemdateien und die Registrierung nach vertraulichen Daten und schicken diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer. Einige dieser trojanischen Programme werden speziellen Typen zugeordnet, die in dieser Tabelle beschrieben sind. Dazu zählen Trojaner, die Bankkonten berauben (Trojan‑Banker), Daten von IM-Clients stehlen (Trojan‑IM) und Daten aus Netzwerkspielen entwenden (Trojan‑GameThief).
Trojan-Spy	Trojanische Spyware-Programme	Sie spionieren den Benutzer auf elektronische Weise aus: Sie sammeln Informationen über seine Aktionen auf dem Computer, fangen z.B. über die Tastatur eingegebene Informationen ab, machen Screenshots und erstellen eine Liste der aktiven Programme. Die gesammelten Informationen werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
Trojan-DDoS	Trojanische Programme für Netzwerkangriffe	Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung). Häufig werden mehrere Computer von solchen Programmen infiziert, um sie dann gleichzeitig für einen gezielten Angriff auf einen Server zu verwenden. DoS-Programme realisieren einen Angriff von einem Computer aus, wobei der Benutzer davon weiß. DDoS-Programme (Distributed DoS) verwenden eine größere Anzahl von Computern ohne Wissen der Benutzer für verteilte Angriffe.
Trojan-IM	Trojanische Programme zum Diebstahl der Daten von IM-Client-Benutzern	Sie stehlen Nummern und Kennwörter der Benutzer von IM-Clients. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
Rootkit	Rootkits	Sie tarnen andere schädliche Programme und deren Aktivität, damit sich diese möglichst lange im infizierten System verbergen können. Rootkits können Dateien, Prozesse im Arbeitsspeicher eines infizierten Computers oder Registrierungsschlüssel, die Schadsoftware starten, maskieren. Außerdem können sie den Datenaustausch zwischen Programmen auf einem PC und auf anderen Netzwerkcomputern verheimlichen.
Trojan-SMS	Trojanische Programme für SMS-Nachrichten	Sie infizieren Handys und versenden SMS-Nachrichten an kostenpflichtige Nummern.
Trojan-GameThief	Trojanische Programme zum Diebstahl von Benutzerdaten aus Netzwerkspielen	Sie stehlen Kontodaten von Benutzern, die an Netzwerkspielen für Computer teilnehmen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
Trojan-Banker	Trojanische Programme zum Diebstahl von Daten über Bankkonten	Sie stehlen Daten über Bankkonten oder über Konten bei elektronischen Zahlungssystemen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
Trojan-Mailfinder	Trojanische Programme, die E-Mail-Adressen sammeln	Sie sammeln auf einem Computer E-Mail-Adressen und übermitteln diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer. An die gesammelten Adressen kann der Angreifer Spam verschicken.

Schädliche Tools

Subkategorie: schädliche Tools (Malicious_tools)

Gefahrenstufe: mittel

Im Unterschied zu anderen Schadprogrammen führen schädliche Tools ihre Aktionen nicht sofort nach dem Start aus und können gefahrlos auf einem Computer gespeichert und von einem Anwender gestartet werden. Angreifer verwenden die Funktionen dieser Programme, um Viren, Würmer und Trojaner zu erstellen, Netzwerkangriffe gegen Remote-Server zu organisieren, Computer zu "hacken" und andere schädliche Aktionen durchzuführen.

Die folgende Tabelle kategorisiert die unterschiedlichen Funktionen von schädlichen Tools.

Funktionen von schädlichen Tools

Typ	Name	Beschreibung
Constructor	Konstrukteure	Mit ihrer Hilfe können neue Viren, Würmer und trojanische Programme erstellt werden. Einige Konstrukteure verfügen über eine standardmäßige Fensteroberfläche, in der über ein Menü der Typ einer zu erstellenden Schadsoftware, die Methode zur Debugger-Abwehr und sonstige Eigenschaften gewählt werden.
Dos	Netzwerkangriffe	Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung).
Exploit	Exploits	Exploits bestehen aus einer Datenkombination oder aus Programmcode, der die Schwachstellen eines Programms, in dem er verarbeitet wird, ausnutzt, um auf dem Computer eine schädliche Aktion auszuführen. Ein Exploit kann beispielsweise Dateien schreiben oder lesen oder auf "infizierte" Webseiten zugreifen. Es gibt verschiedene Arten von Exploits, die Schwachstellen unterschiedlicher Programme oder Netzwerkdienste ausnutzen. Exploits werden in Form eines Netzwerkpakets über ein Netzwerk an mehrere Computer übertragen, um Computer mit anfälligen Netzwerkdiensten zu finden. Ein Exploit in einer DOC-Datei nutzt die Schwachstellen eines Textverarbeitungsprogramms. Er kann damit beginnen, die vom Angreifer programmierten Funktionen auszuführen, sobald der Benutzer eine infizierte Datei öffnet. Ein Exploit, der in eine E-Mail-Nachricht eingebettet ist, sucht nach Schwachstellen in einem Mail-Client. Er kann mit der Ausführung einer schädlichen Aktion beginnen, sobald der Benutzer die infizierte E-Mail in diesem Mail-Client öffnet. Mithilfe von Exploits werden Netzwürmer (Net-Worm) verbreitet. Nuker-Exploits(Nuker) bestehen aus Netzwerkpaketen, die einen Computer zum Absturz bringen.
FileCryptor	Chiffreure	Chiffreure verschlüsseln schädliche Programme, um sie vor Antiviren-Programmen zu verstecken.
Flooder	Programme zur "Verunreinigung" von Netzwerken	Sie versenden eine hohe Anzahl von Nachrichten über Netzwerkkanäle. Zu diesem Typ zählen beispielsweise Programme, die der Verunreinigung von Internet Relay Chats dienen. Programme, die der Verunreinigung von Kanälen für E-Mail, IM-Clients und Mobilfunksysteme dienen, zählen nicht zu diesem Typ. Diese Programme werden separaten Typen zugeordnet, die ebenfalls in dieser Tabelle beschrieben sind (Email-Flooder, IM-Flooder und SMS-Flooder).
HackTool	Hacker-Tools	Sie können die Kontrolle über den Computer, auf dem sie installiert sind, übernehmen oder einen anderen Computer angreifen (z. B. ohne Erlaubnis des Benutzers andere Systembenutzer hinzufügen und Systemberichte löschen, um ihre Spuren im System zu verwischen). Zu diesem Typ gehören bestimmte Sniffer, die über schädliche Funktionen wie z. B. das Abfangen von Kennwörtern verfügen. Sniffer (Sniffers) sind Programme, die den Netzwerkverkehr abhören können.
Hoax	Böse Scherze	Diese Programme erschrecken einen Benutzer mit virenähnlichen Meldungen: Sie zeigen fiktive Meldungen über Virenfunde in sauberen Dateien oder über das Formatieren der Festplatte an.
Spoofer	Imitator-Tools	Sie senden E-Mails und Netzwerkanfragen mit gefälschten Absenderadressen. Imitatoren werden beispielsweise von Angreifern verwendet, um einen falschen Absender vorzutäuschen.
VirTool	Tools zur Modifikation schädlicher Programme	Sie erlauben es, andere schädliche Programme so zu modifizieren, dass sie sich vor Antiviren-Programmen verstecken können.
Email-Flooder	Programme zur "Verunreinigung" von E-Mail-Postfächern	Sie versenden eine hohe Anzahl von Nachrichten an E-Mail-Adressen ("verstopfen diese mit Müll"). Die große Menge von E-Mails hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
IM-Flooder	Programme zur "Verunreinigung" von IM-Clients	Sie versenden eine hohe Anzahl von Nachrichten an Benutzer von IM-Clients Das hohe Nachrichtenaufkommen hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
SMS-Flooder	Programme zur "Verunreinigung" von SMS-Systemen	Sie versenden eine große Anzahl von SMS-Nachrichten an Mobiltelefone.

Adware
Unterkategorie: Adware

Bedrohungsgrad: mittel

Adware-Programme dienen dazu, dem Benutzer Werbung zu zeigen. Sie zeigen auf der Oberfläche anderer Programme Werbebanner an oder leiten Suchanfragen auf Webseiten mit Werbung um. Einige von ihnen sammeln auf Werbung bezogene Informationen über den Benutzer und leiten sie an ihren Urheber weiter, z.B. Informationen darüber, welche Webseiten der Benutzer besucht und welche Suchanfragen er vornimmt. Im Gegensatz zu trojanischer Spyware leiten Adware-Programme diese Informationen mit der Erlaubnis des Benutzers weiter.

Dialer

Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.

Gefahrenstufe: mittel

Die Mehrzahl dieser Programme sind nützliche Programme. Sie werden von vielen Anwendern eingesetzt. Dazu zählen IRC-Clients, Dialer, Download-Manager für Dateien, Aktivitätsmonitore für Computersysteme, Kennwort-Manager sowie Internetserver für die Dienste FTP, HTTP oder Telnet.

Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.

Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.

Typ	Name	Beschreibung
Client-IRC	Clients für Internet-Chats	Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
Dialer	Dialer	Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
Downloader	Download-Programme	Downloader können heimlich Dateien von Webseiten herunterladen.
Monitor	Monitorprogramme	Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
PSWTool	Programme zur Wiederherstellung von Kennwörtern	Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
RemoteAdmin	Programme zur Remote-Administration	RemoteAdmins werden häufig von Systemadministratoren eingesetzt. Sie bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern. Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
Server-FTP	FTP-Server	Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
Server-Proxy	Proxyserver	Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
Server-Telnet	Telnet-Server	Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
Server-Web	Webserver	Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
RiskTool	Tools für die Arbeit auf einem lokalen Computer	Sie bieten dem Benutzer bei der Arbeit auf seinem Computer zusätzliche Möglichkeiten (Dateien oder Fenster aktiver Programme auf dem Computer verstecken, aktive Prozesse beenden).
NetTool	Netzwerk-Tools	Sie bieten dem Benutzer des Computers, auf dem sie installiert sind, zusätzliche Möglichkeiten bei der Arbeit mit anderen Computern in einem Netzwerk (andere Computer neu starten, offene Ports suchen, Programme starten, die auf einem anderen Computer installiert sind).
Client-P2P	Clients für Peering-Netzwerke	Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
Client-SMTP	SMTP-Clients	Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
WebToolbar	Web-Symbolleisten	Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
FraudTool	Pseudoprogramme	Sie geben sich als andere Programme aus. Es gibt beispielsweise Pseudo-Antiviren-Programme, die Meldungen über den Fund schädlicher Programme ausgeben, in Wirklichkeit aber nicht über Funktionen zur Virensuche oder Desinfektion verfügen.

Andere

Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.

Gefahrenstufe: mittel

Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.

Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.

Typ	Name	Beschreibung
Client-IRC	Clients für Internet-Chats	Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
Dialer	Dialer	Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
Downloader	Download-Programme	Downloader können heimlich Dateien von Webseiten herunterladen.
Monitor	Monitorprogramme	Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
PSWTool	Programme zur Wiederherstellung von Kennwörtern	Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
RemoteAdmin	Programme zur Remote-Administration	RemoteAdmins werden häufig von Systemadministratoren eingesetzt. Sie bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern. Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
Server-FTP	FTP-Server	Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
Server-Proxy	Proxyserver	Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
Server-Telnet	Telnet-Server	Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
Server-Web	Webserver	Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
RiskTool	Tools für die Arbeit auf einem lokalen Computer	Sie bieten dem Benutzer bei der Arbeit auf seinem Computer zusätzliche Möglichkeiten (Dateien oder Fenster aktiver Programme auf dem Computer verstecken, aktive Prozesse beenden).
NetTool	Netzwerk-Tools	Sie bieten dem Benutzer des Computers, auf dem sie installiert sind, zusätzliche Möglichkeiten bei der Arbeit mit anderen Computern in einem Netzwerk (andere Computer neu starten, offene Ports suchen, Programme starten, die auf einem anderen Computer installiert sind).
Client-P2P	Clients für Peering-Netzwerke	Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
Client-SMTP	SMTP-Clients	Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
WebToolbar	Web-Symbolleisten	Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
FraudTool	Pseudoprogramme	Sie geben sich als andere Programme aus. Es gibt beispielsweise Pseudo-Antiviren-Programme, die Meldungen über den Fund schädlicher Programme ausgeben, in Wirklichkeit aber nicht über Funktionen zur Virensuche oder Desinfektion verfügen.

Gepackte Dateien, die Schaden verursachen können
Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).

Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.

Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.

Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.

Kaspersky Endpoint Security erkennt folgende Programme:
- Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
- Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.
Mehrfach gepackte Dateien
Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).

Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.

Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.

Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.

Kaspersky Endpoint Security erkennt folgende Programme:
- Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
- Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.

Untersuchungsausnahmen

Diese Tabelle enthält Informationen über die Untersuchungsausnahmen.

Objekte können wie folgt von der Untersuchung ausgeschlossen werden:

Geben Sie einen Datei- oder Ordnerpfad an.
Geben Sie den Hash eines Objekts an.
Verwenden Sie Masken:
- Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
- Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
- Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst alle Pfade von Dateien im Ordner Folder mit der Erweiterung txt und einem Namen, der aus drei Zeichen besteht.
Um den Namen des Objekts einzugeben, verwenden Sie die Klassifikation der Viren-Enzyklopädie von Kaspersky Lab (z. B. Email-Worm, Rootkit oder RemoteAdmin).

Vertrauenswürdige Programme

Tabelle mit vertrauenswürdigen Programmen, deren Aktivität von Kaspersky Endpoint Security nicht untersucht wird.

Die Komponente „Programmkontrolle“ reguliert den Start aller Programme unabhängig davon, ob ein Programm in der Tabelle der vertrauenswürdigen Programme angegeben ist oder nicht.

Vertrauenswürdigen Zertifikatspeicher des Systems verwenden

Ist das Kontrollkästchen aktiviert, so schließt Kaspersky Endpoint Security jene Programme von der Untersuchung aus, die eine vertrauenswürdige digitale Signatur besitzen. Die Komponente „Programm-Überwachung“ verschiebt solche Programme automatisch in die Gruppe „Vertrauenswürdig“.

Ist dieses Kontrollkästchen deaktiviert, so erfolgt die Untersuchung auf Viren unabhängig davon, ob das Programm eine digitale Signatur besitzt. Die Komponente „Programm-Überwachung“ verwendet die festgelegten Einstellungen, um Programme in die Sicherheitsgruppen einzuordnen.

Siehe auch Abschnitt zur Programmverwaltung über eine lokale Schnittstelle

Erstellung von Untersuchungsausnahmen

Änderung von Untersuchungsausnahmen

Löschen von Untersuchungsausnahmen

Aktivierung und Deaktivierung von Untersuchungsausnahmen

Liste mit vertrauenswürdigen Programmen erstellen

Aktivieren und Deaktivieren von Regeln der vertrauenswürdigen Zone für ein Programm aus der Liste der vertrauenswürdigen Programm

Vertrauenswürdigen Zertifikatspeicher des Systems verwenden

Nach oben