Észlelendő objektumok
|
A megadott alkalmazásbeállításoktól függetlenül a Kaspersky Endpoint Security mindig észleli és blokkolja a vírusokat, férgeket és trójaiakat. Ezek jelentős károkat okozhatnak a számítógépen.
- Vírusok és férgek
Alkategória: vírusok és férgek (Viruses_and_Worms)
Fenyegetési szint: magas
A klasszikus vírusok és férgek a felhasználó által nem jóváhagyott műveleteket végeznek. Olyan másolatokat hozhatnak létre önmagukról, amelyek szintén képesek önmaguk másolására.
Klasszikus vírus
Miután egy klasszikus vírus a számítógépbe jut, megfertőz egy fájlt, aktiválódik, rosszindulatú műveleteket hajt végre, és önmaga másolataival lát el további fájlokat.
A klasszikus vírus csak a számítógép helyi erőforrásaiban sokszorozódik meg, saját magától másik számítógépre nem tud átjutni. Csak akkor kerül át másik számítógépre, ha saját magát bemásolja egy megosztott könyvtárba, egy behelyezett CD-re, vagy, ha a felhasználó továbbít egy email üzenetet, amelynek a csatolt fájlja fertőzött.
A klasszikus vírus kódja a számítógépek, operációs rendszerek vagy alkalmazások számos területét elérheti. A környezettől függően a vírusok lehetnek fájl vírusok, boot vírusok, script vírusok vagy makróvírusok.
A vírusok rendkívül sokféle módon fertőzhetnek fájlokat. A felülíró vírusok saját kódjukkal felülírják a fertőzött fájlt, így törölve annak tartalmát. A fertőzött fájl működése leáll, így nem lehet helyreállítani. A parazita vírusok csak módosítják a fájlokat, azokat teljesen vagy részlegesen működőképes állapotban hagyva. A társító vírusok nem módosítják a fájlokat, csak másolatot készítenek róluk. Egy fertőzött fájlt megnyitva annak másolata (azaz tulajdonképpen a vírus) indul el. Az alábbi vírusok szintén megtalálhatók: hivatkozásvírusok, OBJ-vírusok, LIB-vírusok, forráskódú vírusok és számos egyéb.
Férgek
A klasszikus vírusokhoz hasonlóan a férgek kódja akkor aktiválódik és hajt végre rosszindulatú műveleteket, ha már elterjedt a rendszerben. Azért féreg a neve, mert képes „átmászni” az egyik számítógépről a másikra a felhasználó engedélye nélkül, hogy számos adatcsatornán keresztül elterjessze a másolatait.
A különböző férgeket megkülönböztető fő tulajdonság az elterjedésük módja. Az alábbi táblázat áttekintést nyújt a férgek különféle típusairól, azok terjedésének módja alapján.
A férgek terjedésének módjai
Típus
|
Név
|
Leírás
|
E-mail-féreg
|
E-mail-féreg
|
Ezek e-mailen keresztül terjednek.
A fertőzött e-mail tartalmaz egy a féreg másolatát tartalmazó csatolt fájlt, vagy egy hivatkozást egy webhelyre feltöltött, kifejezetten erre a célra feltört vagy létrehozott fájlhoz. Ha a felhasználó megnyitja a csatolt fájlt, a féreg aktiválódik. A hivatkozásra kattintva a fájlt letöltve, majd megnyitva a féreg szintén megkezdi a rosszindulatú műveleteket. Ezután megkezdi lemásolni saját magát, újabb e-mail címek keresésébe kezd, és terjeszteni kezdi a fertőzött üzeneteket.
|
IM-féreg
|
Azonnali üzenet férgek
|
Azonnali üzenetküldőkön keresztül terjednek.
Az ilyen férgek rendszerint a felhasználó partnerlistáját felhasználva üzenetet küldenek, benne egy adott webhelyen, a féreg másolatát tartalmazó fájlra mutató hivatkozással. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
|
IRC féreg
|
Internetes csevegési férgek
|
Ezek olyan internetes csevegő szolgáltatásokon keresztül terjednek, amelyek valós idejű kommunikációt biztosítanak az interneten keresztül.
Az ilyen férgek az internetes csevegésben egy önmagukat tartalmazó fájlt adnak közre, vagy egy hivatkozást a fájlra. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
|
Hálózati féreg
|
Hálózati férgek
|
Ezek a férgek számítógépes hálózatokon terjednek.
A többi féreggel ellentétben a tipikus hálózati féreg a felhasználó beavatkozása nélkül terjed. A féreg átvizsgálja a helyi hálózaton található számítógépeket, és sebezhetőséget jelentő programokat keres. Ehhez erre a célra létrehozott hálózati programcsomagokat küld szét (amik a biztonsági rések kiaknázását végzik), benne a féreg kódjával. Ha egy „sebezhető” számítógép található a hálózaton, az megkapja az ilyen hálózati csomagot. Amint a féreg teljesen bejutott a számítógépbe, azonnal aktiválódik.
|
P2P-féreg
|
Fájlcserélő hálózati férgek
|
Fájlcserélő (Peer-to-Peer) hálózatokon keresztül terjednek.
A P2P hálózatba való bejutáshoz a féreg bemásolja magát a fájlcsere mappába, amely rendszerint a felhasználó számítógépén található. A P2P hálózat információkat jelenít meg a fájlról, így a felhasználó a többi fájlhoz hasonlóan „megtalálja” a fertőzött fájlt a hálózaton, majd letölti és megnyitja.
A kifinomultabb férgek adott P2P-hálózat protokollját is képesek emulálni: ezek pozitív válaszokat küldenek a keresésekre, majd felajánlják saját másolatukat letöltésre.
|
Férgek
|
Egyéb típusú férgek
|
Az egyéb típusú férgek a következők lehetnek:
- Saját másolataikat hálózati erőforrásokon át terjesztő férgek. Az operációs rendszer funkcióit kihasználva ezek megvizsgálják az elérhető hálózati mappákat, más számítógépekhez kapcsolódnak az interneten keresztül, és megkísérlik azok lemezmeghajtói felett átvenni a teljes uralmat. A fent ismertetett férgekkel ellentétben mások maguktól nem aktiválódnak, csak akkor, ha a felhasználó megnyitja a féreg egy másolatát tartalmazó fájlt.
- Olyan férgek, amelyek a táblázatban ismertetett módok egyikét sem használják az elterjedésre (pl. a mobiltelefonokon terjedő férgek).
|
- Trójai programok
Alkategória: Trójai programok
Fenyegetési szint: magas
A férgekkel és vírusokkal ellentétben a trójai programok nem szaporítják magukat. A számítógépet például e-mailen vagy böngészőn át szállják meg, amikor a felhasználó fertőzött weboldalt látogat meg. A trójai programok a felhasználó közreműködésével indulnak el. Rosszindulatú működésüket közvetlenül az elindulásukat követően kezdik meg.
A különböző trójai programok eltérően viselkednek a fertőzött számítógépeken. A „trójai” fő funkciói az információk blokkolása, módosítása vagy megsemmisítése, leállítva ezzel számítógépeket, hálózatokat. Ezen kívül a trójai programok fájlokat fogadnak és küldenek, futtatják azokat, üzeneteket jelenítenek meg a képernyőn, weboldalaknak küldenek kérést, programokat töltenek le és telepítenek, valamint újraindítják a számítógépet.
A hackerek gyakran különböző trójai programok „készletét” alkalmazzák.
Az alábbi táblázat a trójai programok viselkedéstípusait ismerteti.
Trójai programok viselkedése fertőzött számítógépen
Típus
|
Név
|
Leírás
|
Trójai ArcBomb
|
Trójai programok – „archívumbombák”
|
Kicsomagoláskor az archívumok mérete megnő, ami kihat a számítógép működésére.
Az ilyen archívum kicsomagolásakor a számítógép működése lelassul, esetleg lefagy és a merevlemez megtelhet „üres” adatokkal. Az „archívumbombák” különösen nagy veszélyt jelentenek fájl és levelező kiszolgálókra. Ha a kiszolgáló automatikus rendszert használ a beérkező információk feldolgozására, az „archívumbomba” leállíthatja a működését.
|
Hátsó kapu
|
Távoli rendszerfelügyeletet lehetővé tevő trójai programok
|
Az összes közül ezek a legveszélyesebb trójai programok. Funkciójuk alapján hasonlítanak a számítógépre telepített rendszerfelügyeleti alkalmazásokhoz.
Ezek a programok a felhasználó tudtán kívül telepítik magukat a számítógépre, lehetővé téve, hogy a betolakodó távolról átvegye az uralmat a gép felett.
|
Trójai
|
Trójai programok
|
Ez a kategória az alábbi rosszindulatú programokat tartalmazza:
- Klasszikus trójai programok. Ezek a programok csak a trójai programok fő funkcióit látják el, melyek a következők: az információk blokkolása, módosítása vagy megsemmisítése és a számítógépek, hálózatok leállítása. Nem rendelkeznek olyan speciális funkciókkal, mint a táblázatban szereplő más típusok.
- Sokoldalú trójai programok. Ezek a programok számos trójai programra jellemző speciális funkcióval rendelkeznek.
|
Váltságdíj-trójai
|
Váltságdíj trójai
|
Ezek a felhasználó adatait „túszul ejtik,” módosítva vagy blokkolva azt, esetleg meggátolják a számítógép működését hogy a felhasználó számára elvesszenek az adatok. A betolakodó váltságdíjat követel a felhasználótól, azt ígérve, hogy küld egy programot, amellyel visszaállítható a számítógép normál állapota az elveszett adatokkal együtt.
|
Trójai-kattintó
|
Trójai kattintók
|
Ezek a felhasználó számítógépéről weboldalakat látogatnak meg, saját maguk utasítva a webböngészőt, vagy módosítva az operációs rendszer fájljaiban megadott webcímet.
Az ilyen programokkal a betolakodó hálózati támadást indíthat, valamint webhelyek látogatottságát növelheti, hogy a reklámcsíkhirdetések megjelenítésének a száma növekedjen.
|
Trójai-letöltő
|
Trójai-letöltők
|
Ezek a betolakodó weboldaláról további rosszindulatú programokat töltenek le és telepítenek a felhasználó számítógépére. A letöltendő rosszindulatú program fájlnevét tartalmazhatják, illetve megkaphatják a meglátogatott weboldalról is.
|
Trójaitelepítő
|
Trójaitelepítők
|
Más trójai programokat tartalmaznak, melyeket a számítógép merevlemezére mentenek, majd telepítenek.
A betolakodók a telepítő típusú trójai programokat az alábbi célokból használhatják:
- Rosszindulatú program telepítése a felhasználó tudtán kívül: A trójai telepítő programok nem jelenítenek meg rendszerüzeneteket, vagy hamis információkat jelenítenek meg például tömörített fájl hibájáról, esetleg az operációs rendszer inkompatibilis verziójáról.
- Más ismert rosszindulatú programok megvédése a felfedezéstől: nem minden vírusirtó szoftver képes felismerni a trójai telepítő programon belül a rosszindulatú programot.
|
Trójai-értesítő
|
Trójai-értesítők
|
Tájékoztatják a betolakodót, hogy a fertőzött számítógép hozzáférhető, és elküldik neki a számítógép adatait: az IP-címet, a megnyitott port számát, illetve az e-mail-címet. Kapcsolatba lépnek a betolakodóval e-mailben vagy FTP-n, weboldalának meglátogatásával vagy más módon.
Ezek a programok gyakran több trójai programból álló programcsomag részét képezik. Ezek értesítik a betolakodót a többi trójai program sikeres telepítéséről.
|
Trójai-proxy
|
Trójai-proxyk
|
Segítségükkel a betolakodó névtelenül érhet el weboldalakat a felhasználó számítógépéről; gyakran alkalmazzák őket levélszemét küldésére.
|
Trójai-PSW
|
Jelszólopó programok
|
A jelszólopók olyan típusú trójai programok, amelyek felhasználói fiókokat törnek fel, például szoftver regisztrációs adatait szerzik meg. A bizalmas adatokat a rendszerfájlokban és a regisztrációs adatbázisban érik el, majd elküldik azokat a „gazdájuknak” e-mail, FTP útján, meglátogatva a weboldalát, esetleg más módon.
Néhány ilyen trójai program a táblázat által tárgyalt külön kategóriába sorolható. Ezek a bankfiók adatokat lopó trójai programok (Trojan-Banker), az azonnali üzenetküldő programok felhasználóitól adatokat lopó trójai programok (Trójai-IM) valamint online játékok felhasználóitól adatokat lopó trójai programok (Trojan-GameThief).
|
Trójai-kém
|
Trójai-kémek
|
Ezek kémkednek a felhasználó után, információkat gyűjtenek az általa a számítógépen végzett műveletekről. Eltéríthetik a felhasználó által a billentyűzeten begépelt adatokat, képernyőképet készíthetnek, vagy elkészíthetik az aktív alkalmazások teljes listáját. Miután megszerezték az információkat, eljuttatták azokat a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
|
Trójai-DDoS
|
Trójai hálózattámadók
|
Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS). A hackerek gyakran több számítógépet is megfertőznek ilyen programokkal, hogy több párhuzamos támadást indíthassanak egyetlen kiszolgáló ellen.
A DoS programok egy számítógépről a felhasználó tudtával indítanak támadást. A DDoS (elosztott DoS) programok több számítógépről a fertőzött számítógép felhasználójának a tudta nélkül indítanak elosztott támadást.
|
Trójai-IM
|
Azonnali üzenetküldő ügyfelek felhasználóitól adatokat lopó trójai programok
|
Ellopják az azonnali üzenetküldők felhasználóinak számlaszámait és jelszavait. Az információkat eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
|
Rootkit
|
Rootkitek
|
Ezek más rosszindulatú programokat és azok tevékenységét maszkolják, így meghosszabbítva azok jelenlétét az operációs rendszerben. Emellett a fertőzött számítógép memóriájában olyan fájlokat, folyamatokat vagy rendszerleíró kulcsokat rejtenek el, amelyek rosszindulatú programokat futtatnak. A rootkitek maszkolhatnak adatcserét alkalmazások között a felhasználó számítógépén és a hálózaton található számítógépek között.
|
Trójai-SMS
|
SMS-üzenetek formájában megjelenő trójai programok
|
Ezek mobiltelefonokat fertőznek meg, SMS-üzeneteket küldve fizetős telefonszámokra.
|
Trójai GameThief
|
Online játékok felhasználóitól adatokat lopó trójai programok
|
Ezek online játékok résztvevőitől lopnak fiókbejelentkezéseket, aztán eljuttatják a betolakodónak e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
|
Trójai bankár
|
Bankszámlaadatokat lopó trójai programok
|
Ezek bankszámlaadatokat vagy elektronikus fizetési rendszeradatokat lopnak, aztán → eljuttatják a hackernek e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
|
Trójai Mailfinder
|
E-mail címeket gyűjtő trójai programok
|
Ezek a számítógépen található e-mail címeket gyűjtik össze, aztán eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon. A betolakodók az összegyűjtött címekre aztán levélszemetet küldenek.
|
- Rosszindulatú eszközök
Alkategória: Rosszindulatú eszközök
Veszély szintje: közepes
A többi rosszindulatú programmal ellentétben a rosszindulatú eszközök az elindítás után közvetlenül nem kezdik el a működésüket. Ily módon biztonságosan menthetők és elindíthatók a felhasználó számítógépén. A betolakodók az ilyen programok funkcióit gyakran használják vírusok, férgek és trójai programok létrehozására, hálózati támadások indítására távoli kiszolgálók ellen, számítógépek feletti uralom átvételére vagy más rosszindulatú műveletek végrehajtására.
A rosszindulatú eszközök különböző funkciói az alábbi táblázat szerint csoportosíthatók.
Rosszindulatú eszközök funkciói
Típus
|
Név
|
Leírás
|
Konstruktor
|
Konstruktorok
|
Ezek segítségével hozhatók létre új vírusok, férgek és trójai programok. Néhány konstruktor szabványos ablakalapú felülettel rendelkezik, ahol a felhasználó kiválaszthatja a létrehozni kívánt rosszindulatú program típusát, a hibakeresésre adandó választ és egyéb tulajdonságokat.
|
Dos
|
Hálózati támadások
|
Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS).
|
Biztonsági rés kiaknázása
|
Biztonsági rések kiaknázása
|
Az exploit olyan adatcsomag vagy programkód, amely az alkalmazás sebezhetőségét megkeresve, azt kihasználva rosszindulatú műveletbe kezd a számítógépen. Például az exploit fájlokat ír és olvas, vagy kérést küld „fertőzött” weboldalaknak.
A különböző exploitok különböző alkalmazások vagy hálózati szolgáltatások sebezhetőségét használják ki. Az exploit hálózati csomagnak álcázva magát a hálózaton keresztül számos számítógépbe eljut, sebezhető hálózati szolgáltatásokkal rendelkező számítógépeket keresve. A DOC fájlban működő exploit a szövegszerkesztő program sebezhetőségét használja ki. A készítője által beprogramozott műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött fájlt. Az e-mail üzenetbe ágyazott exploit az e-mail kliens sebezhetőségeit keresi. A rosszindulatú műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött üzenetet az e-mail kliensben.
A hálózati férgek a hálózaton exploitok segítségével terjednek. A Nuker exploitok számítógépeket leállító hálózati csomagok.
|
Fájltitkosító
|
Titkosítók
|
Ezek más rosszindulatú programokat titkosítanak, hogy elrejtsék azokat a víruskereső alkalmazások elől.
|
Elárasztó
|
Hálózatokat „szennyező” programok
|
Ezek nagy mennyiségű üzenetet küldenek hálózati csatornákon. Az ilyen eszközök között találhatók az internetes csevegéseket szennyező programok is.
Az elárasztó eszközök nem tartalmaznak e-mail, IM-kliens és mobilkommunikációs rendszerek csatornáit „eltömítő” programokat. Az ilyen programok külön típusként (e-mail-elárasztó, IM-elárasztó és SMS-elárasztó) szerepelnek ebben a táblázatban.
|
HackTool
|
Hackelő eszközök
|
Az ilyenek teszik lehetővé azon számítógép feletti uralom átvételét, amelyre feltelepültek, vagy más számítógépek megtámadását (például új rendszerfiók felvételét a felhasználó engedélye nélkül, a rendszernapló törlését, hogy elrejthető legyen a jelenlétük az operációs rendszerben). Ebbe a típusba tartoznak némely szimatoló programok, amelyek jelszavakat térítenek el. A Szimatolók olyan programok, amelyek a hálózati forgalmat képesek megjeleníteni.
|
Hoax
|
Hoaxok
|
Az ilyenek a felhasználót vírus jellegű üzenetekkel riogatják: ezek nem fertőzött fájlban is „észlelik a vírust”, vagy olyan formázásról értesítik a felhasználót, ami a valóságban nem történik meg.
|
Hamisító
|
Hamisító eszközök
|
Ezek a feladó hamis címéről küldenek üzeneteket és hálózati kéréseket. A behatolók hamisító jellegű eszközöket alkalmaznak, hogy például üzenetek valódi feladóinak adják ki magukat.
|
VirTool
|
Rosszindulatú programokat módosító eszközök
|
Ezek lehetővé teszik más rosszindulatú programok módosítását, hogy elrejtsék azokat víruskereső alkalmazások elől.
|
E-mail-elárasztó
|
E-mail címeket „szennyező” programok
|
Ezek nagy mennyiségű üzenetet küldenek számos e-mail címre, így„szennyezve” azokat. A nagy mennyiségű beérkező üzenet gátolja a felhasználót a hasznos üzenetei kezelésében.
|
IM-elárasztó
|
Az azonnali üzenetküldők forgalmát SMS üzenetekkel „szennyező” programok
|
Az azonnali üzenetküldők felhasználóit elárasztják üzenetekkel. Az üzenetek nagy száma akadályozza a felhasználót a hasznos üzenetek kezelésében.
|
SMS-elárasztó
|
A forgalmat SMS üzenetekkel „szennyező” programok
|
Ezek nagy mennyiségű SMS-üzenetet küldenek a mobiltelefonra.
|
- Reklámprogram
Alkategória: hirdetési szoftver (reklámprogram);
Fenyegetés szintje: közepes
A reklámprogram a felhasználó számára biztosít reklámokat. A reklámprogram más program kezelőfelületén reklámcsík hirdetést jelenít meg, és a kereső kérését a hirdető weboldalára irányítja. Néhányuk marketinginformációkat gyűjt a felhasználóról, majd elküldi a fejlesztőnek: ezek az információk a felhasználó által meglátogatott weboldalak neveit, az általa használt keresési kulcsszavakat tartalmazhatják. A trójai kémprogramokkal ellentétben a reklámprogramok ezeket az adatokat a felhasználó beleegyezésével küldik el a fejlesztőnek.
- Automata tárcsázók
Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait
Veszély szintje: közepes
A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.
Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.
Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.
Típus
|
Név
|
Leírás
|
Kliens IRC
|
Internet csevegő kliensek
|
A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
|
Tárcsázó
|
Automata tárcsázók
|
Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
|
Letöltő
|
Letöltéshez használható programok
|
Ezek rejtve töltenek le fájlokat különböző weboldalakról.
|
Monitor
|
Monitorozásra alkalmas programok
|
Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
|
PSWTool
|
Jelszó visszaállítók
|
Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
|
RemoteAdmin
|
Távoli rendszerfelügyeletet lehetővé tevő programok
|
Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából.
A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
|
Kiszolgáló FTP
|
FTP-kiszolgálók
|
Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
|
Kiszolgáló proxy
|
Proxykiszolgálók
|
Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
|
Kiszolgáló Telnet
|
Telnet-kiszolgálók
|
Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
|
Kiszolgáló Web
|
Web kiszolgálók
|
Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
|
RiskTool
|
Helyi számítógépen történő munkavégzésre szolgáló eszközök
|
A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
|
NetTool
|
Hálózati eszközök
|
A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
|
Kliens P2P
|
P2P-hálózati kliensek
|
Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
|
Kliens SMTP
|
SMTP-kliensek
|
E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
|
WebToolbar
|
Webes eszköztárak
|
Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
|
FraudTool
|
Pszeudoprogramok
|
Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.
|
- Egyéb
Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait
Veszély szintje: közepes
A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.
Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.
Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.
Típus
|
Név
|
Leírás
|
Kliens IRC
|
Internet csevegő kliensek
|
A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
|
Tárcsázó
|
Automata tárcsázók
|
Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
|
Letöltő
|
Letöltéshez használható programok
|
Ezek rejtve töltenek le fájlokat különböző weboldalakról.
|
Monitor
|
Monitorozásra alkalmas programok
|
Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
|
PSWTool
|
Jelszó visszaállítók
|
Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
|
RemoteAdmin
|
Távoli rendszerfelügyeletet lehetővé tevő programok
|
Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából.
A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
|
Kiszolgáló FTP
|
FTP-kiszolgálók
|
Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
|
Kiszolgáló proxy
|
Proxykiszolgálók
|
Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
|
Kiszolgáló Telnet
|
Telnet-kiszolgálók
|
Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
|
Kiszolgáló Web
|
Web kiszolgálók
|
Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
|
RiskTool
|
Helyi számítógépen történő munkavégzésre szolgáló eszközök
|
A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
|
NetTool
|
Hálózati eszközök
|
A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
|
Kliens P2P
|
P2P-hálózati kliensek
|
Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
|
Kliens SMTP
|
SMTP-kliensek
|
E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
|
WebToolbar
|
Webes eszköztárak
|
Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
|
FraudTool
|
Pszeudoprogramok
|
Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.
|
- Esetleg kárt okozó csomagolt fájlok
A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.
A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.
A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.
Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú programot vagy olyan programot tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.
A Kaspersky Endpoint Security az alábbi programokat választja ki:
- Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
- Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.
- Többszörösen csomagolt fájlok
A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.
A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.
A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.
Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú programot vagy olyan programot tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.
A Kaspersky Endpoint Security az alábbi programokat választja ki:
- Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
- Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.
|