Typen der zu erkennenden Objekte

Kaspersky Endpoint Security sucht unabhängig von den aktuellen Einstellungen stets nach Viren, Würmern und Trojanern und blockiert diese. Diese Programme können dem Computer erheblichen Schaden zufügen.

• Viren, Würmer

  Unterkategorie: Viren und Würmer (Viruses_and_Worms)

  Bedrohungsstufe: hoch

  Klassische Viren und Würmer führen auf einem Computer Aktionen aus, die nicht vom Benutzer erlaubt wurden. Sie können sich selbst kopieren, wobei die Kopien ebenfalls zur Reproduktion fähig sind.

  Klassischer Virus

  Nachdem ein klassischer Virus in ein System eingedrungen ist, infiziert er eine Datei, aktiviert sich darin, führt seine schädlichen Aktionen aus und fügt anderen Dateien Kopien von sich hinzu.

  Ein klassischer Virus vermehrt sich nur auf lokalen Computerressourcen und kann nicht selbständig in andere Rechner eindringen. Er kann nur auf andere Computer gelangen, wenn er seine Kopie einer Datei hinzufügt, die in einem gemeinsamen Ordner oder auf einer eingelegten CD gespeichert wird, oder wenn der Benutzer eine E-Mail-Nachricht verschickt, an welche die infizierte Datei angehängt ist.

  Der Code eines klassischen Virus kann in unterschiedliche Computerbereiche, in das Betriebssystem oder in Programme eindringen. Abhängig vom Milieu werden Dateiviren, Bootviren, Skriptviren und Makroviren unterschieden.

  Viren verwenden unterschiedliche Methoden, um Dateien zu infizieren. Überschreibende Viren (Overwriting) schreiben ihren Code anstelle des Codes einer infizierten Datei und zerstören deren Inhalt. Die infizierte Datei funktioniert nicht mehr und kann nicht repariert werden. Parasitäre Viren (Parasitic) verändern Dateien, wobei diese vollständig oder teilweise funktionsfähig bleiben. Companion-Viren (Companion) verändern Dateien nicht, sondern legen Zwillingsdateien an. Beim Öffnen einer infizierten Datei wird ihr Zwilling gestartet, der ein Virus ist. Außerdem gibt es noch folgende Virentypen: Linkviren (Link), Viren, die Objektmodule (OBJ), Compiler-Bibliotheken (LIB) oder den Quelltext von Programmen infizieren, u.a.

  Wurm

  Genau wie bei einem klassischen Virus aktiviert sich der Code eines Wurms nach dem Eindringen in ein System selbst und führt seine schädlichen Aktionen aus. Die Bezeichnung Wurm geht darauf zurück, dass er wie ein Wurm von Computer zu Computer „kriechen“ und seine Kopien ohne Erlaubnis des Benutzers über verschiedene Datenkanäle verbreiten kann.

  Würmer werden grundsätzlich nach der Art ihrer Verbreitung unterschieden. Die folgende Tabelle klassifiziert die Wurmtypen nach der Verbreitungsmethode.

  Verbreitungsmethoden von Würmern

   

   

  Typ	Name	Beschreibung
  Email-Worm	Email-Worm	Sie verbreiten sich über E-Mails. Eine infizierte E-Mail-Nachricht enthält eine angehängte Datei mit einer Wurmkopie oder einem Link zu einer solchen Datei, die sich auf einer gehackten oder speziell erstellten Website befindet. Wenn Sie die angehängte Datei öffnen, wird der Wurm aktiviert. Wenn Sie auf den Link klicken, die Datei herunterladen und dann öffnen, beginnt der Wurm auch mit seinen bösartigen Aktionen. Danach verbreitet er seine Kopien. Dazu sucht er andere E-Mail-Adressen und schickt infizierte Nachrichten an diese.
  IM-Worm	IM-Client-Würmer	Sie verbreiten sich über IM-Clients. Ein IM-Wurm verschickt in der Regel Nachrichten mit einem Link, der zu einer Website mit seiner Kopie führt, an die Adressen der Kontaktliste. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
  IRC-Worm	Würmer für Internet-Chats	Sie verbreiten sich über Internet Relay Chats. Dies sind Chat-Systeme, mit denen über das Internet in Echtzeit Gespräche mit mehreren Teilnehmern möglich sind. Ein solcher Wurm veröffentlicht im Internet-Chat eine Datei mit seiner Kopie oder einem Link zu einer Datei. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
  Net-Worm	Netzwürmer (Würmer für Computernetzwerke)	Sie verbreiten sich über Computernetzwerke. Im Unterschied zu anderen Wurmtypen verbreitet sich ein Netzwurm ohne Zutun des Benutzers. Er sucht im lokalen Netzwerk nach Computern, auf denen Programme laufen, die Schwachstellen aufweisen. Zu diesem Zweck schickt er ein spezielles Netzwerkpaket (Exploit), das den Wurmcode oder einen Teil davon enthält. Befindet sich ein „verwundbarer“ Computer im Netzwerk, nimmt er das Netzwerkpaket an. Nachdem der Wurm vollständig in den Computer eingedrungen ist, aktiviert er sich.
  P2P-Worm	Würmer für Dateitausch-Netzwerke	Sie verbreiten sich über Peer-to-Peer-Netze. Um in ein P2P-Netz einzudringen, kopiert sich der Wurm in einen Ordner, der zum Dateiaustausch verwendet wird und sich gewöhnlich auf einem PC befindet. Das P2P-Netz zeigt Informationen über diese Datei an. Ein Benutzer kann die infizierte Datei wie andere angebotene Dateien im Netzwerk „finden“, herunterladen und öffnen. Komplexere Würmer imitieren das Netzwerkprotokoll eines konkreten P2P-Netzes: Sie antworten positiv auf Suchanfragen und bieten ihre Kopien zum Download an.
  Wurm	Sonstige Würmer	Zu den sonstigen Netzwürmern zählen: Würmer, die ihre Kopien in Netzwerkressourcen verbreiten. Unter Verwendung von Betriebssystemfunktionen durchsuchen sie verfügbare Netzwerkordner, bauen Verbindungen zu Computern im globalen Netzwerk auf und versuchen, umfassenden Zugriff auf ihre Laufwerke zu erhalten. Im Unterschied zu den oben beschriebenen Wurmarten verbreiten sich die sonstigen Würmer nicht selbständig weiter, sondern nur, wenn der Benutzer eine Datei mit einer Wurmkopie öffnet. Würmer, die nicht zu den in dieser Tabelle beschriebenen Verbreitungsmethoden gehören (z. B. Würmer, die sich über Mobiltelefone weiterverbreiten).

   

• Trojaner (einschließlich Ransomware)

  Subkategorie: trojanische Programme (Trojan_programs)

  Bedrohungsstufe: hoch

  Im Gegensatz zu Würmern und Viren erstellen trojanische Programme keine Kopien von sich. Sie dringen z. B. über E-Mails oder über den Browser in den Computer ein, wenn der Benutzer eine infizierte Webseite besucht. Trojanische Programme werden unter Beteiligung des Benutzers gestartet. Unmittelbar nach ihrem Start beginnen sie mit ihren schädlichen Aktionen.

  Jeder Trojaner-Typ zeigt ein individuelles Verhalten auf dem infizierten Computer. Die Hauptfunktionen von trojanischen Programmen sind das Sperren, Verändern oder Vernichten von Informationen sowie das Hervorrufen von Funktionsstörungen in Computern oder Computernetzwerken. Außerdem können trojanische Programme Dateien empfangen oder senden, Dateien ausführen, auf dem Bildschirm Meldungen anzeigen, auf Webseiten zugreifen, Programme herunterladen und installieren, und einen Computer neu starten.

  Häufig verwenden Angreifer eine „Kombination“ aus unterschiedlichen Trojanerprogrammen.

  Die folgende Tabelle unterscheidet die Typen der trojanischen Programme nach ihrem Verhalten.

  Typen der trojanischen Programme nach ihrem Verhalten auf einem infizierten Computer

   

  Typ	Name	Beschreibung
  Trojan-ArcBomb	Trojanische Programme – „Archivbomben”	Archive. Beim Extrahieren vergrößert sich der Inhalt so stark, dass es auf dem Computer zu Funktionsstörungen kommt. Wenn der Benutzer versucht, ein solches Archiv zu entpacken, kann es sein, dass die Leistung des Computers sinkt, der Computer hängen bleibt oder die Festplatte mit „leeren“ Daten überfüllt wird. Eine besondere Gefahr bilden „Archivbomben“ für Datei- und Mailserver. Wird auf dem Server ein System zur automatischen Verarbeitung eingehender Daten verwendet, kann eine „Archivbombe“ den Server zum Absturz bringen.
  Backdoor	Trojanische Programme zur Remote-Administration	Dieser Typ gilt unter den trojanischen Programmen als der gefährlichste. Sie gleichen funktionsmäßig Programmen, die zur Remote-Administration auf einem Computer installiert werden. Diese Programme installieren sich auf dem Computer, ohne dass der Benutzer etwas davon bemerkt, und ermöglichen dem Angreifer die Fernsteuerung des Computers.
  Trojan	Trojanische Programme	Dieser Typ umfasst folgende schädlichen Programme: Klassische trojanische Programme. Diese Programme führen nur die Grundfunktionen trojanischer Programme aus: Sperrung, Veränderung oder Zerstörung von Informationen, Störung der Arbeit von Computern oder Computernetzwerken. Sie besitzen keine Zusatzfunktionen, über die andere Trojaner-Typen verfügen, die in dieser Tabelle beschrieben sind. “Mehrzweck“-Trojaner. Sie besitzen Zusatzfunktionen, die gleichzeitig für mehrere Typen trojanischer Programme charakteristisch sind.
  Trojan-Ransom	Trojanische Erpressungsprogramme	Sie nehmen die Daten auf einem PC als „Geisel“, indem sie diese verändern oder sperren, oder stören die Arbeit des Computers, damit der Benutzer nicht mehr auf seine Daten zugreifen kann. Der Angreifer fordert vom Benutzer ein Lösegeld und verspricht, dafür ein Programm zu liefern, das die Funktionsfähigkeit des Computers und der Daten wiederherstellt.
  Trojan-Clicker	Trojanische Clicker-Programme	Diese Programme greifen von einem PC aus auf Webseiten zu: Sie senden entweder selbst Befehle an den Browser oder ersetzen Webadressen, die in Systemdateien gespeichert sind. Mithilfe dieser Programme organisieren Angreifer Netzwerkangriffe oder steigern die Besucherzahlen von Seiten, um die Anzeigehäufigkeit von Werbebannern zu erhöhen.
  Trojan-Downloader	Trojanische Download-Programme	Sie greifen auf die Webseite des Eindringlings zu, laden von dort andere bösartige Programme herunter und installieren sie auf dem Computer des Benutzers. Sie können den Dateinamen des böswilligen Programms enthalten, die heruntergeladen oder von der Webseite, auf die zugegriffen wird, empfangen werden soll.
  Trojan-Dropper	Trojanische Installationsprogramme	Nachdem sie auf der Computerfestplatte gespeichert wurden, installieren sie andere trojanische Programme, die sich in ihrem Körper befinden. Angreifer können trojanische Installationsprogramme zu folgenden Zwecken verwenden: um ohne Wissen des Benutzers ein schädliches Programm zu installieren: Trojanische Installationsprogramme zeigen keinerlei Meldungen an oder blenden falsche Meldungen über einen Fehler im Archiv oder eine inkorrekte Version des Betriebssystems ein. um andere bekannte Schadsoftware vor der Entdeckung zu schützen: Nicht alle Antiviren-Programme können Schadsoftware in trojanischen Installationsprogrammen erkennen.
  Trojan-Notifier	Trojanische Benachrichtigungsprogramme	Sie informieren einen Angreifer darüber, dass der infizierte Computer „online“ ist und übermitteln folgende Informationen über den Computer: IP-Adresse, Nummer des offenen Ports oder E-Mail-Adresse. Sie nehmen per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise Kontakt mit dem Angreifer auf. Trojanische Benachrichtigungsprogramme werden häufig in Kombination mit unterschiedlichen Trojanerprogrammen eingesetzt. Sie teilen dem Angreifer mit, dass andere trojanische Programme erfolgreich auf einem PC installiert wurden.
  Trojan-Proxy	Trojanische Proxy-Programme	Sie ermöglichen es einem Angreifer, über einen PC anonym auf Webseiten zuzugreifen. Sie dienen häufig zum Spam-Versand.
  Trojan-PSW	Trojanische Programme zum Kennwortdiebstahl	Trojanische Programme, die Kennwörter stehlen (Password Stealing Ware). Sie berauben Benutzerkonten und stehlen beispielsweise Registrierungsdaten für Softwareprodukte. Sie durchsuchen Systemdateien und die Registrierung nach vertraulichen Daten und schicken diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer. Einige dieser trojanischen Programme werden speziellen Typen zugeordnet, die in dieser Tabelle beschrieben sind. Dazu zählen Trojaner, die Bankkonten berauben (Trojan‑Banker), Daten von IM-Clients stehlen (Trojan‑IM) und Daten aus Netzwerkspielen entwenden (Trojan‑GameThief).
  Trojan-Spy	Trojanische Spyware-Programme	Sie spionieren den Benutzer aus und sammeln Informationen über die Aktionen, die der Benutzer bei der Arbeit am Computer ausführt. Sie können die Daten abfangen, die der Benutzer über die Tastatur eingibt, Screenshots machen oder Listen aktiver Programme sammeln. Die gesammelten Informationen werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
  Trojan-DDoS	Trojanische Programme für Netzwerkangriffe	Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung). Häufig werden mehrere Computer von solchen Programmen infiziert, um sie dann gleichzeitig für einen gezielten Angriff auf einen Server zu verwenden. DoS-Programme realisieren einen Angriff von einem Computer aus, wobei der Benutzer davon weiß. DDoS-Programme (Distributed DoS) verwenden eine größere Anzahl von Computern ohne Wissen der Benutzer für verteilte Angriffe.
  Trojan-IM	Trojanische Programme zum Diebstahl der Daten von IM-Client-Benutzern	Sie stehlen Nummern und Kennwörter der Benutzer von IM-Clients. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
  Rootkit	Rootkits	Sie maskieren andere bösartige Programme und deren Aktivität und verlängern so die Persistenz der Programme im Betriebssystem. Sie können auch Dateien, Prozesse im Speicher eines infizierten Computers oder Registrierungsschlüssel, die bösartige Programme ausführen, verbergen. Die Rootkits können den Datenaustausch zwischen Programmen auf dem Computer des Benutzers und anderen Computern im Netzwerk maskieren.
  Trojan-SMS	Trojanische Programme für SMS-Nachrichten	Sie infizieren Handys und versenden SMS-Nachrichten an kostenpflichtige Nummern.
  Trojan-GameThief	Trojanische Programme zum Diebstahl von Benutzerdaten aus Netzwerkspielen	Sie stehlen Kontodaten von Benutzern, die an Netzwerkspielen für Computer teilnehmen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
  Trojan-Banker	Trojanische Programme zum Diebstahl von Daten über Bankkonten	Sie stehlen Daten über Bankkonten oder über Konten bei elektronischen Zahlungssystemen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
  Trojan-Mailfinder	Trojanische Programme, die E-Mail-Adressen sammeln	Sie sammeln auf einem Computer E-Mail-Adressen und übermitteln diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer. An die gesammelten Adressen kann der Angreifer Spam verschicken.

   

• Schädliche Tools

  Subkategorie: schädliche Tools (Malicious_tools)

  Gefahrenstufe: mittel

  Im Gegensatz zu anderen Arten von Malware führen bösartige Tools ihre Aktionen nicht sofort nach dem Start aus. Sie können auf dem Computer des Benutzers sicher gespeichert und gestartet werden. Angreifer verwenden die Funktionen dieser Programme, um Viren, Würmer und Trojaner zu erstellen, Netzwerkangriffe gegen Remote-Server zu organisieren, Computer zu „hacken“ und andere schädliche Aktionen durchzuführen.

  Die folgende Tabelle kategorisiert die unterschiedlichen Funktionen von schädlichen Tools.

  Funktionen von schädlichen Tools

   

  Typ	Name	Beschreibung
  Constructor	Konstrukteure	Mit ihrer Hilfe können neue Viren, Würmer und trojanische Programme erstellt werden. Einige Konstrukteure verfügen über eine standardmäßige Fensteroberfläche, in der über ein Menü der Typ einer zu erstellenden Schadsoftware, die Methode zur Debugger-Abwehr und sonstige Eigenschaften gewählt werden.
  Dos	Netzwerkangriffe	Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung).
  Exploit	Exploits	Exploits bestehen aus einer Datenkombination oder aus Programmcode, der die Schwachstellen eines Programms, in dem er verarbeitet wird, ausnutzt, um auf dem Computer eine schädliche Aktion auszuführen. Ein Exploit kann beispielsweise Dateien schreiben oder lesen oder auf „infizierte“ Webseiten zugreifen. Es gibt verschiedene Arten von Exploits, die Schwachstellen unterschiedlicher Programme oder Netzwerkdienste ausnutzen. Exploits werden in Form eines Netzwerkpakets über ein Netzwerk an mehrere Computer übertragen, um Computer mit anfälligen Netzwerkdiensten zu finden. Ein Exploit in einer DOC-Datei nutzt die Schwachstellen eines Textverarbeitungsprogramms. Er kann damit beginnen, die vom Angreifer programmierten Funktionen auszuführen, sobald der Benutzer eine infizierte Datei öffnet. Ein Exploit, der in eine E-Mail-Nachricht eingebettet ist, sucht nach Schwachstellen in einem Mail-Client. Er kann mit der Ausführung einer schädlichen Aktion beginnen, sobald der Benutzer die infizierte E-Mail in diesem Mail-Client öffnet. Mithilfe von Exploits werden Netzwürmer (Net-Worm) verbreitet. Nuker-Exploits(Nuker) bestehen aus Netzwerkpaketen, die einen Computer zum Absturz bringen.
  FileCryptor	Verschlüsselungsprogramme	Chiffreure verschlüsseln schädliche Programme, um sie vor Antiviren-Programmen zu verstecken.
  Flooder	Programme zur „Verunreinigung“ von Netzwerken	Sie versenden eine hohe Anzahl von Nachrichten über Netzwerkkanäle. Zu diesem Typ zählen beispielsweise Programme, die der Verunreinigung von Internet Relay Chats dienen. Programme, die der Verunreinigung von Kanälen für E-Mail, IM-Clients und Mobilfunksysteme dienen, zählen nicht zu diesem Typ. Diese Programme werden separaten Typen zugeordnet, die ebenfalls in dieser Tabelle beschrieben sind (Email-Flooder, IM-Flooder und SMS-Flooder).
  HackTool	Hacker-Tools	Sie können die Kontrolle über den Computer, auf dem sie installiert sind, übernehmen oder einen anderen Computer angreifen (z. B. ohne Erlaubnis des Benutzers andere Systembenutzer hinzufügen und Systemberichte löschen, um ihre Spuren im System zu verwischen). Zu diesem Typ gehören bestimmte Sniffer, die über schädliche Funktionen wie z. B. das Abfangen von Kennwörtern verfügen. Sniffer (Sniffers) sind Programme, die den Netzwerkverkehr abhören können.
  Hoax	Böse Scherze	Diese Programme erschrecken einen Benutzer mit virenähnlichen Meldungen: Sie zeigen fiktive Meldungen über Virenfunde in sauberen Dateien oder über das Formatieren der Festplatte an.
  Spoofer	Imitator-Tools	Sie senden E-Mails und Netzwerkanfragen mit gefälschten Absenderadressen. Imitatoren werden beispielsweise von Angreifern verwendet, um einen falschen Absender vorzutäuschen.
  VirTool	Tools zur Modifikation schädlicher Programme	Sie erlauben es, andere schädliche Programme so zu modifizieren, dass sie sich vor Antiviren-Programmen verstecken können.
  Email-Flooder	Programme zur „Verunreinigung“ von E-Mail-Postfächern	Sie versenden eine hohe Anzahl von Nachrichten an E-Mail-Adressen (“verstopfen diese mit Müll“). Die große Menge von E-Mails hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
  IM-Flooder	Programme zur „Verunreinigung“ von IM-Clients	Sie versenden eine hohe Anzahl von Nachrichten an Benutzer von IM-Clients Das hohe Nachrichtenaufkommen hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
  SMS-Flooder	Programme zur „Verunreinigung“ von SMS-Systemen	Sie versenden eine große Anzahl von SMS-Nachrichten an Mobiltelefone.

   

• Adware

  Unterkategorie: Adware

  Bedrohungsstufe: mittel

  Adware-Programme dienen dazu, dem Benutzer Werbung zu zeigen. Sie zeigen auf der Oberfläche anderer Programme Werbebanner an oder leiten Suchanfragen auf Webseiten mit Werbung um. Einige von ihnen sammeln auf Werbung bezogene Informationen über den Benutzer und leiten sie an ihren Urheber weiter, z.B. Informationen darüber, welche Webseiten der Benutzer besucht und welche Suchanfragen er vornimmt. Im Gegensatz zu trojanischer Spyware leiten Adware-Programme diese Informationen mit der Erlaubnis des Benutzers weiter.

• Dialer

  Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.

  Gefahrenstufe: mittel

  Die Mehrzahl dieser Programme sind nützliche Programme. Sie werden von vielen Anwendern eingesetzt. Dazu zählen IRC-Clients, Dialer, Download-Manager für Dateien, Aktivitätsmonitore für Computersysteme, Kennwort-Manager sowie Internetserver für die Dienste FTP, HTTP oder Telnet.

  Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.

  Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.

   

  Typ	Name	Beschreibung
  Client-IRC	Clients für Internet-Chats	Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
  Dialer	Dialer	Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
  Downloader	Download-Programme	Downloader können heimlich Dateien von Webseiten herunterladen.
  Monitor	Monitorprogramme	Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
  PSWTool	Programme zur Wiederherstellung von Kennwörtern	Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
  RemoteAdmin	Programme zur Remote-Administration	Sie sind bei Systemadministratoren weit verbreitet. Diese Programme bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern. Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
  Server-FTP	FTP-Server	Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
  Server-Proxy	Proxyserver	Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
  Server-Telnet	Telnet-Server	Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
  Server-Web	Webserver	Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
  RiskTool	Tools für die Arbeit auf einem lokalen Computer	Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit am eigenen Rechner. Die Werkzeuge ermöglichen es dem Benutzer, Dateien oder Fenster von aktiven Programmen auszublenden und aktive Prozesse zu beenden.
  NetTool	Netzwerk-Tools	Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit mit anderen Computern im Netzwerk. Diese Tools ermöglichen es, sie neu zu starten, offene Ports zu erkennen und Programme zu starten, die auf den Computern installiert sind.
  Client-P2P	Clients für Peering-Netzwerke	Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
  Client-SMTP	SMTP-Clients	Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
  WebToolbar	Web-Symbolleisten	Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
  FraudTool	Pseudoprogramme	Sie geben sich als andere Programme aus. Es gibt zum Beispiel Pseudo-Anti-Virus-Programme, die Meldungen über die Erkennung von Malware anzeigen. In Wirklichkeit finden oder desinfizieren sie jedoch nichts.

   

• Erkennung von anderen Programmen, mit denen Kriminele den Computer oder die Benutzerdaten beschädigen können

  Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.

  Gefahrenstufe: mittel

  Die Mehrzahl dieser Programme sind nützliche Programme. Sie werden von vielen Anwendern eingesetzt. Dazu zählen IRC-Clients, Dialer, Download-Manager für Dateien, Aktivitätsmonitore für Computersysteme, Kennwort-Manager sowie Internetserver für die Dienste FTP, HTTP oder Telnet.

  Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.

  Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.

   

  Typ	Name	Beschreibung
  Client-IRC	Clients für Internet-Chats	Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
  Dialer	Dialer	Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
  Downloader	Download-Programme	Downloader können heimlich Dateien von Webseiten herunterladen.
  Monitor	Monitorprogramme	Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
  PSWTool	Programme zur Wiederherstellung von Kennwörtern	Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
  RemoteAdmin	Programme zur Remote-Administration	Sie sind bei Systemadministratoren weit verbreitet. Diese Programme bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern. Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
  Server-FTP	FTP-Server	Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
  Server-Proxy	Proxyserver	Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
  Server-Telnet	Telnet-Server	Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
  Server-Web	Webserver	Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
  RiskTool	Tools für die Arbeit auf einem lokalen Computer	Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit am eigenen Rechner. Die Werkzeuge ermöglichen es dem Benutzer, Dateien oder Fenster von aktiven Programmen auszublenden und aktive Prozesse zu beenden.
  NetTool	Netzwerk-Tools	Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit mit anderen Computern im Netzwerk. Diese Tools ermöglichen es, sie neu zu starten, offene Ports zu erkennen und Programme zu starten, die auf den Computern installiert sind.
  Client-P2P	Clients für Peering-Netzwerke	Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
  Client-SMTP	SMTP-Clients	Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
  WebToolbar	Web-Symbolleisten	Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
  FraudTool	Pseudoprogramme	Sie geben sich als andere Programme aus. Es gibt zum Beispiel Pseudo-Anti-Virus-Programme, die Meldungen über die Erkennung von Malware anzeigen. In Wirklichkeit finden oder desinfizieren sie jedoch nichts.

   

• Gepackte Objekte, mit deren Packverfahren bösartiger Code geschützt werden kann

  Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).

  Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.

  Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.

  Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.

  Kaspersky Endpoint Security erkennt folgende Programme:

  • Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
  • Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.
• Mehrfach gepackte Objekte

  Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).

  Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.

  Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.

  Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.

  Kaspersky Endpoint Security erkennt folgende Programme:

  • Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
  • Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.

Ausnahmen

Diese Tabelle enthält Informationen über die Untersuchungsausnahmen.

Objekte können wie folgt von der Untersuchung ausgeschlossen werden:

• Geben Sie einen Datei- oder Ordnerpfad an.
• Geben Sie den Hash eines Objekts an.
• Verwenden Sie Masken:
  • Zeichen *, das als Platzhalter für eine beliebige Zeichenkombination steht, die auch leer sein kann. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\*\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt, die sich in Ordnern auf Laufwerk C befinden, allerdings nicht in untergeordneten Ordnern.
  • Zwei aufeinanderfolgende Zeichen * ersetzen in einem Datei- oder Ordnernamen eine beliebige Zeichenkombination. Dabei kann der Name auch leer sein und die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden) enthalten. Beispiel: Die Maske C:\Folder\**\*.txt umfasst alle Pfade von Dateien mit der Erweiterung txt im Ordner Folder und in den Unterordnern. Die Maske muss mindestens eine Verschachtelungsebene umfassen. Die Maske C:\**\*.txt funktioniert nicht.
  • Zeichen ?, das als Platzhalter für ein beliebiges Einzelzeichen steht. Eine Ausnahme bilden die Zeichen \ und / (Trennzeichen für Datei- und Ordnernamen in Datei- und Ordnerpfaden). Beispiel: Die Maske C:\Folder\???.txt umfasst die Pfade aller Dateien, die im Ordner mit dem Namen Folder enthalten sind, die Erweiterung TXT haben und deren Name aus drei Zeichen besteht.
• Um den Namen des Objekttyps einzugeben, verwenden Sie die Klassifikation der Kaspersky-Enzyklopädie (z. B. Email-Worm, Rootkit oder RemoteAdmin). Möglich sind auch Masken mit dem Zeichen ? (Platzhalter für ein beliebiges Einzelzeichen) und dem Zeichen * (Platzhalter für eine beliebige Anzahl von Zeichen). Beispiel: Bei Angabe der Maske Client* schließt Kaspersky Endpoint Security die Objekte Client-IRC, Client-P2P und Client-SMTP von Untersuchungen aus.

Vertrauenswürdige Programme

Tabelle mit vertrauenswürdigen Programmen, deren Aktivität von Kaspersky Endpoint Security nicht untersucht wird.

Die Komponente „Programmkontrolle“ reguliert den Start aller Programme unabhängig davon, ob ein Programm in der Tabelle der vertrauenswürdigen Programme angegeben ist oder nicht.

Werte bei Vererbung zusammenfassen

(nur in der Konsole von Kaspersky Security Center verfügbar)

Dadurch wird die Liste der Untersuchungsausnahmen und vertrauenswürdigen Programme in den übergeordneten und untergeordneten Richtlinien von Kaspersky Security Center zusammengeführt. Um Listen zusammenzuführen, muss die untergeordnete Richtlinie so konfiguriert werden, dass sie die Einstellungen der übergeordneten Richtlinie von Kaspersky Security Center erbt.

Wenn das Kontrollkästchen aktiviert ist, werden Listenelemente aus der übergeordneten Richtlinie von Kaspersky Security Center in untergeordneten Richtlinien angezeigt. Auf diese Weise können Sie z. B. eine konsolidierte Liste der vertrauenswürdigen Programme für die gesamte Organisation erstellen.

Vererbte Listenelemente in einer untergeordneten Richtlinie können nicht gelöscht oder bearbeitet werden. Elemente auf der Liste der Untersuchungsausnahmen und der Liste der vertrauenswürdigen Programme, die während der Vererbung zusammengeführt werden, können nur in der übergeordneten Richtlinie gelöscht und bearbeitet werden. Sie können Listenelemente in untergeordneten Richtlinien hinzufügen, bearbeiten oder löschen.

Wenn Elemente auf Listen der untergeordneten und übergeordneten Richtlinie übereinstimmen, werden diese Elemente als dasselbe Element der übergeordneten Richtlinie angezeigt.

Wenn das Kontrollkästchen deaktiviert ist, werden die Elemente der Listen mit vertrauenswürdigen Geräten bei der Vererbung der Einstellungen der Richtlinien für Kaspersky Security Center nicht zusammengefasst.

Verwendung lokaler Ausnahmen erlauben / Verwendung lokal vertrauenswürdiger Programme erlauben

(nur in der Konsole von Kaspersky Security Center verfügbar)

Lokale Ausnahmen und lokale vertrauenswürdige Programme (lokale vertrauenswürdige Zone) – benutzerdefinierte Liste von Objekten und Programmen in Kaspersky Endpoint Security für einen bestimmten Computer. Kaspersky Endpoint Security überwacht keine Objekte und Programme aus der lokalen vertrauenswürdigen Zone. Auf diese Weise können Benutzer zusätzlich zu der allgemeinen vertrauenswürdigen Zone in einer Richtlinie ihre eigenen lokalen Listen mit Ausnahmen und vertrauenswürdigen Programmen erstellen.

Wenn das Kontrollkästchen aktiviert ist, kann ein Benutzer eine lokale Liste von Untersuchungsausnahmen und eine lokale Liste von vertrauenswürdigen Programmen erstellen. Ein Administrator kann das Kaspersky Security Center verwenden, um Listenelemente in den Computereigenschaften anzuzeigen, hinzuzufügen, zu bearbeiten oder zu löschen.

Wenn das Kontrollkästchen deaktiviert ist, kann der Benutzer nur auf die allgemeine Liste der in der Richtlinie generierten Untersuchungsausnahmen und vertrauenswürdigen Programme zugreifen. Wenn eine lokale Liste erstellt wurde, schließt Kaspersky Endpoint Security nach Deaktivierung dieser Funktion die aufgelisteten vertrauenswürdigen Programme weiterhin von Untersuchungen aus.

Vertrauenswürdiger Zertifikatspeicher des Systems

Wenn einer der vertrauenswürdigen Zertifikatspeicher des Systems ausgewählt wird, schließt Kaspersky Endpoint Security die Programme, die mit einer vertrauenswürdigen digitalen Signatur signiert sind, von Untersuchungen aus. Kaspersky Endpoint Security weist solche Programme automatisch der Gruppe Vertrauenswürdig zu.

Wenn Nicht verwenden ausgewählt ist, untersucht Kaspersky Endpoint Security die Programme, unabhängig davon, ob sie eine digitale Signatur haben oder nicht. Welcher Sicherheitsgruppe Kaspersky Endpoint Security ein Programm zuweist, ist von der Gefahrenstufe abhängig, die dieses Programm für den Computer darstellen kann.