Typen der zu erkennenden Objekte
|
Kaspersky Endpoint Security sucht unabhängig von den aktuellen Einstellungen stets nach Viren, Würmern und Trojanern und blockiert diese. Diese Programme können dem Computer erheblichen Schaden zufügen.
- Viren, Würmer
Unterkategorie: Viren und Würmer (Viruses_and_Worms)
Bedrohungsstufe: hoch
Klassische Viren und Würmer führen auf einem Computer Aktionen aus, die nicht vom Benutzer erlaubt wurden. Sie können sich selbst kopieren, wobei die Kopien ebenfalls zur Reproduktion fähig sind.
Klassischer Virus
Nachdem ein klassischer Virus in ein System eingedrungen ist, infiziert er eine Datei, aktiviert sich darin, führt seine schädlichen Aktionen aus und fügt anderen Dateien Kopien von sich hinzu.
Ein klassischer Virus vermehrt sich nur auf lokalen Computerressourcen und kann nicht selbständig in andere Rechner eindringen. Er kann nur auf andere Computer gelangen, wenn er seine Kopie einer Datei hinzufügt, die in einem gemeinsamen Ordner oder auf einer eingelegten CD gespeichert wird, oder wenn der Benutzer eine E-Mail-Nachricht verschickt, an welche die infizierte Datei angehängt ist.
Der Code eines klassischen Virus kann in unterschiedliche Computerbereiche, in das Betriebssystem oder in Programme eindringen. Abhängig vom Milieu werden Dateiviren, Bootviren, Skriptviren und Makroviren unterschieden.
Viren verwenden unterschiedliche Methoden, um Dateien zu infizieren. Überschreibende Viren (Overwriting) schreiben ihren Code anstelle des Codes einer infizierten Datei und zerstören deren Inhalt. Die infizierte Datei funktioniert nicht mehr und kann nicht repariert werden. Parasitäre Viren (Parasitic) verändern Dateien, wobei diese vollständig oder teilweise funktionsfähig bleiben. Companion-Viren (Companion) verändern Dateien nicht, sondern legen Zwillingsdateien an. Beim Öffnen einer infizierten Datei wird ihr Zwilling gestartet, der ein Virus ist. Außerdem gibt es noch folgende Virentypen: Linkviren (Link), Viren, die Objektmodule (OBJ), Compiler-Bibliotheken (LIB) oder den Quelltext von Programmen infizieren, u.a.
Wurm
Genau wie bei einem klassischen Virus aktiviert sich der Code eines Wurms nach dem Eindringen in ein System selbst und führt seine schädlichen Aktionen aus. Die Bezeichnung Wurm geht darauf zurück, dass er wie ein Wurm von Computer zu Computer „kriechen“ und seine Kopien ohne Erlaubnis des Benutzers über verschiedene Datenkanäle verbreiten kann.
Würmer werden grundsätzlich nach der Art ihrer Verbreitung unterschieden. Die folgende Tabelle klassifiziert die Wurmtypen nach der Verbreitungsmethode.
Verbreitungsmethoden von Würmern
Typ
|
Name
|
Beschreibung
|
Email-Worm
|
Email-Worm
|
Sie verbreiten sich über E-Mails.
Eine infizierte E-Mail-Nachricht enthält eine angehängte Datei mit einer Wurmkopie oder einem Link zu einer solchen Datei, die sich auf einer gehackten oder speziell erstellten Website befindet. Wenn Sie die angehängte Datei öffnen, wird der Wurm aktiviert. Wenn Sie auf den Link klicken, die Datei herunterladen und dann öffnen, beginnt der Wurm auch mit seinen bösartigen Aktionen. Danach verbreitet er seine Kopien. Dazu sucht er andere E-Mail-Adressen und schickt infizierte Nachrichten an diese.
|
IM-Worm
|
IM-Client-Würmer
|
Sie verbreiten sich über IM-Clients.
Ein IM-Wurm verschickt in der Regel Nachrichten mit einem Link, der zu einer Website mit seiner Kopie führt, an die Adressen der Kontaktliste. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
|
IRC-Worm
|
Würmer für Internet-Chats
|
Sie verbreiten sich über Internet Relay Chats. Dies sind Chat-Systeme, mit denen über das Internet in Echtzeit Gespräche mit mehreren Teilnehmern möglich sind.
Ein solcher Wurm veröffentlicht im Internet-Chat eine Datei mit seiner Kopie oder einem Link zu einer Datei. Wenn der Benutzer die Datei herunterlädt und öffnet, wird der Wurm aktiviert.
|
Net-Worm
|
Netzwürmer (Würmer für Computernetzwerke)
|
Sie verbreiten sich über Computernetzwerke.
Im Unterschied zu anderen Wurmtypen verbreitet sich ein Netzwurm ohne Zutun des Benutzers. Er sucht im lokalen Netzwerk nach Computern, auf denen Programme laufen, die Schwachstellen aufweisen. Zu diesem Zweck schickt er ein spezielles Netzwerkpaket (Exploit), das den Wurmcode oder einen Teil davon enthält. Befindet sich ein „verwundbarer“ Computer im Netzwerk, nimmt er das Netzwerkpaket an. Nachdem der Wurm vollständig in den Computer eingedrungen ist, aktiviert er sich.
|
P2P-Worm
|
Würmer für Dateitausch-Netzwerke
|
Sie verbreiten sich über Peer-to-Peer-Netze.
Um in ein P2P-Netz einzudringen, kopiert sich der Wurm in einen Ordner, der zum Dateiaustausch verwendet wird und sich gewöhnlich auf einem PC befindet. Das P2P-Netz zeigt Informationen über diese Datei an. Ein Benutzer kann die infizierte Datei wie andere angebotene Dateien im Netzwerk „finden“, herunterladen und öffnen.
Komplexere Würmer imitieren das Netzwerkprotokoll eines konkreten P2P-Netzes: Sie antworten positiv auf Suchanfragen und bieten ihre Kopien zum Download an.
|
Wurm
|
Sonstige Würmer
|
Zu den sonstigen Netzwürmern zählen:
- Würmer, die ihre Kopien in Netzwerkressourcen verbreiten. Unter Verwendung von Betriebssystemfunktionen durchsuchen sie verfügbare Netzwerkordner, bauen Verbindungen zu Computern im globalen Netzwerk auf und versuchen, umfassenden Zugriff auf ihre Laufwerke zu erhalten. Im Unterschied zu den oben beschriebenen Wurmarten verbreiten sich die sonstigen Würmer nicht selbständig weiter, sondern nur, wenn der Benutzer eine Datei mit einer Wurmkopie öffnet.
- Würmer, die nicht zu den in dieser Tabelle beschriebenen Verbreitungsmethoden gehören (z. B. Würmer, die sich über Mobiltelefone weiterverbreiten).
|
- Trojaner (einschließlich Ransomware)
Subkategorie: trojanische Programme (Trojan_programs)
Bedrohungsstufe: hoch
Im Gegensatz zu Würmern und Viren erstellen trojanische Programme keine Kopien von sich. Sie dringen z. B. über E-Mails oder über den Browser in den Computer ein, wenn der Benutzer eine infizierte Webseite besucht. Trojanische Programme werden unter Beteiligung des Benutzers gestartet. Unmittelbar nach ihrem Start beginnen sie mit ihren schädlichen Aktionen.
Jeder Trojaner-Typ zeigt ein individuelles Verhalten auf dem infizierten Computer. Die Hauptfunktionen von trojanischen Programmen sind das Sperren, Verändern oder Vernichten von Informationen sowie das Hervorrufen von Funktionsstörungen in Computern oder Computernetzwerken. Außerdem können trojanische Programme Dateien empfangen oder senden, Dateien ausführen, auf dem Bildschirm Meldungen anzeigen, auf Webseiten zugreifen, Programme herunterladen und installieren, und einen Computer neu starten.
Häufig verwenden Angreifer eine „Kombination“ aus unterschiedlichen Trojanerprogrammen.
Die folgende Tabelle unterscheidet die Typen der trojanischen Programme nach ihrem Verhalten.
Typen der trojanischen Programme nach ihrem Verhalten auf einem infizierten Computer
Typ
|
Name
|
Beschreibung
|
Trojan-ArcBomb
|
Trojanische Programme – „Archivbomben”
|
Archive. Beim Extrahieren vergrößert sich der Inhalt so stark, dass es auf dem Computer zu Funktionsstörungen kommt.
Wenn der Benutzer versucht, ein solches Archiv zu entpacken, kann es sein, dass die Leistung des Computers sinkt, der Computer hängen bleibt oder die Festplatte mit „leeren“ Daten überfüllt wird. Eine besondere Gefahr bilden „Archivbomben“ für Datei- und Mailserver. Wird auf dem Server ein System zur automatischen Verarbeitung eingehender Daten verwendet, kann eine „Archivbombe“ den Server zum Absturz bringen.
|
Backdoor
|
Trojanische Programme zur Remote-Administration
|
Dieser Typ gilt unter den trojanischen Programmen als der gefährlichste. Sie gleichen funktionsmäßig Programmen, die zur Remote-Administration auf einem Computer installiert werden.
Diese Programme installieren sich auf dem Computer, ohne dass der Benutzer etwas davon bemerkt, und ermöglichen dem Angreifer die Fernsteuerung des Computers.
|
Trojan
|
Trojanische Programme
|
Dieser Typ umfasst folgende schädlichen Programme:
- Klassische trojanische Programme. Diese Programme führen nur die Grundfunktionen trojanischer Programme aus: Sperrung, Veränderung oder Zerstörung von Informationen, Störung der Arbeit von Computern oder Computernetzwerken. Sie besitzen keine Zusatzfunktionen, über die andere Trojaner-Typen verfügen, die in dieser Tabelle beschrieben sind.
- “Mehrzweck“-Trojaner. Sie besitzen Zusatzfunktionen, die gleichzeitig für mehrere Typen trojanischer Programme charakteristisch sind.
|
Trojan-Ransom
|
Trojanische Erpressungsprogramme
|
Sie nehmen die Daten auf einem PC als „Geisel“, indem sie diese verändern oder sperren, oder stören die Arbeit des Computers, damit der Benutzer nicht mehr auf seine Daten zugreifen kann. Der Angreifer fordert vom Benutzer ein Lösegeld und verspricht, dafür ein Programm zu liefern, das die Funktionsfähigkeit des Computers und der Daten wiederherstellt.
|
Trojan-Clicker
|
Trojanische Clicker-Programme
|
Diese Programme greifen von einem PC aus auf Webseiten zu: Sie senden entweder selbst Befehle an den Browser oder ersetzen Webadressen, die in Systemdateien gespeichert sind.
Mithilfe dieser Programme organisieren Angreifer Netzwerkangriffe oder steigern die Besucherzahlen von Seiten, um die Anzeigehäufigkeit von Werbebannern zu erhöhen.
|
Trojan-Downloader
|
Trojanische Download-Programme
|
Sie greifen auf die Webseite des Eindringlings zu, laden von dort andere bösartige Programme herunter und installieren sie auf dem Computer des Benutzers. Sie können den Dateinamen des böswilligen Programms enthalten, die heruntergeladen oder von der Webseite, auf die zugegriffen wird, empfangen werden soll.
|
Trojan-Dropper
|
Trojanische Installationsprogramme
|
Nachdem sie auf der Computerfestplatte gespeichert wurden, installieren sie andere trojanische Programme, die sich in ihrem Körper befinden.
Angreifer können trojanische Installationsprogramme zu folgenden Zwecken verwenden:
- um ohne Wissen des Benutzers ein schädliches Programm zu installieren: Trojanische Installationsprogramme zeigen keinerlei Meldungen an oder blenden falsche Meldungen über einen Fehler im Archiv oder eine inkorrekte Version des Betriebssystems ein.
- um andere bekannte Schadsoftware vor der Entdeckung zu schützen: Nicht alle Antiviren-Programme können Schadsoftware in trojanischen Installationsprogrammen erkennen.
|
Trojan-Notifier
|
Trojanische Benachrichtigungsprogramme
|
Sie informieren einen Angreifer darüber, dass der infizierte Computer „online“ ist und übermitteln folgende Informationen über den Computer: IP-Adresse, Nummer des offenen Ports oder E-Mail-Adresse. Sie nehmen per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise Kontakt mit dem Angreifer auf.
Trojanische Benachrichtigungsprogramme werden häufig in Kombination mit unterschiedlichen Trojanerprogrammen eingesetzt. Sie teilen dem Angreifer mit, dass andere trojanische Programme erfolgreich auf einem PC installiert wurden.
|
Trojan-Proxy
|
Trojanische Proxy-Programme
|
Sie ermöglichen es einem Angreifer, über einen PC anonym auf Webseiten zuzugreifen. Sie dienen häufig zum Spam-Versand.
|
Trojan-PSW
|
Trojanische Programme zum Kennwortdiebstahl
|
Trojanische Programme, die Kennwörter stehlen (Password Stealing Ware). Sie berauben Benutzerkonten und stehlen beispielsweise Registrierungsdaten für Softwareprodukte. Sie durchsuchen Systemdateien und die Registrierung nach vertraulichen Daten und schicken diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer.
Einige dieser trojanischen Programme werden speziellen Typen zugeordnet, die in dieser Tabelle beschrieben sind. Dazu zählen Trojaner, die Bankkonten berauben (Trojan‑Banker), Daten von IM-Clients stehlen (Trojan‑IM) und Daten aus Netzwerkspielen entwenden (Trojan‑GameThief).
|
Trojan-Spy
|
Trojanische Spyware-Programme
|
Sie spionieren den Benutzer aus und sammeln Informationen über die Aktionen, die der Benutzer bei der Arbeit am Computer ausführt. Sie können die Daten abfangen, die der Benutzer über die Tastatur eingibt, Screenshots machen oder Listen aktiver Programme sammeln. Die gesammelten Informationen werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
|
Trojan-DDoS
|
Trojanische Programme für Netzwerkangriffe
|
Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung). Häufig werden mehrere Computer von solchen Programmen infiziert, um sie dann gleichzeitig für einen gezielten Angriff auf einen Server zu verwenden.
DoS-Programme realisieren einen Angriff von einem Computer aus, wobei der Benutzer davon weiß. DDoS-Programme (Distributed DoS) verwenden eine größere Anzahl von Computern ohne Wissen der Benutzer für verteilte Angriffe.
|
Trojan-IM
|
Trojanische Programme zum Diebstahl der Daten von IM-Client-Benutzern
|
Sie stehlen Nummern und Kennwörter der Benutzer von IM-Clients. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
|
Rootkit
|
Rootkits
|
Sie maskieren andere bösartige Programme und deren Aktivität und verlängern so die Persistenz der Programme im Betriebssystem. Sie können auch Dateien, Prozesse im Speicher eines infizierten Computers oder Registrierungsschlüssel, die bösartige Programme ausführen, verbergen. Die Rootkits können den Datenaustausch zwischen Programmen auf dem Computer des Benutzers und anderen Computern im Netzwerk maskieren.
|
Trojan-SMS
|
Trojanische Programme für SMS-Nachrichten
|
Sie infizieren Handys und versenden SMS-Nachrichten an kostenpflichtige Nummern.
|
Trojan-GameThief
|
Trojanische Programme zum Diebstahl von Benutzerdaten aus Netzwerkspielen
|
Sie stehlen Kontodaten von Benutzern, die an Netzwerkspielen für Computer teilnehmen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
|
Trojan-Banker
|
Trojanische Programme zum Diebstahl von Daten über Bankkonten
|
Sie stehlen Daten über Bankkonten oder über Konten bei elektronischen Zahlungssystemen. Die Daten werden per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer weitergeleitet.
|
Trojan-Mailfinder
|
Trojanische Programme, die E-Mail-Adressen sammeln
|
Sie sammeln auf einem Computer E-Mail-Adressen und übermitteln diese per E-Mail, via FTP, durch Zugriff auf eine spezielle Webseite oder auf andere Weise an den Angreifer. An die gesammelten Adressen kann der Angreifer Spam verschicken.
|
- Schädliche Tools
Subkategorie: schädliche Tools (Malicious_tools)
Gefahrenstufe: mittel
Im Gegensatz zu anderen Arten von Malware führen bösartige Tools ihre Aktionen nicht sofort nach dem Start aus. Sie können auf dem Computer des Benutzers sicher gespeichert und gestartet werden. Angreifer verwenden die Funktionen dieser Programme, um Viren, Würmer und Trojaner zu erstellen, Netzwerkangriffe gegen Remote-Server zu organisieren, Computer zu „hacken“ und andere schädliche Aktionen durchzuführen.
Die folgende Tabelle kategorisiert die unterschiedlichen Funktionen von schädlichen Tools.
Funktionen von schädlichen Tools
Typ
|
Name
|
Beschreibung
|
Constructor
|
Konstrukteure
|
Mit ihrer Hilfe können neue Viren, Würmer und trojanische Programme erstellt werden. Einige Konstrukteure verfügen über eine standardmäßige Fensteroberfläche, in der über ein Menü der Typ einer zu erstellenden Schadsoftware, die Methode zur Debugger-Abwehr und sonstige Eigenschaften gewählt werden.
|
Dos
|
Netzwerkangriffe
|
Von einem PC wird eine hohe Anzahl von Anfragen an einen Remote-Server gesendet. Die Serverressourcen reichen nicht aus, um die Anfragen zu verarbeiten, und der Server funktioniert nicht mehr (Denial-of-Service (DoS), zu Deutsch etwa: Dienstverweigerung).
|
Exploit
|
Exploits
|
Exploits bestehen aus einer Datenkombination oder aus Programmcode, der die Schwachstellen eines Programms, in dem er verarbeitet wird, ausnutzt, um auf dem Computer eine schädliche Aktion auszuführen. Ein Exploit kann beispielsweise Dateien schreiben oder lesen oder auf „infizierte“ Webseiten zugreifen.
Es gibt verschiedene Arten von Exploits, die Schwachstellen unterschiedlicher Programme oder Netzwerkdienste ausnutzen. Exploits werden in Form eines Netzwerkpakets über ein Netzwerk an mehrere Computer übertragen, um Computer mit anfälligen Netzwerkdiensten zu finden. Ein Exploit in einer DOC-Datei nutzt die Schwachstellen eines Textverarbeitungsprogramms. Er kann damit beginnen, die vom Angreifer programmierten Funktionen auszuführen, sobald der Benutzer eine infizierte Datei öffnet. Ein Exploit, der in eine E-Mail-Nachricht eingebettet ist, sucht nach Schwachstellen in einem Mail-Client. Er kann mit der Ausführung einer schädlichen Aktion beginnen, sobald der Benutzer die infizierte E-Mail in diesem Mail-Client öffnet.
Mithilfe von Exploits werden Netzwürmer (Net-Worm) verbreitet. Nuker-Exploits(Nuker) bestehen aus Netzwerkpaketen, die einen Computer zum Absturz bringen.
|
FileCryptor
|
Verschlüsselungsprogramme
|
Chiffreure verschlüsseln schädliche Programme, um sie vor Antiviren-Programmen zu verstecken.
|
Flooder
|
Programme zur „Verunreinigung“ von Netzwerken
|
Sie versenden eine hohe Anzahl von Nachrichten über Netzwerkkanäle. Zu diesem Typ zählen beispielsweise Programme, die der Verunreinigung von Internet Relay Chats dienen.
Programme, die der Verunreinigung von Kanälen für E-Mail, IM-Clients und Mobilfunksysteme dienen, zählen nicht zu diesem Typ. Diese Programme werden separaten Typen zugeordnet, die ebenfalls in dieser Tabelle beschrieben sind (Email-Flooder, IM-Flooder und SMS-Flooder).
|
HackTool
|
Hacker-Tools
|
Sie können die Kontrolle über den Computer, auf dem sie installiert sind, übernehmen oder einen anderen Computer angreifen (z. B. ohne Erlaubnis des Benutzers andere Systembenutzer hinzufügen und Systemberichte löschen, um ihre Spuren im System zu verwischen). Zu diesem Typ gehören bestimmte Sniffer, die über schädliche Funktionen wie z. B. das Abfangen von Kennwörtern verfügen. Sniffer (Sniffers) sind Programme, die den Netzwerkverkehr abhören können.
|
Hoax
|
Böse Scherze
|
Diese Programme erschrecken einen Benutzer mit virenähnlichen Meldungen: Sie zeigen fiktive Meldungen über Virenfunde in sauberen Dateien oder über das Formatieren der Festplatte an.
|
Spoofer
|
Imitator-Tools
|
Sie senden E-Mails und Netzwerkanfragen mit gefälschten Absenderadressen. Imitatoren werden beispielsweise von Angreifern verwendet, um einen falschen Absender vorzutäuschen.
|
VirTool
|
Tools zur Modifikation schädlicher Programme
|
Sie erlauben es, andere schädliche Programme so zu modifizieren, dass sie sich vor Antiviren-Programmen verstecken können.
|
Email-Flooder
|
Programme zur „Verunreinigung“ von E-Mail-Postfächern
|
Sie versenden eine hohe Anzahl von Nachrichten an E-Mail-Adressen (“verstopfen diese mit Müll“). Die große Menge von E-Mails hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
|
IM-Flooder
|
Programme zur „Verunreinigung“ von IM-Clients
|
Sie versenden eine hohe Anzahl von Nachrichten an Benutzer von IM-Clients Das hohe Nachrichtenaufkommen hindert den Benutzer daran, erwünschte eingehende Post zu erkennen.
|
SMS-Flooder
|
Programme zur „Verunreinigung“ von SMS-Systemen
|
Sie versenden eine große Anzahl von SMS-Nachrichten an Mobiltelefone.
|
- Adware
Unterkategorie: Adware
Bedrohungsstufe: mittel
Adware-Programme dienen dazu, dem Benutzer Werbung zu zeigen. Sie zeigen auf der Oberfläche anderer Programme Werbebanner an oder leiten Suchanfragen auf Webseiten mit Werbung um. Einige von ihnen sammeln auf Werbung bezogene Informationen über den Benutzer und leiten sie an ihren Urheber weiter, z.B. Informationen darüber, welche Webseiten der Benutzer besucht und welche Suchanfragen er vornimmt. Im Gegensatz zu trojanischer Spyware leiten Adware-Programme diese Informationen mit der Erlaubnis des Benutzers weiter.
- Dialer
Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.
Gefahrenstufe: mittel
Die Mehrzahl dieser Programme sind nützliche Programme. Sie werden von vielen Anwendern eingesetzt. Dazu zählen IRC-Clients, Dialer, Download-Manager für Dateien, Aktivitätsmonitore für Computersysteme, Kennwort-Manager sowie Internetserver für die Dienste FTP, HTTP oder Telnet.
Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.
Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.
Typ
|
Name
|
Beschreibung
|
Client-IRC
|
Clients für Internet-Chats
|
Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
|
Dialer
|
Dialer
|
Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
|
Downloader
|
Download-Programme
|
Downloader können heimlich Dateien von Webseiten herunterladen.
|
Monitor
|
Monitorprogramme
|
Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
|
PSWTool
|
Programme zur Wiederherstellung von Kennwörtern
|
Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
|
RemoteAdmin
|
Programme zur Remote-Administration
|
Sie sind bei Systemadministratoren weit verbreitet. Diese Programme bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern.
Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
|
Server-FTP
|
FTP-Server
|
Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
|
Server-Proxy
|
Proxyserver
|
Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
|
Server-Telnet
|
Telnet-Server
|
Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
|
Server-Web
|
Webserver
|
Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
|
RiskTool
|
Tools für die Arbeit auf einem lokalen Computer
|
Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit am eigenen Rechner. Die Werkzeuge ermöglichen es dem Benutzer, Dateien oder Fenster von aktiven Programmen auszublenden und aktive Prozesse zu beenden.
|
NetTool
|
Netzwerk-Tools
|
Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit mit anderen Computern im Netzwerk. Diese Tools ermöglichen es, sie neu zu starten, offene Ports zu erkennen und Programme zu starten, die auf den Computern installiert sind.
|
Client-P2P
|
Clients für Peering-Netzwerke
|
Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
|
Client-SMTP
|
SMTP-Clients
|
Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
|
WebToolbar
|
Web-Symbolleisten
|
Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
|
FraudTool
|
Pseudoprogramme
|
Sie geben sich als andere Programme aus. Es gibt zum Beispiel Pseudo-Anti-Virus-Programme, die Meldungen über die Erkennung von Malware anzeigen. In Wirklichkeit finden oder desinfizieren sie jedoch nichts.
|
- Erkennung von anderen Programmen, mit denen Kriminele den Computer oder die Benutzerdaten beschädigen können
Unterkategorie: legale Programme, die von Angreifern für die Schädigung des Computers oder der Daten des Benutzers verwendet werden können.
Gefahrenstufe: mittel
Die Mehrzahl dieser Programme sind nützliche Programme. Sie werden von vielen Anwendern eingesetzt. Dazu zählen IRC-Clients, Dialer, Download-Manager für Dateien, Aktivitätsmonitore für Computersysteme, Kennwort-Manager sowie Internetserver für die Dienste FTP, HTTP oder Telnet.
Wenn allerdings ein Angreifer Zugriff auf diese Programme erhält oder sie auf einem PC installiert, können ihre Funktionen dazu dienen, die Sicherheit zu verletzen.
Solche Programme haben unterschiedliche Funktionen, deren Typen in der nachstehenden Tabelle beschrieben werden.
Typ
|
Name
|
Beschreibung
|
Client-IRC
|
Clients für Internet-Chats
|
Diese Programme werden von Benutzern installiert, um in Internet Relay Chats zu kommunizieren. Angreifer verwenden sie zur Verbreitung von schädlichen Programmen.
|
Dialer
|
Dialer
|
Dialer können heimlich Telefonverbindungen über ein Modem herstellen.
|
Downloader
|
Download-Programme
|
Downloader können heimlich Dateien von Webseiten herunterladen.
|
Monitor
|
Monitorprogramme
|
Sie können die Aktivitäten auf einem Computer, auf dem sie installiert sind, beobachten (sie überwachen, welche Programme laufen und wie sie Daten mit Programmen auf anderen Computern austauschen).
|
PSWTool
|
Programme zur Wiederherstellung von Kennwörtern
|
Sie erlauben es, vergessene Kennwörter zu lesen und wiederherzustellen. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert.
|
RemoteAdmin
|
Programme zur Remote-Administration
|
Sie sind bei Systemadministratoren weit verbreitet. Diese Programme bieten Zugriff auf die Oberfläche eines Remote-Computers, der auf diese Weise überwacht und gesteuert werden kann. Zu diesem Zweck werden sie heimlich von Angreifern auf PCs installiert, um Remote-Computer zu beobachten und zu steuern.
Legale Programme zur Remote-Administration unterscheiden sich von trojanischen Fernsteuerungsprogrammen des Typs Backdoor. Trojanische Programme besitzen Funktionen, die ihnen erlauben, selbständig in ein System einzudringen und sich zu installieren. Legale Programme verfügen nicht über diese Funktionen.
|
Server-FTP
|
FTP-Server
|
Sie erfüllen die Funktionen eines FTP-Servers. Angreifer installieren sie auf einem PC, um über das FTP-Protokoll Remote-Zugriff zu erhalten.
|
Server-Proxy
|
Proxyserver
|
Sie erfüllen die Funktionen eines Proxyservers. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
|
Server-Telnet
|
Telnet-Server
|
Erfüllt die Funktionen eines Telnet-Servers. Angreifer installieren sie auf einem PC, um Remote-Zugriff über das Telnet-Protokoll zu erhalten.
|
Server-Web
|
Webserver
|
Sie erfüllen die Funktionen eines Webservers. Angreifer installieren sie auf einem PC, um über das HTTP-Protokoll Remote-Zugriff zu erhalten.
|
RiskTool
|
Tools für die Arbeit auf einem lokalen Computer
|
Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit am eigenen Rechner. Die Werkzeuge ermöglichen es dem Benutzer, Dateien oder Fenster von aktiven Programmen auszublenden und aktive Prozesse zu beenden.
|
NetTool
|
Netzwerk-Tools
|
Sie bieten dem Benutzer zusätzliche Optionen bei der Arbeit mit anderen Computern im Netzwerk. Diese Tools ermöglichen es, sie neu zu starten, offene Ports zu erkennen und Programme zu starten, die auf den Computern installiert sind.
|
Client-P2P
|
Clients für Peering-Netzwerke
|
Sie erlauben die Arbeit in Peering-Netzwerken (Peer-to-Peer). Angreifer können sie zur Verbreitung schädlicher Programme verwenden.
|
Client-SMTP
|
SMTP-Clients
|
Sie können heimlich E-Mail-Nachrichten senden. Angreifer installieren sie auf einem PC, um von ihm aus Spam zu verschicken.
|
WebToolbar
|
Web-Symbolleisten
|
Sie fügen den Oberflächen anderer Programme Symbolleisten für Suchmaschinen hinzu.
|
FraudTool
|
Pseudoprogramme
|
Sie geben sich als andere Programme aus. Es gibt zum Beispiel Pseudo-Anti-Virus-Programme, die Meldungen über die Erkennung von Malware anzeigen. In Wirklichkeit finden oder desinfizieren sie jedoch nichts.
|
- Gepackte Objekte, mit deren Packverfahren bösartiger Code geschützt werden kann
Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).
Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.
Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.
Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.
Kaspersky Endpoint Security erkennt folgende Programme:
- Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
- Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.
- Mehrfach gepackte Objekte
Kaspersky Endpoint Security untersucht gepackte Objekte und das SFX-Modul von selbstentpackenden SFX-Archiven (self-extracting archive).
Angreifer packen gefährliche Programme mit speziellen Packern oder sie packen Objekte mehrfach, um sie vor Anti-Virus zu verstecken.
Die Virenanalysten von Kaspersky haben analysiert, welche Packer am häufigsten von Angreifern eingesetzt werden.
Erkennt Kaspersky Endpoint Security in einem Objekt einen solchen Packer, enthält dieser aller Wahrscheinlichkeit nach ein Schadprogramm oder ein Programm, das von einem Angreifer zur Schädigung des Computers oder der Daten des Benutzers verwendet werden kann.
Kaspersky Endpoint Security erkennt folgende Programme:
- Gepackte Dateien, die Schaden verursachen können – Solche Dateien dienen zum Packen von Schadprogrammen wie Viren, Würmern und Trojanern.
- Mehrfach gepackte Dateien (mittlerer Bedrohungsgrad) – Dies sind Objekte, die dreimal mit einem oder mehreren Packprogrammen gepackt wurden.
|