排除
信任區域是在其有效時,管理員建立的 Kaspersky Endpoint Security 不進行監控的物件和應用程式的清單。
考慮到所處理物件的特點和安裝在電腦上的應用程式,管理員可以自主建立信任區域。當 Kaspersky Endpoint Security 封鎖存取特定物件或應用程式時,如果您確定此物件或應用程式是無害的,則有必要將其包含在信任區域中。管理員還可以允許使用者為特定電腦建立自己的本機受信任區域。這樣,除了政策中的一般受信任區域之外,使用者還可以建立自己的”排除項目”和”受信任應用程式”的本機清單。
從 Kaspersky Endpoint Security 12.5 for Windows 開始,您可以 將 EDR 遙測資料新增至受信任區域。這可讓您最佳化應用程式傳送到 Kaspersky Anti Targeted Attack Platform (EDR) 解決方案的遙測伺服器的資料。
掃描排除項目
“掃描排除項目”是一組條件,必須滿足這些條件,Kaspersky Endpoint Security 才不會掃描特定物件是否存在病毒和其他威脅。
掃描排除項目可確保使用者安全地使用入侵者用於損害電腦或使用者資料的合法軟體。儘管這類應用程式並不具備任何惡意功能,它們可能被入侵者利用。有關可被犯罪分子用來破壞電腦或使用者個人資料的合法軟體的詳細資訊,請造訪 Kaspersky IT 百科全書網站。
這類應用程式可以被 Kaspersky Endpoint Security 封鎖。若要防止它們被封鎖,您可以為正在使用的應用程式排除掃描排除項目。為此,請將 Kaspersky IT 百科全書中列出的名稱或名稱遮罩新增到受信任區域。例如,您經常使用 Radmin 應用程式來遠端管理電腦。Kaspersky Endpoint Security 會將這些活動看做潛在危險並進行封鎖。若要防止應用程式被封鎖,請使用 Kaspersky IT 百科全書中列出的名稱或名稱遮罩建立掃描排除項目。
如果您電腦上安裝的某個應用程式收集資訊並將其傳送以供處理,則 Kaspersky Endpoint Security 可能會將其歸類為惡意軟體。若要避免此資訊,您可以按照文件所述透過配置 Kaspersky Endpoint Security 從掃描中排除此應用程式。
掃描排除項目可用於下列特定應用程式元件和系統管理員配置的工作:
受信任應用程式清單
受信任應用程式清單包含應用程式的檔案和網路活動(包括可疑活動)以及對系統登錄檔的存取不受 Kaspersky Endpoint Security 的監控。預設情況下,Kaspersky Endpoint Security 將監控任何應用程式處理程序開啟、執行或儲存的物件,並控制所有應用程式的活動及其產生的網路流量。應用程式被新增到受信任應用程式清單後,Kaspersky Endpoint Security 將停止監控該應用程式的活動。
掃描排除項目和受信任的應用程式之間的區別在於,對於排除項目,Kaspersky Endpoint Security 不掃描檔案,而對於受信任的應用程式,它不控制啟動的處理程序。如果受信任的應用程式在未包含在掃描排除項目中的資料夾中建立惡意檔案,Kaspersky Endpoint Security 將偵測該檔案並消除威脅。如果資料夾被新增到排除項目,Kaspersky Endpoint Security 將略過該檔案。
例如,如果您認為由標準 Microsoft Windows 記事本應用程式使用的物件是安全的,也即您信任此應用程式,則您可將 Microsoft Windows 記事本新增到受信任應用程式清單中,這樣該應用程式使用的物件就不會被監控。這會提高電腦效能,在使用伺服器應用程式時尤為重要。
此外,Kaspersky Endpoint Security 分類為危險的特定操作,在很多應用程式的功能環境中可能是安全的。例如,攔截鍵盤輸入的內容,是自動鍵盤設定切換器中的一種例行程式(例如 Punto Switcher)。考慮到此類程式的特點並將其行為從監控中排除,我們建議您可將此類程式新增到信任應用程式清單中。
受信任的應用程式有助於避免 Kaspersky Endpoint Security 與其他應用程式之間的相容性問題(例如,Kaspersky Endpoint Security 和另一個病毒防護應用程式對第三方電腦的網路流量進行雙重掃描的問題)。
同時,信任應用程式的可執行檔和處理程序仍然會掃描病毒和其他惡意軟體。您可以透過掃描排除項目將應用程式從 Kaspersky Endpoint Security 掃描中完全排除。
排除項目設定
參數
|
描述
|
偵測到的物件類型
|
不管應用程式設定的配置如何,Kaspersky Endpoint Security 始終會偵測並封鎖病毒、蠕蟲和木馬。它們可能會給電腦帶來巨大的損害。
- 病毒和蠕蟲
子分類:病毒和蠕蟲 (Viruses_and_Worms)
威脅等級:高
典型的病毒和蠕蟲會執行未經使用者授權的操作。它們會建立可自我複製的副本。
典型病毒
典型病毒侵入電腦後,會感染檔案,啟動並執行惡意操作,以及將自身的副本新增到其他檔案中。
典型病毒僅在電腦本機資源上複製副本,不會自行侵入其他電腦。僅當此病毒將其副本新增至儲存在共用資料夾或放入電腦中的 CD 中的檔案時,或者在使用者傳送附有受感染檔案的電子郵件訊息時,此病毒才會傳染給其他電腦。
典型病毒代碼可以入侵電腦、作業系統和應用程式的各種區域。根據具體的環境,病毒可分為檔案病毒、引導磁區病毒、指令碼病毒和巨集病毒。
病毒可以使用多種不同的技術來感染檔案。覆蓋病毒會使用其代碼覆蓋受感染檔案的代碼,從而抹除檔案的內容。感染的檔案會停止發揮作用,且無法還原。寄生病毒會修改檔案,從而使自身發揮全部或部分功能。伴隨病毒不會修改檔案,而是建立副本。當您開啟受感染的檔案時會啟動此檔案的副本(實際上是病毒)。您也會遇到以下類型的病毒:連結病毒、OBJ 病毒、LIB 病毒、原始程式碼病毒和許多其他病毒。
蠕蟲
與典型病毒一樣,蠕蟲在侵入電腦後,其代碼將啟動並執行惡意操作。之所以稱為蠕蟲,是因為它們能夠從一台電腦“爬”到另一台電腦,並不需使用者權限即可透過許多資料通道來傳播副本。
可用於區分各種類型蠕蟲的主要特徵是蠕蟲的傳播方式。下表提供了各種類型蠕蟲的概覽,這些蠕蟲按其傳播方式進行了分類。
蠕蟲傳播方式
類型
|
名稱
|
描述
|
電子郵件蠕蟲
|
電子郵件蠕蟲
|
這些蠕蟲透過電子郵件傳播。
受感染的電子郵件訊息包含帶有蠕蟲副本的附件,或指向上傳到可能已被攻擊或者專門建立用於傳播蠕蟲的網站上某檔案的連結。開啟此附件時,蠕蟲將被啟動。在您點擊此連結,進行下載,然後開啟檔案時,蠕蟲還會開始執行其惡意操作。之後,蠕蟲會繼續傳播其副本,搜尋其他電子郵件信箱,並向它們傳送受感染的郵件。
|
IM 蠕蟲
|
即時通訊用戶端蠕蟲
|
它們透過 IM 傳播。
通常,此類蠕蟲會利用使用者的連絡人清單傳送訊息,其中包含指向某網站上帶有蠕蟲副本的檔案的連結。使用者下載並開啟檔案時,蠕蟲將被啟動。
|
IRC 蠕蟲
|
網際網路聊天蠕蟲
|
這些蠕蟲會透過網際網路中繼聊天(允許透過網際網路與其他人即時通信的服務系統)傳播。
這些蠕蟲會在網際網路聊天中發佈包含自身副本的檔案或指向此檔案的連結。使用者下載並開啟檔案時,蠕蟲將被啟動。
|
網路蠕蟲
|
網路蠕蟲
|
這些蠕蟲透過電腦網路傳播。
與其他類型的蠕蟲不同,典型的網路蠕蟲不需使用者參與即可傳播。它會掃描區域網路來尋找安裝了有弱點的程式的電腦。為此,它會傳送特殊格式的網路封包(弱點),其中包含蠕蟲代碼或部分蠕蟲代碼。如果網路上存在“有弱點”的電腦,此電腦會接收到此種網路封包。蠕蟲完全入侵電腦後,將被啟動。
|
P2P 蠕蟲
|
檔案共用網路蠕蟲
|
它們透過點對點檔案共用網路傳播。
為了滲透到 P2P 網路,蠕蟲會將自身複製到通常位於使用者電腦上的檔案共用資料夾中。P2P 網路會顯示有關此檔案的資訊,以便使用者可以在網路中像任何其他檔案一樣“找到”受感染的檔案,然後下載並開啟此檔案。
更加狡猾的蠕蟲會模仿特定 P2P 網路的網路協定:它們會返回對搜尋程式的積極回應,並提供自身的副本供下載。
|
蠕蟲
|
其他類型的蠕蟲
|
其他類型的蠕蟲包括:
- 透過網路資源傳播自身副本的蠕蟲。透過使用作業系統的功能,它們掃描可用的網路資料夾,連線到網際網路上的電腦,並嘗試獲取對磁碟機的完全存取。與之前描述的蠕蟲類型不同,其他類型的蠕蟲不會自行啟動,而是在使用者開啟包含蠕蟲副本的檔案時啟動。
- 不使用上表中所述的任何方式進行傳播的蠕蟲(例如,透過手機傳播的蠕蟲)。
|
- 木馬 (包含勒索軟體)
子類別:木馬程式
威脅等級:高
與蠕蟲和病毒不同,木馬不能進行自我複製。例如,使用者存取受感染的網頁時,它們會透過電子郵件或瀏覽器侵入電腦。木馬透過使用者參與而啟動。木馬啟動後即會開始執行惡意操作。
在受感染的電腦上,不同的木馬會表現出不同的行為。木馬的主要功能包括封鎖、修改或破壞資訊,以及停用電腦或網路。木馬還可以接收或傳送檔案,在螢幕上顯示訊息,請求網頁,下載和安裝程式,以及重新啟動電腦。
駭客通常使用各種不同木馬的“集合”。
下表中介紹了木馬行為的類型。
受感染電腦上木馬行為的類型
類型
|
名稱
|
描述
|
木馬炸彈
|
木馬 –“壓縮檔案炸彈”
|
解壓縮時,這些壓縮檔案的大小會急劇增加,從而影響電腦的操作。
使用者嘗試解壓縮這種壓縮檔案時,電腦可能會執行緩慢或停止執行;硬碟可能會充滿“空白”資料。“壓縮檔案炸彈”對於檔案和郵件伺服器尤為危險。如果伺服器使用自動系統處理接收資訊,則“壓縮檔案炸彈”可能會中斷伺服器執行。
|
後門
|
用於遠端管理的木馬
|
此種木馬被視為最危險的木馬類型。在功能方面,這些木馬與安裝在電腦上的遠端管理應用程式相似。
這些程式會在不被使用者發覺的情況下將自身安裝到電腦上,以便入侵者遠端管理電腦。
|
木馬
|
木馬
|
木馬包括以下惡意應用程式:
- 典型木馬。這些程式僅執行木馬的主要功能:封鎖、修改或破壞資訊,以及停用電腦或網路。它們沒有任何進階功能,與表中描述的其他類型的木馬不同。
- 萬能木馬。這些程式具有多種典型木馬類型的進階功能。
|
勒索木馬
|
勒索木馬
|
這些木馬將使用者資訊作為“人質”,修改或封鎖資訊,或者影響電腦的操作,以使使用者無法使用資訊。入侵者向使用者進行勒索,許諾傳送應用程式來還原電腦的效能以及電腦上儲存的資料。
|
木馬點擊器
|
木馬點擊器
|
這些木馬透過自行向瀏覽器傳送指令或變更在作業系統檔案中指定的網址的方式,從使用者的電腦存取網頁。
透過使用這些程式,入侵者進行網路攻擊並提高網站存取量,從而增加條幅廣告的顯示次數。
|
木馬下載器
|
木馬下載器
|
這些木馬會存取入侵者的網頁,從中下載其他惡意應用程式,並將它們安裝到使用者的電腦。這些木馬包含要下載的惡意應用程式的檔案名稱,或從存取的網頁中接收此檔案名稱。
|
木馬釋放器
|
木馬釋放器
|
這些木馬包含安裝在硬碟磁碟機上並隨後進行安裝的其他木馬。
入侵者可能會使用木馬釋放器類型的程式來達到以下目的:
- 未通知使用者就安裝惡意應用程式:木馬釋放器類型的程式不會顯示訊息,或者會顯示虛假訊息,例如通知壓縮檔案中存在錯誤或作業系統的版本不相容。
- 防護另一個已知惡意應用程式不被偵測:並非所有病毒防護軟體都可偵測到木馬釋放器類型應用程式中的惡意應用程式。
|
通知型木馬
|
通知型木馬
|
這些木馬會通知入侵者受感染的電腦可供存取,並向入侵者傳送有關電腦的資訊:IP 位址、已開放埠號或電子郵件信箱。它們透過電子郵件、FTP、存取入侵者的網頁或以其他方式與入侵者聯絡。
通知型木馬類型的程式通常用於包含多種木馬的集合中。這些木馬會通知入侵者其他木馬已成功安裝到使用者的電腦。
|
代理型木馬
|
代理型木馬
|
這些木馬允許入侵者使用使用者的電腦匿名存取網頁,它們通常用於傳送垃圾郵件。
|
盜號木馬
|
密碼竊盜軟體
|
密碼竊盜軟體是竊盜使用者帳戶(如軟體註冊資料)的一種木馬。這些密碼會尋找系統檔案和登錄檔中包含的機密資料,並透過電子郵件、FTP、存取入侵者的網頁或以其他方式將機密資料傳送給“攻擊者”。
部分這些木馬分類為此表中敘述的單獨類型。這些木馬會盜竊銀行帳戶(網銀竊賊木馬),竊取 IM 用戶端使用者的資料(IM 木馬),以及盜竊線上遊戲使用者的資訊(遊戲竊賊木馬)。
|
間諜木馬
|
間諜木馬
|
這些木馬暗中監視使用者,收集有關使用者使用電腦時所做的操作的資訊。它們可能會攔截使用者透過鍵盤輸入的資料,截取螢幕,或收集活動應用程式的清單。收到資訊後,這些木馬會透過電子郵件、FTP、存取入侵者的網頁或以其他方式將資訊傳輸給入侵者。
|
分散式拒絕服務攻擊木馬
|
木馬網路攻擊者
|
這些木馬會從使用者電腦將大量請求傳送至遠端伺服器。伺服器缺少資源來處理所有請求,因此會停止執行(拒絕服務,或簡稱為 DoS)。駭客通常會使用這些程式感染許多電腦,以使用這些電腦來同時攻擊一個伺服器。
DoS 程式在使用者知悉的情況下從一台電腦發起攻擊。DDoS(分散式 DoS)程式在不被受感染電腦使用者發覺的情況下從多台電腦發起分散式攻擊。
|
木馬 IM
|
從 IM 用戶端使用者那裡竊取資訊的木馬
|
它們會竊取 IM 用戶端使用者的帳戶和密碼。這些木馬會透過電子郵件、FTP、存取入侵者的網頁或以其他方式將資料傳輸給入侵者。
|
Rootkit
|
Rootkits
|
這些木馬會掩蓋其他惡意應用程式及其活動,從而延長這些應用程式在作業系統中持續存在的時間。它們還會隱藏檔案、受感染電腦記憶體中的處理程序或執行惡意應用程式的登錄機碼。Rootkit 會掩蓋使用者電腦上的應用程式與網路上其他電腦之間進行的資料交換。
|
木馬 SMS
|
SMS 格式的木馬
|
這些木馬會感染手機,向額外收費的手機號碼傳送 SMS。
|
遊戲竊賊木馬
|
從線上遊戲使用者那裡竊取資訊的木馬
|
這些木馬會竊取線上遊戲使用者的帳戶憑證,然後將這些憑證透過電子郵件、FTP、存取駭客的網頁或以其他方式傳送給駭客。
|
網銀竊賊木馬
|
竊取銀行帳戶的木馬
|
這些木馬會竊取銀行帳戶資料或電子貨幣系統資料,然後將這些資料透過電子郵件、FTP、存取駭客的網頁或以其他方式傳送給駭客。
|
郵件偵測木馬
|
收集電子郵件信箱的木馬
|
這些木馬會收集儲存在電腦上的電子郵件信箱,然後透過電子郵件、FTP、存取入侵者的網頁或以其他方式將它們傳送給入侵者。入侵者可能會向收集到的位址傳送垃圾郵件。
|
- 惡意工具
子類別:惡意工具
危險等級:中
與其他類型的惡意軟體不同,惡意工具在啟動過後不會執行其操作。惡意工具可以在使用者的電腦上安全地儲存和啟動。入侵者通常使用這些程式的功能來建立病毒、蠕蟲和木馬,對遠端伺服器進行網路入侵,攻擊電腦或執行其他惡意操作。
惡意工具的各種功能按下表中所述的類型進行分組。
惡意工具的功能
類型
|
名稱
|
描述
|
構建器
|
構建器
|
透過它們可以建立新的病毒、蠕蟲和木馬。一些構建器揚言構建了基於視窗的標準介面,使用者可在此介面中選擇要建立的惡意應用程式的類型,對付偵錯工具的方式,以及其他功能。
|
拒絕服務攻擊
|
網路攻擊
|
這些木馬會從使用者電腦將大量請求傳送至遠端伺服器。伺服器缺少資源來處理所有請求,因此會停止執行(拒絕服務,或簡稱為 DoS)。
|
弱點
|
弱點
|
弱點是一組資料或程式碼,利用處理它們的應用程式的缺陷對電腦執行惡意操作。例如,弱點可以寫入或讀取檔案,或請求“受感染”的網頁。
不同的弱點會利用不同應用程式或網路服務的缺陷。弱點會偽裝成網路封包透過網路傳輸到許多電腦,然後搜尋網路服務存在缺陷的電腦。DOC 檔案中的弱點會利用文字編輯器的缺陷。在使用者開啟受感染的檔案時,它可能會開始執行駭客程式設計的操作。嵌入在電子郵件訊息中的弱點會搜尋電子郵件用戶端的缺陷。使用者在電子郵件用戶端中開啟受感染的郵件時,弱點會立即開始執行惡意操作。
網路蠕蟲會使用弱點透過網路進行傳播。Nuker 弱點是可停用電腦的網路封包。
|
檔案加密器
|
加密器
|
加密器會加密其他惡意應用程式,以隱藏它們不被防毒應用程式發現。
|
洪水攻擊器
|
用於“污染”網路的程式
|
這些程式會透過網路通道傳送大量郵件。例如,此類型的工具包括污染網際網路中繼聊天的程式。
洪水攻擊器工具不包括“污染”電子郵件、IM 用戶端以及行動通信系統所使用通道的程式。這些程式可分為表中介紹的各種類型(電子郵件洪水攻擊器、IM 洪水攻擊器和 SMS 洪水攻擊器)。
|
駭客工具
|
駭客工具
|
這些工具可以破壞其所在的電腦,或攻擊其他電腦(例如,未經使用者許可新增新系統帳戶,或清除系統日誌以隱藏在作業系統中的存在路徑)。這種類型的工具包括一些具有惡意功能的嗅探器,例如密碼截取。嗅探器是允許檢視網路流量的程式。
|
惡作劇程式
|
惡作劇程式
|
這些程式會警告使用者類似病毒的訊息:它們可能會在未受感染的檔案中“偵測到病毒”,或通知使用者磁碟已被格式化,儘管這些情況實際並未發生。
|
位址欺騙程式
|
位址欺騙工具
|
這些工具使用偽造的寄件者位址傳送郵件和網路請求。例如,入侵者會使用位址欺騙程式類型的工具來掩蓋他們作為郵件實際寄件者的事實。
|
病毒修改工具
|
修改惡意應用程式的工具
|
透過這些工具可以修改其他惡意軟體,隱藏它們不被防毒程式發現。
|
電子郵件洪水攻擊器
|
“污染”電子郵件信箱的程式
|
這些程式會向各種電子郵件信箱傳送大量郵件,從而“污染”這些位址。大量的接收郵件會妨礙使用者檢視收件箱中的有用郵件。
|
IM 洪水攻擊器
|
“污染”IM 流量的程式
|
它們向 IM 的使用者傳送大量訊息。大量的資訊會妨礙使用者檢視有用的接收資訊。
|
SMS 洪水攻擊器
|
使用 SMS“污染”流量的程式
|
這些程式向手機傳送大量 SMS。
|
- 廣告軟體
子類別:廣告軟體;
威脅等級:中
廣告軟體向使用者顯示廣告資訊。廣告軟體程式會在其他程式的介面中顯示條幅廣告,並將搜尋查詢重新導向至廣告網頁。某些廣告軟體程式會收集有關使用者的行銷資訊,並將其傳送給開發者:此資訊可能包括使用者存取的網站的名稱,或使用者搜尋查詢的內容。與間諜木馬類型的程式不同,廣告軟體程式會在使用者許可的情況下將此資訊傳送給開發者。
- 自動撥號程式
子類別:可能會被犯罪分子用來破壞電腦或個人資料的合法軟體。
危險等級:中
大多數這些應用程式都很有用,因此有許多使用者使用它們。這些應用程式包括 IRC 用戶端、自動撥號器、檔案下載程式、電腦系統活動監控器、密碼實用程式以及用於 FTP、HTTP 和 Telnet 的網際網路伺服器。
但是,如果入侵者獲得了這些程式的存取權限,或如果他們在使用者的電腦上安置這些程式,應用程式的某些功能可能會被用來危害安全。
這些應用程式具有不同的功能,下表介紹了它們的類型。
類型
|
名稱
|
描述
|
用戶端 IRC
|
網際網路聊天用戶端
|
使用者安裝這些程式與他人進行網際網路中繼聊天。入侵者使用這些程式來傳播惡意軟體。
|
撥號器
|
自動撥號程式
|
它們可以在隱藏模式下透過數據機建立電話連線。
|
下載器
|
用於下載的程式
|
這些程式可以在隱藏模式下從網頁下載檔案。
|
監控器
|
用於監控的程式
|
這些程式可監控其安裝到的電腦上的活動(檢視哪些應用程式正在活動,以及它們如何與安裝在其他電腦上的應用程式交換資料)。
|
密碼工具
|
密碼還原器
|
透過它們可以檢視和還原已忘記的密碼。入侵者出於相同的目的,秘密地將它們安置在使用者的電腦上。
|
遠端管理程式
|
遠端管理程式
|
系統管理員廣泛使用的一些程式。透過這些程式可以獲取對遠端電腦介面的存取權限,以監控和管理此電腦。入侵者出於同樣的目的,秘密地將它們安置在使用者的電腦上:用於監控和管理遠端電腦。
合法的遠端管理程式與實現遠端管理的後門類型的木馬不同。木馬能夠獨自入侵作業系統並自行安裝;合法的程式則無法做到這些。
|
FTP 服務程式
|
FTP 伺服器
|
這些程式可起到 FTP 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 FTP 對此電腦的遠端存取。
|
代理服務程式
|
代理伺服器
|
這些程式可起到代理伺服器的作用。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。
|
Telnet 服務程式
|
Telnet 伺服器
|
這些程式可起到 Telnet 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 Telnet 對此電腦的遠端存取。
|
Web 服務程式
|
Web 伺服器
|
這些程式可起到 Web 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 HTTP 對此電腦的遠端存取。
|
風險工具
|
在本機電腦上工作的工具
|
在使用者自己的電腦上工作時,這些工具會為使用者提供其他選項。透過這些工具,使用者可以隱藏檔案或活動應用程式的視窗,並終止活動的處理程序。
|
網路工具
|
網路工具
|
與網路上的其他電腦配合工作時,這些工具會為使用者提供其他選項。透過這些工具可以進行重新啟動,偵測開放的連接埠,以及啟動安裝在電腦上的應用程式。
|
P2P 用戶端
|
P2P 網路用戶端
|
透過它們可以在對等網路中工作。入侵者可能會利用它們傳播惡意軟體。
|
用戶端 SMTP
|
SMTP 用戶端
|
它們未經使用者的同意便傳送電子郵件。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。
|
Web 工具列
|
Web 工具列
|
它們會向其他應用程式的介面中新增工具列,以使用搜尋引擎。
|
欺騙工具
|
欺騙程式
|
這些程式將自己偽裝為其他程式。例如,一些欺騙防毒程式會顯示有關惡意軟體偵測的資訊。但實際上,它們並未找到任何內容或進行解毒。
|
- 可被入侵者利用以破壞您的電腦或個人資料的合法軟體
子類別:可能會被犯罪分子用來破壞電腦或個人資料的合法軟體。
危險等級:中
大多數這些應用程式都很有用,因此有許多使用者使用它們。這些應用程式包括 IRC 用戶端、自動撥號器、檔案下載程式、電腦系統活動監控器、密碼實用程式以及用於 FTP、HTTP 和 Telnet 的網際網路伺服器。
但是,如果入侵者獲得了這些程式的存取權限,或如果他們在使用者的電腦上安置這些程式,應用程式的某些功能可能會被用來危害安全。
這些應用程式具有不同的功能,下表介紹了它們的類型。
類型
|
名稱
|
描述
|
用戶端 IRC
|
網際網路聊天用戶端
|
使用者安裝這些程式與他人進行網際網路中繼聊天。入侵者使用這些程式來傳播惡意軟體。
|
撥號器
|
自動撥號程式
|
它們可以在隱藏模式下透過數據機建立電話連線。
|
下載器
|
用於下載的程式
|
這些程式可以在隱藏模式下從網頁下載檔案。
|
監控器
|
用於監控的程式
|
這些程式可監控其安裝到的電腦上的活動(檢視哪些應用程式正在活動,以及它們如何與安裝在其他電腦上的應用程式交換資料)。
|
密碼工具
|
密碼還原器
|
透過它們可以檢視和還原已忘記的密碼。入侵者出於相同的目的,秘密地將它們安置在使用者的電腦上。
|
遠端管理程式
|
遠端管理程式
|
系統管理員廣泛使用的一些程式。透過這些程式可以獲取對遠端電腦介面的存取權限,以監控和管理此電腦。入侵者出於同樣的目的,秘密地將它們安置在使用者的電腦上:用於監控和管理遠端電腦。
合法的遠端管理程式與實現遠端管理的後門類型的木馬不同。木馬能夠獨自入侵作業系統並自行安裝;合法的程式則無法做到這些。
|
FTP 服務程式
|
FTP 伺服器
|
這些程式可起到 FTP 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 FTP 對此電腦的遠端存取。
|
代理服務程式
|
代理伺服器
|
這些程式可起到代理伺服器的作用。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。
|
Telnet 服務程式
|
Telnet 伺服器
|
這些程式可起到 Telnet 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 Telnet 對此電腦的遠端存取。
|
Web 服務程式
|
Web 伺服器
|
這些程式可起到 Web 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 HTTP 對此電腦的遠端存取。
|
風險工具
|
在本機電腦上工作的工具
|
在使用者自己的電腦上工作時,這些工具會為使用者提供其他選項。透過這些工具,使用者可以隱藏檔案或活動應用程式的視窗,並終止活動的處理程序。
|
網路工具
|
網路工具
|
與網路上的其他電腦配合工作時,這些工具會為使用者提供其他選項。透過這些工具可以進行重新啟動,偵測開放的連接埠,以及啟動安裝在電腦上的應用程式。
|
P2P 用戶端
|
P2P 網路用戶端
|
透過它們可以在對等網路中工作。入侵者可能會利用它們傳播惡意軟體。
|
用戶端 SMTP
|
SMTP 用戶端
|
它們未經使用者的同意便傳送電子郵件。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。
|
Web 工具列
|
Web 工具列
|
它們會向其他應用程式的介面中新增工具列,以使用搜尋引擎。
|
欺騙工具
|
欺騙程式
|
這些程式將自己偽裝為其他程式。例如,一些欺騙防毒程式會顯示有關惡意軟體偵測的資訊。但實際上,它們並未找到任何內容或進行解毒。
|
- 可能被用來防護惡意程式碼的封裝物件
Kaspersky Endpoint Security 會掃描 SFX(自解壓)存檔中的壓縮物件和解壓縮工具模組。
為了隱藏危險程式不被防毒應用程式發現,入侵者會使用特殊解壓縮工具存檔這些程式,或建立多重壓縮檔案。
Kaspersky 病毒分析人員已識別出駭客最常使用的解壓縮工具。
如果 Kaspersky Endpoint Security 在檔案中偵測到此種封裝工具,則該檔案很可能包含惡意應用程式或可被犯罪分子用來破壞電腦或個人資料的應用程式。
Kaspersky Endpoint Security 挑選出了以下類型的程式:
- 可能帶來危害的壓縮檔案 – 用於壓縮惡意軟體,例如病毒、蠕蟲和木馬。
- 多重壓縮檔案(中等威脅等級)– 透過一個或多個封裝工具對物件進行了三次壓縮。
- 多重封裝物件
Kaspersky Endpoint Security 會掃描 SFX(自解壓)存檔中的壓縮物件和解壓縮工具模組。
為了隱藏危險程式不被防毒應用程式發現,入侵者會使用特殊解壓縮工具存檔這些程式,或建立多重壓縮檔案。
Kaspersky 病毒分析人員已識別出駭客最常使用的解壓縮工具。
如果 Kaspersky Endpoint Security 在檔案中偵測到此種封裝工具,則該檔案很可能包含惡意應用程式或可被犯罪分子用來破壞電腦或個人資料的應用程式。
Kaspersky Endpoint Security 挑選出了以下類型的程式:
- 可能帶來危害的壓縮檔案 – 用於壓縮惡意軟體,例如病毒、蠕蟲和木馬。
- 多重壓縮檔案(中等威脅等級)– 透過一個或多個封裝工具對物件進行了三次壓縮。
|
排除項目
|
此表包含掃描排除項目的相關資訊。
可以使用以下方法從掃描中排除物件:
- 指定檔案或資料夾的路徑。
- 輸入物件雜湊。
- 使用遮罩:
* (星號)字元代表任意一組字元,但 \ 和 / 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩“C:\*\*.txt ”將包括位於 C: 磁碟機但是不在子資料夾中所有帶 TXT 副檔名的檔案的路徑。- 兩個連續
* 字元在檔案或資料夾名稱中代表任意一組字元(包括空集),包括 \ 和 / 字元(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\**\*.txt 將包括位於巢嵌在 Folder 內的資料夾(Folder 自身除外)中所有帶 TXT 副檔名的檔案的路徑。遮罩必須包含至少一個嵌套等級。遮罩 C:\**\*.txt 不是有效遮罩。 ? (問號)字元代表任意單個字元,但 \ 和 / 字元除外(這兩個字元是檔案和資料夾路徑中的檔案和資料夾名稱的分隔符號)。例如,遮罩 C:\Folder\???.txt 將包括位於 Folder 資料夾中所有帶 TXT 副檔名且名稱由三個字元構成的檔案的路徑。您可以在檔案或者資料夾路徑的任何地方使用遮罩。例如,如果您想要掃描範圍包括電腦上的所有使用者帳戶的“下載”資料夾,請輸入 C:\Users\*\Downloads\ 遮罩。
Kaspersky Endpoint Security 支援環境變數
當使用卡巴斯基安全管理中心主控台產生排除項目清單時,Kaspersky Endpoint Security 不支援“%userprofile% ”環境變量。若要將項目套用到所有使用者帳戶,您可以使用 * 字元(例如,C:\Users\*\Documents\File.exe )。無論何時新增新的環境變數,您都需要重啟應用程式。
- 根據 Kaspersky 百科全書的分類輸入物件的名稱(例如,
Email-Worm 、Rootkit 或 RemoteAdmin )。您可以用? 字元(替換任何單個字元)和* 字元(替換任意數量的字元)來使用遮罩。例如,如果指定了Client* 遮罩,則應用程式將從掃描中排除Client-IRC 、Client-P2P 和Client-SMTP 物件。
如果管理員在主控台中封鎖可信任應用程式的配置(“關閉的鎖”符號)並且禁止本機可信任應用程式( 允許使用本機排除項目 核取方塊被清除),Kaspersky Endpoint Security 將在應用程式的使用者介面中隱藏掃描排除項目清單。
|
受信任應用程式
|
此表列出了受信任應用程式,其活動在操作過程中不受 Kaspersky Endpoint Security 監控。
Kaspersky Endpoint Security 輸入遮罩時支援環境變量以及* 和? 字元。
當在卡巴斯基安全管理中心主控台上產生受信任應用程式清單時,Kaspersky Endpoint Security 不支援“%userprofile% ”環境變量。若要將項目套用到所有使用者帳戶,您可以使用 * 字元(例如,C:\Users\*\Documents\File.exe )。無論何時新增新的環境變數,您都需要重啟應用程式。
“應用程式控制”元件控制每個應用程式的啟動,不管該應用程式是否包括在受信任應用程式表中。
如果管理員在主控台中封鎖可信任應用程式的配置(“關閉的鎖”符號)並且禁止本機可信任應用程式( 允許使用受信任應用程式 核取方塊被清除)。
|
繼承時合併值
(僅在卡巴斯基安全管理中心主控台中可用)
|
這會合併卡巴斯基安全管理中心的父級和子級政策中的掃描排除項目和受信任應用程式的清單。要合併清單,必須將子政策設定為繼承卡巴斯基安全管理中心父政策的設定。
如果選中此核取方塊,則子政策中將顯示卡巴斯基安全管理中心父政策的清單項目。這樣,您可以(例如)建立整個組織的受信任應用程式的合併清單。
子政策中繼承的清單項無法被刪除或編輯。在繼承過程中合併的掃描排除項目清單和受信任應用程式清單中的項目只能在父政策中進行刪除和編輯。您可以新增、編輯或刪除較低等級之政策中的清單項目。
如果子政策和父政策清單上的項目相符,則這些項目將顯示為父政策的同一項目。
如果未選中該核取方塊,則在繼承卡巴斯基安全管理中心政策設定時不會合併清單項。
|
允許使用本機排除項目/允許使用受信任應用程式
(僅在卡巴斯基安全管理中心主控台中可用)
|
本機排除項目和本機受信任的應用程式 – Kaspersky Endpoint Security 中特定電腦的使用者定義的物件和應用程式清單。Kaspersky Endpoint Security不 會監控本機受信任區域中的物件和應用程式。這樣,除了政策中的一般受信任區域之外,使用者還可以建立自己的排除項目和受信任應用程式”的本機清單。
如果選中此核取方塊,則使用者可以建立掃描排除項目本機清單和受信任應用程式本機清單。管理員可以使用卡巴斯基安全管理中心檢視、新增、編輯或刪除電腦屬性中的清單項目。
如果核取方塊被清理,使用者只能存取政策中產生的掃描排除項目和受信任應用程式的一般清單。
|
EDR 遙測
(僅在卡巴斯基安全管理中心主控台中可用)
|
此表包含 EDR 遙測排除項目的相關資訊。
|
受信任的系統憑證儲存
|
如果選擇了一個受信任的系統憑證儲存,則 Kaspersky Endpoint Security 將從掃描中排除使用受信任數位簽章簽名的應用程式。Kaspersky Endpoint Security 會自動將此類應用程式分配給受信任群組。
如果選擇了不使用,Kaspersky Endpoint Security 將掃描應用程式,無論它們是否具有數位簽章。Kaspersky Endpoint Security 會將應用程式放置在某個信任群組中,實際取決於該應用程式可能對電腦造成的危險等級而定。
|
頁面頂部