Tipos de objetos detectados

Independientemente de la configuración de la aplicación ajustada, Kaspersky Endpoint Security siempre detecta y bloquea virus, gusanos y troyanos. Estos pueden ocasionar daños importantes al equipo.

• Virus y gusanos

  Subcategoría: virus y gusanos (Viruses_and_Worms)

  Nivel de amenaza: alto

  Los virus y gusanos tradicionales realizan acciones no autorizadas por el usuario. Pueden crear copias de sí mismos capaces de replicarse.

  Virus habitual

  Cuando un virus tradicional ingresa a un equipo, lo que hace es infectar un archivo, activarse, realizar acciones malintencionadas y agregar copias de sí mismo a otros archivos.

  Los virus tradicionales solo se multiplican en los recursos locales del equipo; no pueden penetrar otros equipos por sí mismos. Solo pueden pasar a otro equipo si agregan una copia de sí mismos a un archivo almacenado en una carpeta compartida o en un CD dentro del equipo, o si el usuario reenvía un mensaje de correo con un archivo adjunto infectado.

  El código de los virus tradicionales puede penetrar diversas áreas de los equipos, los sistemas operativos y las aplicaciones. Según el entorno, los virus se dividen en virus de archivos, virus de arranque, virus de scripts y virus de macros.

  Los virus pueden infectar archivos mediante una variedad de técnicas. Los virus de sobreescritura escriben su código sobre el código del archivo infectado y borran el contenido de este. El archivo infectado deja de funcionar y no se puede restaurar. Los virus parasitarios modifican archivos y los dejan total o parcialmente funcionales. Los virus de acompañamiento no modifican archivos, sino que crean duplicados de ellos. Cuando se abre un archivo infectado, se inicia un duplicado de este (que, en realidad, es un virus). También es posible encontrarse con los siguientes tipos de virus: virus de vínculos, virus para archivos OBJ, virus para archivos LIB, virus para código fuente y muchos otros.

  Gusano

  Como ocurre con los virus tradicionales, el código de los gusanos está diseñado para infiltrarse en un equipo, activarse y realizar acciones maliciosas. Los gusanos reciben este nombre debido a su capacidad para "arrastrarse" de un equipo a otro y propagar copias de sí mismos sin el permiso del usuario mediante numerosos canales de datos.

  La principal función que permite diferenciar los distintos tipos de gusanos es la forma de propagarse. La siguiente tabla proporciona un resumen de distintos tipos de gusanos, clasificados según la forma en que se propagan.

  Formas de propagación

   

   

  Tipo	Nombre	Descripción
  Email-Worm	Email-Worm	Se propagan mediante el correo electrónico. Un mensaje de correo infectado contiene un documento adjunto con una copia de un gusano o un vínculo a un archivo cargado en un sitio web que puede haber sufrido un ataque o haber sido creado exclusivamente con ese fin. Cuando se abre el documento adjunto, se activa el gusano. Cuando se hace clic en el vínculo, se descarga y se abre el archivo, y el gusano empieza a realizar acciones malintencionadas. Después de esto, empieza a distribuir copias de sí mismo. Para ello, busca otras direcciones de correo y les envía mensajes infectados.
  IM-Worm	Gusanos de cliente de MI	Se propagan a través de clientes de MI. Por lo general, estos gusanos envían mensajes que incluyen un vínculo a un archivo con una copia del gusano ubicado en un sitio web y utilizan las listas de contactos del usuario. Cuando el usuario descarga el archivo y lo abre, se activa el gusano.
  IRC-Worm	Gusanos de chat de Internet	Se propagan mediante Internet Relay Chats, sistemas de servicio que permiten comunicarse con otras personas a través de Internet en tiempo real. Estos gusanos publican un archivo con una copia de sí mismos o un vínculo al archivo en un chat de Internet. Cuando el usuario descarga el archivo y lo abre, se activa el gusano.
  Gusano de red	Gusanos de red	Estos gusanos se propagan a través de redes de equipos. A diferencia de otros tipos de gusanos, un gusano de red típico se propaga sin la participación del usuario. Analiza la red local en busca de equipos que contengan programas con vulnerabilidades. Para ello, envía un paquete de red (punto vulnerable) especialmente formado que contiene el código del gusano o una parte de él. Si en la red hay algún equipo "vulnerable", recibe este paquete de red. El gusano se activa una vez que penetra completamente en el equipo.
  P2P-Worm	Gusanos de redes de uso compartido de archivos	Se propagan mediante redes punto a punto de uso compartido de archivos. Para infiltrar una red P2P, el gusano se copia en una carpeta de uso compartido de archivos que, por lo general, está situada en el equipo del usuario. La red P2P muestra información sobre este archivo, de modo que el usuario pueda "encontrar" el archivo infectado en la red como a cualquier otro archivo, descargarlo y abrirlo. Gusanos más sofisticados emulan el protocolo de red de una red P2P específica: devuelven respuestas positivas a solicitudes de búsqueda y ofrecen copias de sí mismo para su descarga.
  Gusano	Otros tipos de gusanos	Otros tipos de gusanos incluyen los siguientes: Gusanos que distribuyen copias de sí mismos por los recursos de red. Al utilizar las funciones del sistema operativo, buscan carpetas disponibles de red, se conectan a equipos conectados a Internet e intentan obtener acceso total a sus unidades de disco. A diferencia de los tipos de gusanos descritos anteriormente, otras clases de gusanos no se activan por sí mismos, sino cuando el usuario abre un archivo que contiene una copia del gusano. Gusanos que no utilizan ninguno de los métodos anteriores para propagarse (aquí se incluyen, por ejemplo, los que se propagan de un teléfono celular a otro).

   

• Troyanos y ransomware

  Subcategoría: Troyanos

  Nivel de amenaza: alto

  A diferencia de los gusanos y los virus, los troyanos no se autorreplican. Por ejemplo, penetran un equipo a través del correo o un navegador cuando el usuario visita una página web infectada. Los troyanos requieren la participación del usuario para iniciarse. Comienzan a realizar acciones malintencionadas inmediatamente después de iniciarse.

  Los distintos troyanos se comportan de manera diferente en los equipos infectados. Las principales funciones de los troyanos consisten en bloquear, modificar o destruir información y en deshabilitar equipos o redes. Los troyanos también reciben o envían archivos, los ejecutan, muestran mensajes en pantalla, solicitan páginas web, descargan e instalan programas y reinician equipos.

  Con frecuencia, los piratas usan "conjuntos" de varios troyanos.

  Los tipos de comportamiento de los caballos de troya se describen en la siguiente tabla.

  Tipos de comportamiento de caballos de troya en equipos infectados

   

  Tipo	Nombre	Descripción
  Trojan-ArcBomb	Troyanos: "bombas en archivos de almacenamiento"	Cuando se descomprimen, estos archivos de almacenamiento aumentan de tamaño en una medida tal que afecta el funcionamiento del equipo. Cuando el usuario intenta descomprimir un archivo de almacenamiento de esta clase, es posible que el equipo se ralentice o se bloquee, y el disco duro puede llenarse de datos "vacíos". Las "bombas en archivo de almacenamiento" son especialmente peligrosas para los servidores de correo y de archivos. Si el servidor utiliza un sistema automático para procesar la información entrante, una "bomba en archivo de almacenamiento" puede detener el servidor.
  Backdoor	Troyanos de administración remota	Se considera que son los troyanos más peligrosos. Funcionan de manera bastante similar a las aplicaciones de administración remota instaladas en los equipos. Estos programas se instalan en el equipo sin que el usuario los detecte, lo que permite al intruso administrarlo de forma remota.
  Caballo de troya	Troyanos	En esta categoría se incluyen las siguientes aplicaciones maliciosas: Troyanos tradicionales. Estos programas solo realizan las funciones principales de los troyanos: bloquear, modificar o destruir información y deshabilitar equipos o redes. A diferencia de los otros tipos de troyano descritos en la tabla, estos no tienen funciones avanzadas. Troyanos versátiles. Estos programas tienen funciones avanzadas típicas de diversos tipos de troyanos.
  Trojan-Ransom	Ransom troyanos	Toman la información del usuario como "rehén", modificándola o bloqueándola, o afectan el funcionamiento del equipo, de modo que el usuario pierde la capacidad de utilizar la información. El intruso le exige al usuario un rescate a cambio de una aplicación que permita restaurar la información y la operatividad del equipo.
  Trojan-Clicker	Trojan-Clicker	Acceden a páginas web desde el equipo del usuario, ya sea mediante el envío de comandos a un navegador por su cuenta o por medio de la modificación de las direcciones web especificadas en los archivos del sistema operativo. Al utilizar estos programas, los intrusos realizan ataques de red e incrementan las visitas a sitios web, lo que aumenta la cantidad de anuncios publicitarios que se muestran.
  Trojan-Downloader	Descargadores troyanos	Acceden a la página web del intruso para descargar de allí otra aplicación malintencionada e instalarla en el equipo del usuario. El nombre del archivo que se debe descargar puede venir establecido de antemano dentro del troyano o puede determinarse al acceder a la página del atacante.
  Trojan-Dropper	Caballos de troya instaladores de software malintencionado	Contienen otros troyanos que descargan en el disco duro y luego instalan. Los intrusos pueden utilizar programas de este tipo para cumplir los siguientes objetivos: Instalar una aplicación malintencionada sin que el usuario lo advierta: Los troyanos de esta clase no muestran ningún mensaje o, si lo hacen, dan información falsa (por ejemplo, pueden advertir sobre la existencia de un archivo dañado o sobre incompatibilidades en el sistema operativo). Impedir la detección de una aplicación malintencionada conocida. No todos los antivirus son capaces de detectar aplicaciones malintencionadas cuando vienen ocultas en troyanos de este tipo.
  Trojan-Notifier	Caballos de troya notificadores	Le informan al atacante que puede introducirse en el sistema infectado y le envían información sobre el equipo: dirección IP, número de puerto abierto o dirección de correo electrónico. Se conectan con el intruso por medio del correo electrónico, FTP, ingreso a la página web del intruso o de otra manera. Los troyanos notificadores suelen utilizarse en conjuntos conformados por varios troyanos. Informan al intruso que se han instalado correctamente otros troyanos en el equipo del usuario.
  Trojan-Proxy	Caballos de troya proxy	Permiten al intruso acceder de forma anónima a páginas web mediante el equipo del usuario. Con frecuencia, se utilizan para enviar correo no deseado.
  Trojan-PSW	Programas que roban contraseñas	Los programas que roban contraseñas son una clase de caballo de troya que roba cuentas de usuarios, tales como datos de registro de software. Estos troyanos encuentran datos confidenciales en archivos del sistema y en el registro y se los envían al "atacante" mediante correo electrónico, FTP, acceso a la página web del intruso o de otro modo. Algunos de estos troyanos se categorizan en los distintos tipos descritos en esta tabla. Entre ellos se incluyen los que roban cuentas bancarias (Trojan-Banker), datos de usuarios de mensajería instantánea (Trojan-IM) e información de quienes juegan por Internet (Trojan-GameThief).
  Trojan-Spy	Caballos de troya espías	Espían al usuario y reúnen información acerca de las acciones que este realiza cuando trabaja en el equipo. Pueden interceptar los datos introducidos por el usuario mediante el teclado, realizar capturas de pantalla o compilar listas de aplicaciones activas. Después de recibir la información, se la transfieren al intruso mediante correo, FTP, acceso a la página web del intruso o de otro modo.
  Trojan-DDoS	Caballos de troya atacantes de red	Envían numerosas solicitudes desde el equipo del usuario hasta un servidor remoto. El servidor carece de recursos para procesar todas las solicitudes, por lo que deja de funcionar (denegación de servicio, o simplemente DoS). Los piratas suelen infectar muchos equipos con estos programas de manera de utilizar los equipos para atacar a un único servidor simultáneamente. Los programas DoS llevan a cabo un ataque desde un único equipo con el conocimiento del usuario. Los programas DDoS (DoS distribuida) llevan a cabo ataques distribuidos desde distintos equipos sin que lo advierta el usuario del equipo infectado.
  Trojan-IM	Troyanos que roban información de usuarios de clientes de mensajería instantánea	Roban los números de cuenta y contraseñas de quienes usan clientes de mensajería instantánea. Transfieren los datos al intruso mediante correo, FTP, acceso a la página web del intruso o de otro modo.
  Rootkit	RootKits	Enmascaran la existencia y las acciones de otras aplicaciones malintencionadas para ayudarlas a perdurar en el sistema operativo. También pueden ocultar archivos, claves del registro que se utilicen para ejecutar aplicaciones malintencionadas o procesos que se encuentren cargados en la memoria del equipo infectado. Los rootkits pueden enmascarar el intercambio de datos entre aplicaciones en el equipo del usuario y en otros equipos de la red.
  Trojan-SMS	Troyanos en la forma de mensajes SMS	Infectan teléfonos móviles y envían mensajes SMS a números de teléfono con tarifas elevadas.
  Trojan-GameThief	Troyanos que roban información de usuarios de juegos en línea	Roban credenciales de las cuentas de usuarios de juegos en línea, tras lo cual envían los datos al intruso mediante correo, FTP, acceso a la página web del intruso o de otro modo.
  Trojan-Banker	Troyanos que roban cuentas bancarias	Roban datos de cuentas bancarias o de sistemas de dinero electrónico y luego envían la información al hacker por correo electrónico, por FTP, a través de una página creada por el atacante o usando otros medios.
  Trojan-Mailfinder	Troyanos que reúnen direcciones de correo	Recopilan direcciones de correo almacenadas en un equipo y se las envían al intruso mediante correo, FTP, acceso a la página web del intruso o de otro modo. Los intrusos pueden enviar correo no deseado a las direcciones que han recopilado.

   

• Herramientas maliciosas

  Subcategoría: Herramientas maliciosas

  Nivel de peligrosidad: medio

  A diferencia de otros tipos de software malware, las herramientas maliciosas no realizan acciones inmediatamente después de iniciarse. Pueden almacenarse de manera segura e iniciarse en el equipo del usuario. A menudo, los intrusos utilizan las funciones de estos programas para crear virus, gusanos y troyanos, perpetrar ataques de red en servidores remotos, atacar equipos o llevar a cabo otras acciones malintencionadas.

  Varias funciones de las herramientas maliciosas se agrupan en los tipos descritos en la siguiente tabla.

  Funciones de herramientas maliciosas

   

  Tipo	Nombre	Descripción
  Constructor	Constructores	Permiten crear nuevos virus, gusanos y troyanos. Algunos constructores ofrecen una interfaz estándar, con ventanas para elegir el tipo de aplicación malintencionada que se va a crear, los métodos que se usarán para contrarrestar los depuradores y otras características.
  Dos	Ataque de red	Envían numerosas solicitudes desde el equipo del usuario hasta un servidor remoto. El servidor carece de recursos para procesar todas las solicitudes, por lo que deja de funcionar (denegación de servicio, o simplemente DoS).
  Exploit	Exploits	Los puntos vulnerables son conjuntos de datos o códigos de programas que se sirven de las vulnerabilidades de la aplicación en la que se procesa para realizar una acción maliciosa en un equipo. Por ejemplo, un punto vulnerable puede escribir o leer archivos o solicitar páginas web "infectadas". Distintos puntos vulnerables se sirven de las vulnerabilidades de diversos servicios de red o aplicaciones. Disfrazados como paquete de red, los puntos vulnerables se transfieren a través de la red a numerosos equipos y buscan equipos con servicios de red vulnerables. Un punto vulnerable en un archivo DOC se sirve de las vulnerabilidades de un editor de texto. Puede comenzar a realizar las acciones preprogramadas por el pirata cuando el usuario abre el archivo infectado. Un punto vulnerable incrustado en un mensaje de correo busca vulnerabilidades en cualquier cliente de correo. Puede empezar a realizar una acción malintencionada apenas el usuario abre el mensaje infectado en dicho cliente. Los gusanos de red se propagan por las redes mediante los puntos vulnerables. Los puntos vulnerables Nuker son paquetes de red que deshabilitan equipos.
  FileCryptor	Cifradores	Se utilizan para cifrar otras aplicaciones malintencionadas y evitar, con ello, que las aplicaciones antivirus las detecten.
  Flooder	Programas para "contaminar" redes	Envían numerosos mensajes a través de canales de red. Este tipo de herramienta incluye, por ejemplo, programas que contaminan Internet Relay Chats. Las herramientas de tipo "flooder" no incluyen programas que "contaminan" los canales usados por el correo, los clientes de mensajería instantánea y los sistemas de comunicaciones móviles. Estos programas se describen de manera individual en la tabla (flooder de correo, IM-Flooder y flooder de SMS).
  HackTool	Herramientas de piratería	Permiten los ataques a los equipos en los que están instalados o atacan otro equipo (por ejemplo, mediante la adición de nuevas cuentas de sistema sin el permiso del usuario o la eliminación de registros del sistema para ocultar rastros de su presencia en el sistema operativo). Este tipo de herramienta incluye algunos analizadores de protocolos que ofrecen funciones malintencionadas, como la interceptación de contraseñas. Los analizadores de protocolos son programas que permiten ver el tráfico de red.
  Hoax	Hoax	Alarman al usuario con mensajes similares a los de los virus: pueden "detectar un virus" en un archivo no infectado o notificar al usuario de que se dio formato a un disco, cuando esto no sucedió en realidad.
  Spoofer	Herramientas de falsificación	Envían mensajes y solicitudes de red con una dirección falsa del remitente. Los intrusos utilizan herramientas de falsificación para hacerse pasar por los verdaderos remitentes de los mensajes, por ejemplo.
  VirTool	Herramientas que pueden ingresar modificaciones en las aplicaciones malintencionadas	Permiten la modificación de otros programas de software malware y los ocultan de las aplicaciones antivirus.
  Email-Flooder	Programas que "contaminan" las direcciones de correo	Envían numerosos mensajes a varias direcciones de correo electrónico y, de este modo, las contaminan. Un gran volumen de mensajes entrantes impide que los usuarios vean mensajes deseados en sus buzones.
  IM-Flooder	Programas que "contaminan" el tráfico de los clientes de MI	"Inundan" a los usuarios de clientes de MI con mensajes. Un gran volumen de mensajes impide a los usuarios visualizar mensajes entrantes deseados.
  SMS-Flooder	Programas que "contaminan" el tráfico con mensajes SMS	Envían numerosos mensajes de SMS a teléfonos móviles.

   

• Adware

  Subcategoría: software de publicidad (Adware);

  Nivel de amenaza: medio

  El adware muestra información publicitaria al usuario. Los programas de adware muestran anuncios publicitarios en las interfaces de otros programas y redireccionan las solicitudes de búsqueda a páginas web publicitarias. Algunos reúnen información de marketing acerca del usuario y la envían a su desarrollador. Esta información puede incluir los nombres de los sitios web visitados por el usuario o el contenido de sus solicitudes de búsqueda. A diferencia de los caballos de troya espías, el adware envía esta información al desarrollador con el permiso del usuario.

• Marcadores automáticos

  Subcategoría: software legal que los delincuentes pueden usar para dañar el equipo o sus datos personales

  Nivel de peligrosidad: medio

  La mayor parte de estas aplicaciones son útiles, por lo que muchos usuarios las ejecutan. Estas aplicaciones incluyen clientes IRC, marcadores automáticos, programas de descarga de archivos, supervisores de actividad del sistema del equipo, utilidades de contraseña y servidores de Internet para FTP, HTTP y Telnet.

  Sin embargo, si los intrusos obtienen acceso a estos programas, o si los plantan en el equipo del usuario, es posible que algunas de las funciones de la aplicación se utilicen para violar la seguridad.

  Estas aplicaciones tienen distintas funciones. En la tabla siguiente, se describen los distintos tipos.

   

  Tipo	Nombre	Descripción
  Client-IRC	Clientes de chat de Internet	Los usuarios instalan estos programas para hablar con gente en Internet Relay Chat. Los intrusos los utilizan para distribuir software malware.
  Dialer	Marcadores automáticos	Pueden establecer conexiones telefónicas a través de un módem en modo oculto.
  Downloader	Programas para realizar descargas	Pueden descargar archivos de páginas web en modo oculto.
  Monitor	Programas para supervisar	Permiten supervisar la actividad en el equipo en el que están instalados (ver qué aplicaciones están activas y cómo intercambian datos con aplicaciones instaladas en otros equipos).
  PSWTool	Restauradores de contraseñas	Permiten visualizar y restaurar contraseñas olvidadas. Los intrusos los implantan en secreto en los equipos de los usuarios con el mismo propósito.
  RemoteAdmin	Programas de administración remota	Su uso está muy extendido entre los administradores de sistemas. Estos programas permiten obtener acceso a la interfaz de un equipo remoto para supervisarlo y administrarlo. Los intrusos los implantan en secreto en los equipos de los usuarios con el mismo propósito: supervisar y administrar equipos remotos. Los programas legales de administración remota difieren de los troyanos de tipo Puerta trasera de administración remota. Los troyanos tienen la capacidad de penetrar en el sistema operativo por su cuenta e instalarse, mientras que los programas legales no pueden hacerlo.
  Server-FTP	Servidores FTP	Funcionan como servidores FTP. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de FTP.
  Server-Proxy	Servidores proxy	Funcionan como servidores proxy. Los intrusos los implantan en el equipo del usuario para enviar correo no deseado en nombre del usuario.
  Server-Telnet	Servidores Telnet	Funcionan como servidores Telnet. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de Telnet.
  Server-Web	Servidores web	Funcionan como servidores web. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de HTTP.
  RiskTool	Herramientas para trabajar en un equipo local	Proporcionan al usuario opciones adicionales cuando trabajan en su propio equipo. Las herramientas permiten al usuario ocultar archivos o ventanas de aplicaciones activas y terminar procesos activos.
  NetTool	Herramientas de red	Proporcionan al usuario opciones adicionales cuando trabajan con otros equipos de la red. Estas herramientas permiten reiniciarlos, detectar puertos abiertos y ejecutar aplicaciones instaladas en los equipos.
  Client-P2P	Clientes de red P2P	Permiten trabajar en redes punto a punto. Pueden utilizarlos intrusos para distribuir software malware.
  Client-SMTP	Clientes SMTP	Envían mensajes de correo electrónico sin el conocimiento del usuario. Los intrusos los implantan en el equipo del usuario para enviar correo no deseado en nombre del usuario.
  WebToolbar	Barras de herramientas web	Agregan barras de herramientas a las interfaces de otras aplicaciones para usar motores de búsqueda.
  FraudTool	Pseudoprogramas	Se hacen pasar por otros programas. Por ejemplo, existen pseudoprogramas antivirus que muestran mensajes acerca de la detección de software malware Sin embargo, en realidad no encuentran ni desinfectan nada.

   

• Software legítimo que los intrusos pueden usar para dañar su equipo o sus datos personales

  Subcategoría: software legal que los delincuentes pueden usar para dañar el equipo o sus datos personales

  Nivel de peligrosidad: medio

  La mayor parte de estas aplicaciones son útiles, por lo que muchos usuarios las ejecutan. Estas aplicaciones incluyen clientes IRC, marcadores automáticos, programas de descarga de archivos, supervisores de actividad del sistema del equipo, utilidades de contraseña y servidores de Internet para FTP, HTTP y Telnet.

  Sin embargo, si los intrusos obtienen acceso a estos programas, o si los plantan en el equipo del usuario, es posible que algunas de las funciones de la aplicación se utilicen para violar la seguridad.

  Estas aplicaciones tienen distintas funciones. En la tabla siguiente, se describen los distintos tipos.

   

  Tipo	Nombre	Descripción
  Client-IRC	Clientes de chat de Internet	Los usuarios instalan estos programas para hablar con gente en Internet Relay Chat. Los intrusos los utilizan para distribuir software malware.
  Dialer	Marcadores automáticos	Pueden establecer conexiones telefónicas a través de un módem en modo oculto.
  Downloader	Programas para realizar descargas	Pueden descargar archivos de páginas web en modo oculto.
  Monitor	Programas para supervisar	Permiten supervisar la actividad en el equipo en el que están instalados (ver qué aplicaciones están activas y cómo intercambian datos con aplicaciones instaladas en otros equipos).
  PSWTool	Restauradores de contraseñas	Permiten visualizar y restaurar contraseñas olvidadas. Los intrusos los implantan en secreto en los equipos de los usuarios con el mismo propósito.
  RemoteAdmin	Programas de administración remota	Su uso está muy extendido entre los administradores de sistemas. Estos programas permiten obtener acceso a la interfaz de un equipo remoto para supervisarlo y administrarlo. Los intrusos los implantan en secreto en los equipos de los usuarios con el mismo propósito: supervisar y administrar equipos remotos. Los programas legales de administración remota difieren de los troyanos de tipo Puerta trasera de administración remota. Los troyanos tienen la capacidad de penetrar en el sistema operativo por su cuenta e instalarse, mientras que los programas legales no pueden hacerlo.
  Server-FTP	Servidores FTP	Funcionan como servidores FTP. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de FTP.
  Server-Proxy	Servidores proxy	Funcionan como servidores proxy. Los intrusos los implantan en el equipo del usuario para enviar correo no deseado en nombre del usuario.
  Server-Telnet	Servidores Telnet	Funcionan como servidores Telnet. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de Telnet.
  Server-Web	Servidores web	Funcionan como servidores web. Los intrusos los implantan en el equipo del usuario para abrir un acceso remoto a él a través de HTTP.
  RiskTool	Herramientas para trabajar en un equipo local	Proporcionan al usuario opciones adicionales cuando trabajan en su propio equipo. Las herramientas permiten al usuario ocultar archivos o ventanas de aplicaciones activas y terminar procesos activos.
  NetTool	Herramientas de red	Proporcionan al usuario opciones adicionales cuando trabajan con otros equipos de la red. Estas herramientas permiten reiniciarlos, detectar puertos abiertos y ejecutar aplicaciones instaladas en los equipos.
  Client-P2P	Clientes de red P2P	Permiten trabajar en redes punto a punto. Pueden utilizarlos intrusos para distribuir software malware.
  Client-SMTP	Clientes SMTP	Envían mensajes de correo electrónico sin el conocimiento del usuario. Los intrusos los implantan en el equipo del usuario para enviar correo no deseado en nombre del usuario.
  WebToolbar	Barras de herramientas web	Agregan barras de herramientas a las interfaces de otras aplicaciones para usar motores de búsqueda.
  FraudTool	Pseudoprogramas	Se hacen pasar por otros programas. Por ejemplo, existen pseudoprogramas antivirus que muestran mensajes acerca de la detección de software malware Sin embargo, en realidad no encuentran ni desinfectan nada.

   

• Objetos comprimidos cuya compresión pueda usarse para proteger un código malicioso

  Kaspersky Endpoint Security analiza objetos comprimidos y el módulo descompresor dentro de los archivos de almacenamiento SFX (de autoextracción).

  Para ocultar los programas peligrosos de las aplicaciones antivirus, los intrusos los comprimen mediante compresores especiales o crean archivos de empaquetado múltiple.

  Los analistas de virus de Kaspersky han identificado los compresores más utilizados por los piratas.

  Cuando Kaspersky Endpoint Security detecta uno de estos compresores en un archivo, puede darse casi por seguro que el archivo contiene una aplicación malintencionada o una aplicación que los delincuentes pueden utilizar para dañar el equipo o los datos del usuario.

  Kaspersky Endpoint Security distingue los siguientes tipos de programas:

  • Archivos comprimidos potencialmente peligrosos: se usan para comprimir software malware, como virus, gusanos y troyanos.
  • Archivos de empaquetado múltiple (nivel de amenaza medio): el objeto se comprimió tres veces con un compresor o varios.
• Ejecutables comprimidos con más de un empaquetador

  Kaspersky Endpoint Security analiza objetos comprimidos y el módulo descompresor dentro de los archivos de almacenamiento SFX (de autoextracción).

  Para ocultar los programas peligrosos de las aplicaciones antivirus, los intrusos los comprimen mediante compresores especiales o crean archivos de empaquetado múltiple.

  Los analistas de virus de Kaspersky han identificado los compresores más utilizados por los piratas.

  Cuando Kaspersky Endpoint Security detecta uno de estos compresores en un archivo, puede darse casi por seguro que el archivo contiene una aplicación malintencionada o una aplicación que los delincuentes pueden utilizar para dañar el equipo o los datos del usuario.

  Kaspersky Endpoint Security distingue los siguientes tipos de programas:

  • Archivos comprimidos potencialmente peligrosos: se usan para comprimir software malware, como virus, gusanos y troyanos.
  • Archivos de empaquetado múltiple (nivel de amenaza medio): el objeto se comprimió tres veces con un compresor o varios.

Exclusiones

Esta tabla contiene información acerca de las exclusiones de análisis.

Para excluir objetos de los análisis, puede usar los siguientes métodos:

• Especifique la ruta al archivo o a la carpeta.
• Especifique el hash del objeto.
• Usar máscaras:
  • El carácter * (asterisco) puede usarse para representar cualquier cantidad de caracteres. Los únicos símbolos que no puede representar son las dos barras (\ y /), que se utilizan para delimitar los nombres de los archivos y de las carpetas en las rutas de acceso. Por ejemplo, la máscara C:\*\*.txt incluirá todas las rutas a archivos con la extensión TXT localizada en carpetas en el disco C:, pero no en las subcarpetas.
  • Dos caracteres * consecutivos toman el lugar de cualquier conjunto de caracteres (incluido un conjunto vacío) en el nombre del archivo o la carpeta, incluidos los caracteres \ y / (delimitadores de los nombres de archivos y carpetas en rutas a archivos y carpetas). Por ejemplo, la máscara C:\Carpeta\**\*.txt incluirá todas las rutas a archivos con la extensión TXT ubicados en carpetas dentro de la Carpeta, excepto la Carpeta misma. La máscara debe incluir al menos un nivel de anidación. La máscara C:\**\*.txt no es válida.
  • El carácter ? (signo de interrogación) puede usarse para representar casi cualquier carácter individual; se excluyen únicamente las barras (\ y /), que se utilizan en las rutas de acceso para delimitar los nombres de los archivos y las carpetas. Por ejemplo, la máscara C:\Carpeta\???.txt incluirá las rutas a todos los archivos de la carpeta llamada Carpeta que tengan la extensión TXT y cuyo nombre sea de tres caracteres.

    Puede usar máscaras en cualquier parte de la ruta de acceso a una carpeta o un archivo. Por ejemplo, si desea que el alcance del análisis incluya la carpeta Descargas para todas las cuentas de usuario del equipo, escriba la máscara C:\Usuarios\*\Descargas\.

    Kaspersky Endpoint Security admite variables de entorno

    Kaspersky Endpoint Security no admite la variable de entorno %userprofile% al generar una lista de exclusiones en la consola de Kaspersky Security Center. Para aplicar la entrada a todas las cuentas de usuario, puede utilizar el carácter * (por ejemplo, C:\Usuarios\*\Documentos\Archivo.exe). Siempre que se agregue una variable de entorno nueva, se deberá reiniciar la aplicación.

• Escriba el nombre que se le da al tipo de objeto en la clasificación de la Enciclopedia de Kaspersky (por ejemplo, Email-Worm, Rootkit o RemoteAdmin). Puede usar máscaras con el carácter ? (reemplaza cualquier carácter individual) y el carácter * (reemplaza cualquier número de caracteres). Por ejemplo, si se especifica la máscara Cliente*, la aplicación excluye los objetos Client-IRC, Client-P2P y Client-SMTP de los análisis.

Kaspersky Endpoint Security oculta la lista de exclusiones de análisis locales en la interfaz de usuario de la aplicación si el administrador bloquea la configuración de las exclusiones de análisis en la consola (símbolo de "candado cerrado") y las exclusiones de análisis locales están prohibidas (la casilla Permitir el uso de exclusiones locales está desactivada).

Aplicaciones de confianza

En esta tabla, se enumeran las aplicaciones de confianza cuya actividad no supervisa Kaspersky Endpoint Security durante su funcionamiento.

Kaspersky Endpoint Security admite variables de entorno y los caracteres * y ? al ingresar una máscara.

Kaspersky Endpoint Security no admite la variable de entorno %userprofile% al generar una lista de aplicaciones de confianza en la consola de Kaspersky Security Center. Para aplicar la entrada a todas las cuentas de usuario, puede utilizar el carácter * (por ejemplo, C:\Usuarios\*\Documentos\Archivo.exe). Siempre que se agregue una variable de entorno nueva, se deberá reiniciar la aplicación.

El componente Control de aplicaciones regula el inicio de cada una de las aplicaciones sin tener en cuenta si la aplicación se incluye en la tabla de aplicaciones de confianza.

Kaspersky Endpoint Security oculta la lista consolidada de aplicaciones de confianza en la interfaz de usuario de la aplicación si el administrador bloquea la configuración de las aplicaciones de confianza en la consola (símbolo de "candado cerrado") y las aplicaciones de confianza locales están prohibidas (la casilla Permitir el uso de aplicaciones de confianza locales está desactivada).

Combinar valores al heredar

(disponible solo en la Consola de Kaspersky Security Center)

Esto fusiona la lista de exclusiones de análisis y aplicaciones de confianza en las directivas principales y secundarias de Kaspersky Security Center. Para fusionar listas, la directiva secundaria debe configurarse para heredar la configuración de la directiva principal de Kaspersky Security Center.

Si la casilla está seleccionada, los elementos de la lista de la directiva principal de Kaspersky Security Center se mostrarán en las directivas secundarias. Así puede, por ejemplo, crear una lista consolidada de aplicaciones de confianza para toda la organización.

Los elementos de lista heredados de una directiva secundaria no se pueden eliminar ni editar. Los elementos de la lista de exclusiones de análisis y la lista de aplicaciones de confianza que se fusionan durante la herencia se pueden eliminar y editar solo en la directiva principal. Si lo necesita, podrá agregar, editar y eliminar elementos de la lista en directivas de menor jerarquía.

Si los elementos de las listas de la directiva principal y secundaria coinciden, estos elementos se muestran como el mismo elemento de la directiva principal.

Si esta casilla no está seleccionada, los elementos de las listas no se fusionarán cuando una directiva de Kaspersky Security Center herede la configuración de otra.

Permitir el uso de exclusiones locales/Permitir el uso de aplicaciones de confianza locales

(disponible solo en la Consola de Kaspersky Security Center)

Exclusiones locales y aplicaciones de confianza locales (zona de confianza local): lista definida por el usuario de objetos y aplicaciones en Kaspersky Endpoint Security para un equipo específico. Kaspersky Endpoint Security no supervisa objetos y aplicaciones de la zona de confianza local. De esta forma, los usuarios pueden crear sus propias listas locales de exclusiones y aplicaciones de confianza además de la zona de confianza general en una directiva.

Si la casilla está seleccionada, un usuario puede crear una lista local de exclusiones de análisis y una lista local de aplicaciones de confianza. Un administrador puede usar Kaspersky Security Center para ver, agregar, editar o eliminar elementos de la lista en las propiedades del equipo.

Si la casilla no está seleccionada, un usuario puede acceder solo a las listas generales de exclusiones de análisis y aplicaciones de confianza generadas en la directiva.

Telemetría EDR

(disponible solo en la Consola de Kaspersky Security Center)

Esta tabla contiene información acerca de las exclusiones de telemetría EDR.

Almacén de confianza de certificados del sistema

Si se selecciona uno de los almacenes de certificados de sistema de confianza, Kaspersky Endpoint Security excluye de los análisis las aplicaciones firmadas con una firma digital de confianza. Kaspersky Endpoint Security asigna automáticamente dichas aplicaciones al grupo De confianza.

Si se selecciona No usar, Kaspersky Endpoint Security analiza las aplicaciones independientemente de si tienen o no una firma digital. Para definir el grupo de confianza de una aplicación, Kaspersky Endpoint Security tiene en cuenta lo peligrosa que puede resultar para el equipo.