Typy wykrywanych obiektów
|
Bez względu na skonfigurowane ustawienia aplikacji, Kaspersky Endpoint Security zawsze wykrywa i blokuje wirusy, robaki i trojany. Mogą one wyrządzić znaczne szkody w komputerze.
- Wirusy i robaki
Podkategoria: wirusy i robaki (wirusy_i_robaki)
Poziom zagrożenia: wysoki
Klasyczne wirusy i robaki wykonują akcje nieautoryzowane przez użytkownika. Mogą one tworzyć swoje kopie, które także są zdolne do powielania się.
Klasyczny wirus
Po przeniknięciu klasycznego wirusa do komputera, infekuje on plik, aktywuje się w nim, wykonuje szkodliwe działania i dodaje swoje kopie do innych plików.
Klasyczny wirus rozprzestrzenia się jedynie na zasobach lokalnych komputera; nie może sam przedostać się na inne komputery. Przedostanie się takiego wirusa na inny komputer jest możliwe, jeśli doda on swoją kopię do pliku przechowywanego w folderze współdzielonym lub na nośniku CD, albo gdy użytkownik wyśle wiadomość z zainfekowanym załącznikiem.
Kod klasycznego wirusa może przedostać się do różnych obszarów komputerów, systemów operacyjnych lub aplikacji. W zależności od środowiska wirusy dzieli się na wirusy plikowe, wirusy sektora startowego, wirusy skryptowe oraz makrowirusy.
Wirusy mogą infekować pliki, korzystając z szerokiej gamy technik. Wirusy nadpisujące zapisują swój kod na kodzie zainfekowanego pliku, wymazując jego zawartość. Zainfekowany plik przestaje poprawnie działać oraz nie ma możliwości jego przywrócenia. Wirusy pasożyty modyfikują pliki, zezwalając na ich pełne lub częściowe działanie. Wirusy towarzysze nie modyfikują plików, lecz tworzą ich kopie. Kiedy otwarty zostanie zainfekowany plik, uruchomiona zostanie jego kopia (czyli wirus). Można wyróżnić również następujące typy wirusów: wirusy-odsyłacze, wirusy plików OBJ, wirusy bibliotek LIB, wirusy infekujące kody źródłowe oraz wiele innych.
Robak
Podobnie jak w przypadku klasycznego wirusa, kod robaka zostaje aktywowany i wykonuje on szkodliwe działania po przeniknięciu do komputera. Robaki noszą taką nazwę z powodu swojej zdolności do "przepełzania" z jednego komputera na inny i rozprzestrzeniania swoich kopii za pośrednictwem wielu kanałów danych bez wiedzy użytkownika.
Główną cechą, która umożliwia rozróżnianie typów robaków, jest ich sposób rozprzestrzeniania się. Następująca tabela zawiera przegląd różnych typów robaków, klasyfikowanych zgodnie ze sposobem rozprzestrzeniania się.
Sposoby rozprzestrzeniania się robaka
Typ
|
Nazwa
|
Opis
|
Email-Worm
|
Email-Worm
|
Rozprzestrzeniają się poprzez pocztę elektroniczną.
Zainfekowana wiadomość zawiera załączony plik z kopią robaka lub odnośnik do pliku znajdującego się na stronie internetowej, która może być albo przechwycona przez hakerów, albo stworzona specjalnie w tym celu. Jeśli otworzysz zainfekowany plik, robak zostanie aktywowany. Po kliknięciu odsyłacza, pobraniu i otwarciu pliku, robak również rozpoczyna swoją szkodliwą działalność. Następnie zaczyna rozprzestrzeniać swoje kopie, wyszukując kolejne adresy e-mail i wysyłając na nie zainfekowane wiadomości.
|
IM-Worm
|
Robaki klientów komunikatorów internetowych
|
Rozprzestrzeniają się poprzez klienty komunikatorów internetowych.
Z reguły robaki te za pośrednictwem listy kontaktów użytkownika wysyłają wiadomości zawierające odnośnik do pliku ze swoją kopią. Po pobraniu i otwarciu takiego pliku przez użytkownika, robak jest aktywowany.
|
IRC-Worm
|
Robaki czatu internetowego
|
Rozprzestrzeniają się za pośrednictwem kanału IRC (Internet Relay Chats) – czyli usługi sieciowej pozwalającej na komunikowanie się w internecie w czasie rzeczywistym.
Robaki te publikują w czacie internetowym pliki zawierające ich kopie lub odnośniki do pliku. Po pobraniu i otwarciu takiego pliku przez użytkownika, robak jest aktywowany.
|
Net-Worm
|
Robaki sieciowe
|
Rozprzestrzeniają się one w sieciach komputerowych.
W przeciwieństwie do innych rodzajów robaków, typowy robak sieciowy rozprzestrzenia się bez udziału użytkownika. Skanuje on sieć lokalną w poszukiwaniu komputerów z programami zawierającymi luki. W tym celu wysyła on specjalny pakiet sieciowy (exploit) zawierający kod robaka lub część kodu. Jeśli komputer posiadający luki znajduje się w sieci, otrzyma taki pakiet sieciowy. Po przeprowadzeniu pełnej penetracji komputera, jest on aktywowany.
|
P2P-Worm
|
Robaki sieci wymiany plików
|
Rozprzestrzeniają się one w sieciach peer-to-peer.
Aby dostać się do sieci P2P, robak kopiuje się do foldera wymiany plików, który zazwyczaj znajduje się na komputerze użytkownika. Sieć P2P wyświetli informacje o tym pliku, aby użytkownik "znalazł" zainfekowany plik w sieci, pobrał go i otworzył.
Bardziej zaawansowane robaki emulują protokół sieciowy konkretnej sieci P2P: wyświetlają pozytywne wyniki wyszukiwanego obiektu i proponują pobranie swoich własnych kopii.
|
Robak
|
Inne rodzaje robaków
|
Inne rodzaje robaków obejmują:
- Robaki rozprzestrzeniające swoje kopie w zasobach sieciowych. Przy użyciu funkcji systemu operacyjnego skanują dostępne foldery sieciowe, łączą się z komputerami w Internecie i próbują uzyskać pełen dostęp do ich dysków. W przeciwieństwie do opisanych wyżej robaków, inne typy robaków nie aktywują się automatycznie, lecz w momencie, gdy użytkownik otworzy plik zawierający kopię robaka.
- Robaki, które nie rozprzestrzeniają się w żaden z powyższych sposobów (na przykład te robaki, które rozprzestrzeniają się poprzez telefony komórkowe).
|
- Trojany (w tym oprogramowanie typu ransomware)
Podkategoria: Trojany
Poziom zagrożenia: wysoki
W przeciwieństwie do wirusów i robaków, trojany nie tworzą swoich kopii. Przenikają one do komputera, na przykład, za pośrednictwem wiadomości e-mail lub przeglądarki internetowej po otwarciu zainfekowanej strony. Trojany uruchamiają się przy udziale użytkownika. Zaczynają wykonywać szkodliwe działania zaraz po uruchomieniu.
Różne programy typu trojan zachowują się odmiennie na zainfekowanych komputerach. Głównym zadaniem trojanów jest blokowanie, modyfikowanie lub niszczenie informacji, wyłączanie komputera lub sieci. Poza tym, trojany otrzymują lub wysyłają pliki, uruchamiają je, wyświetlają wiadomości na ekranie, pobierają i instalują aplikacje, uruchamiają ponownie komputer oraz żądają połączenia ze stroną internetową.
Hakerzy często używają "zestawów" trojanów.
Typowe zachowanie trojanów opisane jest w poniższej tabeli.
Typy zachowań trojanów na zainfekowanym komputerze
Typ
|
Nazwa
|
Opis
|
Trojan-ArcBomb
|
Trojany – "archiwa-bomby"
|
Archiwa, które po rozpakowaniu zwiększają swój rozmiar, co zakłóca działanie komputera.
Podczas próby rozpakowania takiego archiwum komputer może spowolnić swoje działanie lub całkowicie się zawiesić, a dysk twardy może zostać wypełniony "pustymi" danymi. Archiwa-bomby są szczególnie niebezpieczne dla serwerów poczty i plików. Jeśli serwer korzysta z automatycznego systemu przetwarzania informacji przychodzących, archiwum-bomba może zatrzymać jego działanie.
|
Backdoor
|
Trojany do zdalnej administracji
|
Uważa się, że jest to najbardziej niebezpieczny rodzaj trojanów. Dzięki swoim funkcjom są one podobne do programów służących do zdalnej administracji aplikacji zainstalowanych na komputerach.
Trojany instalują się na komputerze bez wiedzy użytkownika i pozwalają hakerowi na jego zdalne zarządzanie.
|
Trojan
|
Trojany
|
Do trojanów zaliczają się następujące szkodliwe aplikacji:
- Klasyczne trojany. Wykonują tylko podstawowe funkcje charakterystyczne dla trojanów: blokują, modyfikują lub niszczą informacje, wyłączają komputery lub sieci. W odróżnieniu od trojanów opisanych w tabeli, nie charakteryzują się żadnymi zaawansowanymi funkcjami.
- Wszechstronne trojany. Posiadają zaawansowane funkcje typowe dla kilku rodzajów trojanów.
|
Trojan-Ransom
|
Trojany przeznaczone do wyłudzania pieniędzy
|
Jako "zakładników" biorą one informacje użytkownika, modyfikują lub blokują je, albo tak wpływają na działanie komputera, że użytkownik nie może korzystać z informacji. Cyberprzestępca żąda okupu od użytkownika, obiecując, że wyśle aplikację, która przywróci działanie komputera oraz przechowywane na nim dane.
|
Trojan-Clicker
|
Trojany klikające
|
Łączą się one ze stronami internetowymi albo przez wysłanie polecenia do przeglądarki albo przez zmianę adresów stron znajdujących się w plikach systemowych.
Przy użyciu tych programów hakerzy przeprowadzają ataki sieciowe i zwiększają ranking stron internetowych celem zwiększenia liczby wyświetlania banerów reklamowych.
|
Trojan-Downloader
|
Trojany pobierające
|
Uzyskują dostęp do strony internetowej cyberprzestępcy, pobierają z niej szkodliwe aplikacje i instalują je na komputerze użytkownika. Mogą zawierać nazwę pliku szkodliwej aplikacji do pobrania lub uzyskać ją z otwartej strony internetowej.
|
Trojan-Dropper
|
Trojany droppery
|
Zawierają inne trojany, które instalują na dysku twardym.
Hakerzy mogą użyć tego typu trojanów do następujących celów:
- Zainstalowania szkodliwej aplikacji bez wiedzy użytkownika: Trojan-Dropper to typ programów, które nie wyświetlają żadnych wiadomości lub wyświetlają fałszywe komunikaty informujące, na przykład, o błędzie w archiwum lub niekompatybilnej wersji systemu operacyjnego.
- Ochrony innych znanych szkodliwych aplikacji przed wykryciem przez ochronę komputera: nie wszystkie programy antywirusowe są w stanie wykryć szkodliwą aplikację wewnątrz aplikacji Trojan-Dropper.
|
Trojan-Notifier
|
Trojany powiadamiające
|
Informują hakera o możliwości dostępu do zainfekowanego komputera, wysyłając do niego informacje o tym komputerze: adres IP, numer otwartego portu lub adres e-mail. Komunikują się z hakerem, na przykład, za pośrednictwem wiadomości e-mail, serwera FTP lub jego strony internetowej.
Trojany typu Notifier często są wykorzystywane w zestawach złożonych z kilku trojanów. Powiadamiają one hakera, że inne trojany zostały pomyślnie zainstalowane na komputerze użytkownika.
|
Trojan-Proxy
|
Trojany proxy
|
Umożliwiają one hakerowi uzyskanie anonimowego dostępu do stron internetowych przy użyciu komputera użytkownika i są często używane do wysyłania spamu.
|
Trojan-PSW
|
Oprogramowanie kradnące hasła
|
Oprogramowanie kradnące hasła to rodzaj trojanów kradnących konta użytkownika, na przykład dane rejestracyjne oprogramowania. Takie trojany odnajdują w plikach systemowych i rejestrze poufne dane, a następnie wysyłają je do atakującego, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
Niektóre z tych trojanów podzielone są na kategorie oddzielnych typów opisanych w tej tabeli. Należą do nich Trojany kradnące konta bankowe (Trojan-Banker), trojany kradnące informacje od użytkowników komunikatorów internetowych (Trojan-IM) oraz trojany kradnące informacje od graczy online (Trojan-GameThief).
|
Trojan-Spy
|
Trojany szpiegujące
|
Szpiegują one użytkownika, zbierając informacje o jego działaniach podczas pracy na komputerze. Mogą przechwytywać dane wprowadzane przez użytkownika przy użyciu klawiatury, tworzyć zrzuty ekranu lub tworzyć listę aktywnych aplikacji. Po zebraniu informacji, wysyłają je do hakera, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
|
Trojan-DDoS
|
Ataki sieciowe
|
Wysyłają one liczne żądania z komputera użytkownika na serwer zdalny. Serwer nie ma wystarczającej ilości zasobów do przetworzenia wszystkich żądań, w rezultacie przestaje działać (Denial-of-Service lub DoS). Hakerzy często infekują wiele komputerów dzięki takim programom, przez co mogą wykorzystać te komputery do jednoczesnego ataku na pojedynczy serwer.
Programy DoS przeprowadzają atak z jednego komputera za wiedzą użytkownika. Programy DDoS (Distributed DoS) przeprowadzają rozproszone ataki z różnych komputerów bez wiedzy użytkownika zainfekowanego komputera.
|
Trojan-IM
|
Trojany kradnące informacje od użytkowników komunikatorów internetowych
|
Kradną numery kont i hasła użytkowników klientów komunikatorów internetowych. Przesyłają dane hakerowi, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
|
Rootkit
|
Rootkity
|
Ukrywają inne szkodliwe aplikacje i ich aktywność, przedłużając ich obecność w systemie. Mogą również ukrywać pliki i procesy w pamięci zainfekowanego komputera lub kluczach rejestru. Rootkity mogą ukrywać wymianę danych pomiędzy aplikacjami znajdującymi się na komputerze użytkownika i innymi komputerami podłączonymi do sieci.
|
Trojan-SMS
|
Trojany wysyłające wiadomości SMS
|
Infekują one telefony komórkowe, wysyłając wiadomości SMS na numery o podwyższonej opłacie.
|
Trojan-GameThief
|
Trojany kradnące informacje od osób grających w sieci
|
Kradną dane uwierzytelniające kont osób grających w sieci, po czym wysyłają je hakerowi za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
|
Trojan-Banker
|
Trojany kradnące konta bankowe
|
Kradną dane konta bankowego lub dane systemu płatności elektronicznych, po czym wysyłają je cyberprzestępcy za pośrednictwem poczty elektronicznej, serwera FTP, jego strony internetowej lub przy użyciu innych metod.
|
Trojan-Mailfinder
|
Trojany zbierające adresy e-mail
|
Zbierają one adresy e-mail przechowywane na komputerze i wysyłają je hakerowi, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej. Na zebrane adresy hakerzy mogą wysyłać spam.
|
- Szkodliwe narzędzia
Podkategoria: Szkodliwe narzędzia
Poziom zagrożenia: średni
W odróżnieniu od innych typów szkodliwego oprogramowania, szkodliwe narzędzia nie wykonują swoich akcji zaraz po uruchomieniu. Mogą być bezpiecznie przechowywane i uruchamiane na komputerze użytkownika. Hakerzy często używają funkcji tych programów do tworzenia wirusów, robaków i trojanów oraz do przeprowadzania ataków sieciowych na serwery zdalne, łamania zabezpieczeń komputerów lub wykonywania innych szkodliwych działań.
Różne funkcje szkodliwych narzędzi pogrupowane są według typów opisanych w poniższej tabeli.
Funkcje szkodliwych narzędzi
Typ
|
Nazwa
|
Opis
|
Konstruktor
|
Konstruktory
|
Umożliwiają utworzenie nowych wirusów, robaków i trojanów. Niektóre konstruktory posiadają standardowy interfejs oparty na oknach, w którym użytkownik może wybrać typ szkodliwej aplikacji, jaki chce stworzyć, sposób przeciwdziałania debuggerom oraz inne funkcje.
|
Dos
|
Ataki sieciowe
|
Wysyłają one liczne żądania z komputera użytkownika na serwer zdalny. Serwer nie ma wystarczającej ilości zasobów do przetworzenia wszystkich żądań, w rezultacie przestaje działać (Denial-of-Service lub DoS).
|
Exploit
|
Exploity
|
Exploit jest zestawem danych lub kodem programu używającym luki aplikacji, w której jest przetwarzany, do wykonania szkodliwych działań na komputerze. Na przykład, exploit może odczytywać lub zapisywać pliki lub uzyskiwać dostęp do "zainfekowanych" stron internetowych.
Różne exploity używają luk w różnych aplikacjach lub usługach sieciowych. Wyglądający jak pakiet sieciowy exploit wysyłany jest przez sieć w poszukiwaniu takich komputerów, których usługi sieciowe posiadają luki. Exploit w pliku DOC używa luk występujących w edytorach tekstu. Po otwarciu przez użytkownika zainfekowanego pliku, może on zacząć wykonywać zaprogramowane przez hakera działania. Exploit osadzony w wiadomości elektronicznej wyszukuje luki w dowolnym kliencie pocztowym. Po otwarciu przez użytkownika zainfekowanego pliku w tym programie pocztowym, wykonuje on szkodliwe działanie.
Robaki Net-Worms rozprzestrzeniają się w sieci przy pomocy exploitów. Exploity Nuker są pakietami sieciowymi wyłączającymi komputery.
|
FileCryptor
|
Narzędzia szyfrujące
|
Szyfrują one inne szkodliwe aplikacje, aby ukryć je przed programem antywirusowym.
|
Flooder
|
Programy "zaśmiecające" sieci
|
Wysyłają one wiele wiadomości przez kanały sieciowe. Do tego typu narzędzi należy, na przykład, program zaśmiecający Internet Relay Chats (IRC).
Wśród narzędzi typu Flooder nie ma programów "zaśmiecających" kanały używane przez programy pocztowe, komunikatory internetowe i systemy komunikacji mobilnej. Programy te wyróżnione są jako oddzielne typy opisane w tej tabeli (Email-Flooder, IM-Flooder oraz SMS-Flooder).
|
HackTool
|
Narzędzia hakerskie
|
Pozwalają na złamanie zabezpieczeń komputera, na którym są zainstalowane, lub na zaatakowanie innego komputera (na przykład, dodając nowe konta systemowe bez wiedzy użytkownika lub wymazując logi systemowe, aby ukryć ślady obecności w systemie operacyjnym). Ten typ narzędzi zawiera sniffery posiadające szkodliwe funkcje, jak choćby przechwytywanie haseł. Sniffery to programy umożliwiające przeglądanie ruchu sieciowego.
|
Hoax
|
Żarty (Hoaxes)
|
Alarmują użytkownika przy użyciu wiadomości podobnej do tej, która używana jest w przypadku wykrycia wirusa: mogą "wykryć wirusa" w nienaruszonym pliku lub powiadomić o formatowaniu dysku, które w rzeczywistości nie ma miejsca.
|
Spoofer
|
Narzędzia służące do spoofingu
|
Wysyłają wiadomości i żądania sieciowe z fałszywym adresem nadawcy. Hakerzy używają narzędzi do spoofingu, na przykład, aby móc podać się za prawdziwych nadawców wiadomości.
|
VirTool
|
Narzędzia do modyfikowania szkodliwych aplikacji
|
Umożliwiają modyfikowanie innego szkodliwego oprogramowania w celu ukrycia go przed aplikacjami antywirusowymi.
|
Email-Flooder
|
Programy "zaśmiecające" adresy e-mail
|
"Zaśmiecają" różne adresy e-mail poprzez wysyłanie na nie licznych wiadomości. Duża liczba wiadomości przychodzących uniemożliwia przejrzenie użytecznych wiadomości znajdujących się w skrzynce odbiorczej.
|
IM-Flooder
|
Programy "zaśmiecające" ruch wiadomościami klientow komunikatorów internetowych
|
Wysyłają niechciane wiadomości do użytkowników klientów komunikatorów. Duża liczba odbieranych wiadomości uniemożliwia przeczytanie użytecznych wiadomości.
|
SMS-Flooder
|
Programy "zaśmiecające" ruch wiadomościami SMS
|
Wysyłają one liczne wiadomości SMS na telefony komórkowe.
|
- Adware
Podkategoria: oprogramowanie reklamujące (Adware);
Poziom zagrożenia: średni
Oprogramowanie Adware wyświetla informacje reklamowe użytkownikowi. Programy adware wyświetlają banery reklamowe w interfejsach innych programów i przekierowują wyszukiwanie na strony reklamowe. Niektóre z nich zbierają informacje marketingowe o użytkowniku i wysyłają je do programisty. Do gromadzonych informacji mogą należeć: nazwy stron odwiedzanych przez użytkownika lub wyszukiwana przez niego treść. W odróżnieniu od programów typu Trojan-Spy, programy adware przesyłają te informacje do twórcy za zgodą użytkownika.
- Auto-dialery
Podkategoria: legalne oprogramowanie, które może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych.
Poziom zagrożenia: średni
Wiele z tych programów to nieszkodliwe oprogramowanie, z którego korzysta wielu użytkowników. Do tych programów zaliczają się: klienty IRC, auto-dialery, programy pobierające pliki, monitory aktywności systemu komputerowego, narzędzia do haseł, serwery usług FTP, HTTP i Telnet.
Jednakże, jeśli haker uzyska dostęp do tego typu programów lub jeśli zainstaluje te programy na komputerze użytkownika, to niektóre z ich funkcji mogą zostać użyte do naruszenia ochrony.
Aplikacje te mają różne funkcje; ich typy zostały opisane w poniższej tabeli.
Typ
|
Nazwa
|
Opis
|
Client-IRC
|
Klienty czatów internetowych
|
Użytkownicy instalują programy tego typu, aby móc rozmawiać z innymi w czasie rzeczywistym. Hakerzy używają ich do rozsyłania szkodliwych programów.
|
Dialer
|
Auto-dialery
|
Mogą nawiązywać połączenie telefoniczne za pośrednictwem modemu w trybie ukrycia.
|
Downloader
|
Programy do pobierania
|
Mogą pobierać pliki ze stron internetowych w trybie ukrycia.
|
Monitor
|
Programy do monitorowania
|
Umożliwiają monitorowanie aktywności na komputerze, na którym są zainstalowane (sprawdzają, które aplikacje są aktywne i w jaki sposób wymieniają dane z aplikacjami zainstalowanymi na innych komputerach).
|
PSWTool
|
Programy do przywracania haseł
|
Umożliwiają przeglądanie i przywracanie zapomnianych haseł. Hakerzy umieszczają je na komputerze w tym samym celu, w sposób niezauważalny dla użytkownika.
|
RemoteAdmin
|
Programy do zdalnej administracji
|
Są używane przez administratorów systemów. Programy te pozwalają uzyskać dostęp do interfejsu zdalnego komputera w celu jego monitorowania i zarządzania. W tym właśnie celu hakerzy niezauważenie umieszczają je na komputerze użytkownika.
Legalne programy do zdalnej administracji różnią się od trojanów typu backdoor do zdalnej administracji. Trojany potrafią niezależnie spenetrować system i zainstalować się; legalne programy nie potrafią tego.
|
Server-FTP
|
Serwery FTP
|
Działają jak serwery FTP. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu FTP.
|
Server-Proxy
|
Serwery proxy
|
Działają jak serwery proxy. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
|
Server-Telnet
|
Serwery Telnet
|
Działają jak serwery Telnet. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu Telnet.
|
Server-Web
|
Serwery sieciowe
|
Działają jak serwery sieciowe. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu HTTP.
|
RiskTool
|
Narzędzia wykorzystywane do pracy na lokalnym komputerze
|
Umożliwiają one użytkownikowi korzystanie z dodatkowych funkcji podczas jego pracy na komputerze. Narzędzia te pozwalają użytkownikowi ukryć pliki lub okna uruchomionych aplikacji i zakończyć aktywne procesy.
|
NetTool
|
Narzędzia sieciowe
|
Umożliwiają użytkownikowi korzystanie z dodatkowych funkcji podczas pracy z innymi komputerami w sieci. Posiadają one także możliwość ich ponownego uruchomienia, wykrywania otwartych portów oraz uruchamiania aplikacji zainstalowanych na komputerach.
|
Client-P2P
|
Klienty sieciowe P2P
|
Pozwalają pracować w sieciach peer-to-peer. Mogą być wykorzystywane przez hakerów do rozprzestrzeniania szkodliwego oprogramowania.
|
Client-SMTP
|
Klienty SMTP
|
Wysyłają wiadomości e-mail bez wiedzy użytkownika. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
|
WebToolbar
|
Paski narzędzi w przeglądarkach internetowych
|
Dodają one paski narzędzi w interfejsie innych aplikacji umożliwiające korzystanie z wyszukiwarek internetowych.
|
FraudTool
|
Pseudo-programy
|
Podają się za inne programy. Na przykład, istnieją fałszywe programy antywirusowe, które wyświetlają wiadomości o wykryciu szkodliwego oprogramowania. W rzeczywistości nie skanują ani nie leczą niczego.
|
- Wykrywaj pozostałe programy, które mogą zostać wykorzystane przez przestępców do uszkodzenia komputera lub danych prywatnych
Podkategoria: legalne oprogramowanie, które może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych.
Poziom zagrożenia: średni
Wiele z tych programów to nieszkodliwe oprogramowanie, z którego korzysta wielu użytkowników. Do tych programów zaliczają się: klienty IRC, auto-dialery, programy pobierające pliki, monitory aktywności systemu komputerowego, narzędzia do haseł, serwery usług FTP, HTTP i Telnet.
Jednakże, jeśli haker uzyska dostęp do tego typu programów lub jeśli zainstaluje te programy na komputerze użytkownika, to niektóre z ich funkcji mogą zostać użyte do naruszenia ochrony.
Aplikacje te mają różne funkcje; ich typy zostały opisane w poniższej tabeli.
Typ
|
Nazwa
|
Opis
|
Client-IRC
|
Klienty czatów internetowych
|
Użytkownicy instalują programy tego typu, aby móc rozmawiać z innymi w czasie rzeczywistym. Hakerzy używają ich do rozsyłania szkodliwych programów.
|
Dialer
|
Auto-dialery
|
Mogą nawiązywać połączenie telefoniczne za pośrednictwem modemu w trybie ukrycia.
|
Downloader
|
Programy do pobierania
|
Mogą pobierać pliki ze stron internetowych w trybie ukrycia.
|
Monitor
|
Programy do monitorowania
|
Umożliwiają monitorowanie aktywności na komputerze, na którym są zainstalowane (sprawdzają, które aplikacje są aktywne i w jaki sposób wymieniają dane z aplikacjami zainstalowanymi na innych komputerach).
|
PSWTool
|
Programy do przywracania haseł
|
Umożliwiają przeglądanie i przywracanie zapomnianych haseł. Hakerzy umieszczają je na komputerze w tym samym celu, w sposób niezauważalny dla użytkownika.
|
RemoteAdmin
|
Programy do zdalnej administracji
|
Są używane przez administratorów systemów. Programy te pozwalają uzyskać dostęp do interfejsu zdalnego komputera w celu jego monitorowania i zarządzania. W tym właśnie celu hakerzy niezauważenie umieszczają je na komputerze użytkownika.
Legalne programy do zdalnej administracji różnią się od trojanów typu backdoor do zdalnej administracji. Trojany potrafią niezależnie spenetrować system i zainstalować się; legalne programy nie potrafią tego.
|
Server-FTP
|
Serwery FTP
|
Działają jak serwery FTP. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu FTP.
|
Server-Proxy
|
Serwery proxy
|
Działają jak serwery proxy. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
|
Server-Telnet
|
Serwery Telnet
|
Działają jak serwery Telnet. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu Telnet.
|
Server-Web
|
Serwery sieciowe
|
Działają jak serwery sieciowe. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu HTTP.
|
RiskTool
|
Narzędzia wykorzystywane do pracy na lokalnym komputerze
|
Umożliwiają one użytkownikowi korzystanie z dodatkowych funkcji podczas jego pracy na komputerze. Narzędzia te pozwalają użytkownikowi ukryć pliki lub okna uruchomionych aplikacji i zakończyć aktywne procesy.
|
NetTool
|
Narzędzia sieciowe
|
Umożliwiają użytkownikowi korzystanie z dodatkowych funkcji podczas pracy z innymi komputerami w sieci. Posiadają one także możliwość ich ponownego uruchomienia, wykrywania otwartych portów oraz uruchamiania aplikacji zainstalowanych na komputerach.
|
Client-P2P
|
Klienty sieciowe P2P
|
Pozwalają pracować w sieciach peer-to-peer. Mogą być wykorzystywane przez hakerów do rozprzestrzeniania szkodliwego oprogramowania.
|
Client-SMTP
|
Klienty SMTP
|
Wysyłają wiadomości e-mail bez wiedzy użytkownika. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
|
WebToolbar
|
Paski narzędzi w przeglądarkach internetowych
|
Dodają one paski narzędzi w interfejsie innych aplikacji umożliwiające korzystanie z wyszukiwarek internetowych.
|
FraudTool
|
Pseudo-programy
|
Podają się za inne programy. Na przykład, istnieją fałszywe programy antywirusowe, które wyświetlają wiadomości o wykryciu szkodliwego oprogramowania. W rzeczywistości nie skanują ani nie leczą niczego.
|
- Obiekty spakowane, których archiwizacja może być używana do ochrony szkodliwego kodu
Kaspersky Endpoint Security skanuje skompresowane obiekty i moduł wypakowujący znajdujące się w archiwach SFX (samorozpakowujących się).
Aby ukryć szkodliwe programy przed antywirusami, hakerzy archiwizują je przy pomocy dedykowanych narzędzi pakujących lub tworzą wielokrotnie spakowane obiekty.
Analitycy wirusów Kaspersky zidentyfikowali narzędzia pakujące najpopularniejsze wśród hakerów.
Jeśli Kaspersky Endpoint Security wykryje jeden z tych pakerów w pliku, plik ten najprawdopodobniej zawiera szkodliwą aplikację lub aplikację, która może zostać użyta przez cyberprzestępców do uszkodzenia komputera lub danych osobistych.
Kaspersky Endpoint Security wyróżnia następujące typy programów:
- Spakowane pliki, które mogą wyrządzić szkody – wykorzystywane do pakowania szkodliwego oprogramowania, takiego jak wirusy, robaki i trojany.
- Pliki wielokrotnie spakowane (średni poziom zagrożenia) – obiekt został spakowany trzy razy przez jedno lub więcej narzędzi pakujących.
- Obiekty spakowane wielokrotnie
Kaspersky Endpoint Security skanuje skompresowane obiekty i moduł wypakowujący znajdujące się w archiwach SFX (samorozpakowujących się).
Aby ukryć szkodliwe programy przed antywirusami, hakerzy archiwizują je przy pomocy dedykowanych narzędzi pakujących lub tworzą wielokrotnie spakowane obiekty.
Analitycy wirusów Kaspersky zidentyfikowali narzędzia pakujące najpopularniejsze wśród hakerów.
Jeśli Kaspersky Endpoint Security wykryje jeden z tych pakerów w pliku, plik ten najprawdopodobniej zawiera szkodliwą aplikację lub aplikację, która może zostać użyta przez cyberprzestępców do uszkodzenia komputera lub danych osobistych.
Kaspersky Endpoint Security wyróżnia następujące typy programów:
- Spakowane pliki, które mogą wyrządzić szkody – wykorzystywane do pakowania szkodliwego oprogramowania, takiego jak wirusy, robaki i trojany.
- Pliki wielokrotnie spakowane (średni poziom zagrożenia) – obiekt został spakowany trzy razy przez jedno lub więcej narzędzi pakujących.
|