Tipi di oggetti rilevati
|
Indipendentemente dalle impostazioni configurate dell'applicazione, Kaspersky Endpoint Security rileva e blocca sempre virus, worm e Trojan. Dal momento che possono danneggiare in modo significativo il computer.
- Virus e worm
Sottocategoria: virus e worm (Viruses_and_Worms)
Livello di pericolosità: alto
I virus e worm classici eseguono azioni non autorizzate dall'utente. Possono creare copie di se stessi in grado di replicarsi.
Virus classici
Dopo essere penetrato nel computer, un virus classico infetta un file, si attiva, esegue azioni dannose e aggiunge copie di se stesso in altri file.
Un virus classico si propaga solo nelle risorse locali del computer; non può penetrare in altri computer autonomamente. Può raggiungere un altro computer solo se aggiunge una copia di se stesso a un file memorizzato in una cartella condivisa o in un CD inserito oppure se l'utente inoltra un messaggio e-mail con un file allegato infetto.
Il codice dei virus classici può penetrare in varie aree dei computer, dei sistemi operativi e delle applicazioni. A seconda dell'ambiente, i virus vengono suddivisi in virus di file, virus di avvio, virus di script e virus macro.
I virus possono infettare i file utilizzando un'ampia varietà di tecniche. I virus di sovrascrittura scrivono il proprio codice sul codice del file infetto, cancellandone il contenuto. Il file infetto smette di funzionare e non può essere ripristinato. I virus parassiti modificano i file, lasciandoli parzialmente o completamente funzionanti. I virus companion non modificano i file, ma creano duplicati. Quando si apre un file infetto, ne viene avviato un duplicato, che di fatto è un virus. Si rilevano inoltre i seguenti tipi di virus: virus collegamento, virus OBJ, virus LIB, virus del codice sorgente e molti altri.
Worm
Come nel caso dei virus classici, il codice di un worm viene attivato ed esegue azioni dannose dopo essere penetrato in un computer. La caratteristica distintiva dei worm è la loro capacità di trasmettersi da un computer all'altro, senza che l'utente ne sia consapevole, inviando copie di se stessi attraverso vari canali.
La principale caratteristica che consente di differenziare i vari tipi di worm è la loro modalità di propagazione. Nella seguente tabella viene fornita una panoramica dei diversi tipi di worm, classificati in base alla modalità di propagazione.
Modalità di propagazione dei worm
Tipo
|
Nome
|
Descrizione
|
Email-Worm
|
Email-Worm
|
Si propagano tramite la posta elettronica.
Un messaggio infetto contiene un file allegato con una copia di un worm oppure un collegamento a un file caricato su un sito Web, che può essere stato violato o creato appositamente a tale scopo. Quando l'utente apre il file allegato, il worm si attiva. Allo stesso modo, facendo clic sul collegamento, scaricando e aprendo il file, il worm inizia a eseguire le azioni dannose per cui è progettato. Il worm continua quindi a diffondere copie di se stesso, cercando altri indirizzi di posta elettronica e inviando messaggi infetti.
|
IM-Worm
|
Worm del client IM
|
Si diffondono attraverso client IM.
In genere, tali worm inviano messaggi che contengono un collegamento a un file con una copia del worm in un sito Web, utilizzando l'elenco di contatti dell'utente. Quando l'utente scarica e apre il file, il worm si attiva.
|
IRC-Worm
|
Worm di chat Internet
|
Penetrano nei computer attraverso le Internet Relay Chat, sistemi utilizzati per comunicare con altre persone in tempo reale via Internet.
Questo tipo di worm pubblica in una chat Internet un file contenente una copia di se stesso o un collegamento a tale file. Quando l'utente scarica e apre il file, il worm si attiva.
|
Net-Worm
|
Worm di rete
|
Questi worm si propagano tramite le reti di computer.
A differenza di altri tipi di worm, questi worm vengono propagati senza la partecipazione dell'utente. I worm di questo tipo cercano nella rete locale i computer che utilizzano programmi con vulnerabilità. A tale scopo, inviano uno pacchetto di rete appositamente predisposto (exploit), che contiene il codice del worm o parte di esso. Se nella rete è presente un computer vulnerabile, questo riceve il pacchetto. Quando è penetrato completamente nel computer, il worm si attiva.
|
P2P-Worm
|
Worm di file sharing
|
Si propagano attraverso le reti peer-to-peer di file sharing.
Per penetrare in una rete peer-to-peer, il worm si replica in una cartella di file sharing, in genere presente nel computer dell'utente. La rete peer-to-peer visualizza informazioni sul file, in modo che gli utenti della rete possano trovare, scaricare e aprire il file infetto come qualsiasi altro file.
I worm più complessi imitano i protocolli di rete di una specifica rete peer-to-peer: offrono risposte positive alle ricerche e propongono copie di se stessi per il download.
|
Worm
|
Altri tipi di worm
|
Gli altri tipi di worm includono:
- Worm che propagano copie di se stessi tramite le risorse di rete. Utilizzando le funzioni del sistema operativo, esplorano le cartelle di rete disponibili, si connettono a computer su Internet e cercano di ottenere un accesso completo alle unità disco. A differenza dei worm descritti in precedenza, alcuni non si attivano autonomamente, ma l'utente deve aprire un file contenente una copia del worm per attivarlo.
- Worm che non utilizzano alcuno dei metodi descritti nella tabella precedente per diffondersi (ad esempio, quelli distribuiti tramite telefoni cellulari).
|
- Trojan (compreso il ransomware)
Sottocategoria: Trojan
Livello di pericolosità: alto
A differenza dei worm e dei virus, i programmi Trojan non replicano se stessi. Possono ad esempio penetrare in un computer tramite la posta elettronica o attraverso un browser, quando l'utente visita una pagina Web infetta. I programmi Trojan vengono avviati dall'utente. Iniziano a eseguire la loro azione dannosa non appena sono eseguiti.
Il comportamento dei diversi programmi Trojan nei computer infetti può variare. La funzione principale di un programma Trojan è bloccare, modificare e cancellare i dati, compromettendo il funzionamento dei computer o delle reti. I programmi Trojan possono inoltre ricevere e inviare file, eseguirli, visualizzare messaggi, accedere a pagine Web, scaricare e installare programmi e riavviare il computer.
Gli hacker spesso utilizzano "set" di vari programmi Trojan.
Nella seguente tabella sono descritti i diversi tipi di comportamento dei programmi Trojan.
Tipi di comportamento dei programmi Trojan in un computer infetto
Tipo
|
Nome
|
Descrizione
|
Trojan-ArcBomb
|
Programmi Trojan – "archivi bomba"
|
Una volta decompressi, questi archivi aumentano di dimensioni al punto tale da compromettere il funzionamento del computer.
Quando l'utente tenta di decomprimere l'archivio, il computer può iniziare a rallentare o bloccarsi e il disco può riempirsi di dati "vuoti". Gli "archivi bomba" sono particolarmente pericolosi per i file server e i server di posta. Se un server utilizza un sistema automatico di elaborazione delle informazioni in arrivo, un "archivio bomba" può causarne l'arresto.
|
Backdoor
|
Programmi Trojan di amministrazione remota
|
Sono considerati il tipo di Trojan più pericoloso in assoluto. Dal punto di vista funzionale, sono simili alle applicazioni di amministrazione remota installate nei computer.
Si installano senza che l'utente ne sia consapevole e consentono a un intruso di gestire il computer in remoto.
|
Programma Trojan
|
Trojan
|
Includono le seguenti applicazioni dannose:
- Programmi Trojan classici. Questi programmi eseguono solo le funzioni principali dei programmi Trojan: blocco, modifica o cancellazione di dati allo scopo di compromettere il funzionamento dei computer o delle reti. Non dispongono delle caratteristiche avanzate di altri tipi di programmi Trojan descritti in questa tabella.
- Programmi Trojan versatili. Dispongono delle caratteristiche avanzate tipiche di diversi tipi di programmi Trojan.
|
Trojan-Ransom
|
Trojan ransom
|
Questi programmi "prendono in ostaggio" le informazioni sul computer dell'utente, modificandole o bloccandole, oppure compromettono il funzionamento del computer in modo che l'utente non sia più in grado di utilizzare i dati. L'intruso richiede quindi all'utente un riscatto in cambio della promessa di inviare un'applicazione in grado di ripristinare l'utilizzabilità del computer e dei dati.
|
Trojan-Clicker
|
Trojan clicker
|
Accedono a pagine Web dal computer dell'utente, inviando direttamente comandi al browser o sostituendo gli indirizzi Web specificati nei file del sistema operativo.
Utilizzando questi programmi, un intruso può sferrare attacchi di rete e aumentare il traffico verso determinati siti Web per aumentare la frequenza di visualizzazione dei banner pubblicitari.
|
Trojan-Downloader
|
Trojan downloader
|
Accedono a una pagina Web, da cui scaricano e installano altre applicazioni dannose nel computer dell'utente. Contengono il nome dell'applicazione dannosa da scaricare o la ricevono dalla pagina Web a cui si collegano.
|
Trojan-Dropper
|
Trojan dropper
|
Contengono altri programmi Trojan che copiano nel disco rigido e quindi installano nel computer.
Gli intrusi possono utilizzare i Trojan dropper per:
- Installare un'applicazione dannosa senza che l'utente ne sia consapevole: i Trojan dropper non visualizzano alcun messaggio oppure visualizzano messaggi falsi, ad esempio notificando un errore in un archivio o l'utilizzo di una versione incompatibile del sistema operativo.
- Impedire il rilevamento di un'altra applicazione dannosa: non tutti i programmi anti-virus sono in grado di rilevare un'applicazione dannosa contenuta all'interno di un Trojan dropper.
|
Trojan-Notifier
|
Trojan notifier
|
Segnalano a un intruso che il computer infetto è accessibile, inviando informazioni sul computer, come l'indirizzo IP, il numero della porta aperta o l'indirizzo e-mail. Comunicano con l'intruso via e-mail, tramite FTP, accedendo alla sua pagina Web o attraverso altri metodi.
I Trojan notifier vengono spesso utilizzati in set che comprendono diversi programmi Trojan. Comunicano all'intruso che altri programmi Trojan sono stati installati nel computer dell'utente.
|
Trojan-Proxy
|
Trojan proxy
|
Consentono all'intruso di accedere in modo anonimo alle pagine Web utilizzando il computer dell'utente e vengono spesso utilizzati per inviare posta spam.
|
Trojan-PSW
|
Password-stealing-ware
|
I password-stealing-ware sono un tipo di programma Trojan che ruba gli account utente, ad esempio le informazioni di registrazione del software. Recuperano le informazioni riservate nei file di sistema e nel registro e le inviano all'autore dell'attacco via e-mail, tramite FTP, accedendo al sito Web dell'intruso o attraverso altri metodi.
Alcuni di questi programmi Trojan sono classificati in tipi distinti descritti in questa tabella. Esistono programmi Trojan che trafugano conti bancari (Trojan-Banker), i dati degli utenti di client IM (Trojan-IM) e i dati degli utenti di giochi online (Trojan-GameThief).
|
Trojan-Spy
|
Programmi Trojan per lo spionaggio dell'utente
|
Vengono utilizzati per spiare l'utente, raccogliendo informazioni sulle sue azioni durante l'utilizzo del computer. Possono intercettare i dati inseriti dall'utente tramite la tastiera, acquisire schermate e raccogliere elenchi di applicazioni attive. Una volta ricevute tali informazioni, le trasferiscono all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
|
Trojan-DDoS
|
Programmi Trojan per l'esecuzione di attacchi di rete
|
Inviano numerose richieste dal computer dell'utente a un server remoto. Il server esaurisce le risorse per l'elaborazione delle richieste ricevute e smette di funzionare (attacchi Denial-of-Service, o semplicemente DoS). Gli hacker spesso infettano numerosi computer con questi programmi, in modo da poterli utilizzare per attaccare simultaneamente un singolo server.
I programmi DoS sferrano un attacco da un singolo computer, rivelando la propria presenza all'utente. I programmi DDoS (Distributed DoS) sferrano attacchi da diversi computer senza che l'utente del computer infetto ne sia consapevole.
|
Trojan-IM
|
Programmi Trojan che trafugano i dati personali degli utenti di client IM
|
Trafugano numeri di conti e password degli utenti di client IM. Tali informazioni vengono quindi trasferite all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
|
Rootkit
|
Rootkit
|
Nascondono altre applicazioni dannose e la loro attività, prolungando quindi la presenza di tali applicazioni nel sistema operativo. Possono inoltre nascondere file e processi nella memoria di un computer infetto o chiavi di registro utilizzate dalle applicazioni dannose. I rootkit possono nascondere lo scambio di dati tra le applicazioni installate nel computer dell'utente e altri computer in rete.
|
Trojan-SMS
|
Programmi Trojan sotto forma di messaggi SMS
|
Infettano i telefoni cellulari e inviano messaggi SMS a numeri a pagamento.
|
Trojan-GameThief
|
Programmi Trojan che trafugano i dati personali degli utenti di giochi online
|
Rubano le credenziali degli account degli utenti di giochi online. Tali informazioni vengono quindi trasferite all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
|
Trojan-Banker
|
Programmi Trojan che trafugano conti bancari
|
Sottraggono i dati di conti bancari o sistemi e-money. Tali informazioni vengono quindi trasferite all'hacker via e-mail, tramite FTP, accedendo a una pagina Web o attraverso altri metodi.
|
Trojan-Mailfinder
|
Programmi Trojan che raccolgono indirizzi e-mail
|
Raccolgono gli indirizzi e-mail sul computer e li trasferiscono all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi. L'intruso può utilizzare gli indirizzi raccolti per inviare spam.
|
- Strumenti dannosi
Sottocategoria: Strumenti dannosi
Livello di pericolo: medio
A differenza di altri tipi di malware, gli strumenti dannosi non eseguono specifiche azioni al momento dell'esecuzione. Possono essere memorizzati e avviati senza problemi sul computer dell'utente. Le funzionalità di questi programmi possono essere utilizzate per creare virus, worm e programmi Trojan, sferrare attacchi di rete contro server remoti, violare computer ed eseguire altre azioni dannose.
Nella seguente tabella sono descritte le varie caratteristiche degli strumenti dannosi, raggruppate per tipo.
Caratteristiche degli strumenti dannosi
Tipo
|
Nome
|
Descrizione
|
Constructor
|
Constructor
|
Consentono di creare nuovi virus, worm e programmi Trojan. Alcuni constructor presentano un'interfaccia standard di Windows che consente di selezionare il tipo di applicazione dannosa da creare, il modo per contrastare i debugger e altre caratteristiche.
|
DoS
|
Attacchi di rete
|
Inviano numerose richieste dal computer dell'utente a un server remoto. Il server esaurisce le risorse per l'elaborazione delle richieste ricevute e smette di funzionare (attacchi Denial-of-Service, o semplicemente DoS).
|
Exploit
|
Exploit
|
Un exploit è un set di dati o un codice di programma che utilizza le vulnerabilità dell'applicazione in cui viene elaborato per eseguire azioni dannose sul computer. Gli exploit possono ad esempio scrivere o leggere file o accedere a pagine Web infette.
I diversi exploit utilizzano le vulnerabilità di diverse applicazioni o servizi di rete. Un exploit viene trasmesso tramite la rete a diversi computer, sotto forma di pacchetto di rete, alla ricerca di computer con servizi di rete vulnerabili. Gli exploit contenuti in un file DOC utilizzano le vulnerabilità degli editor di testo. Possono iniziare a eseguire le funzioni programmate dall'hacker quando l'utente apre un file infetto. Un exploit contenuto in un messaggio e-mail ricerca le vulnerabilità in tutti i client di posta elettronica. Può iniziare a eseguire azioni dannose non appena l'utente apre un messaggio infetto in questo client di posta elettronica.
Gli exploit vengono utilizzati per propagare i worm di rete. Gli exploit Nuker sono pacchetti di rete che rendono i computer non operativi.
|
FileCryptor
|
Strumenti di criptaggio
|
Criptano altre applicazioni dannose per nasconderle alle applicazioni anti-virus.
|
Flooder
|
Programmi per il flooding delle reti
|
Inviano numerosi messaggi tramite i canali di rete. Questi strumenti comprendono ad esempio i programmi utilizzati per il flooding delle Internet Relay Chat.
Questo tipo di software non include i programmi che eseguono il flooding del traffico di posta elettronica, dei client IM e dei sistemi SMS. Tali programmi vengono classificati in categorie distinte nella presente tabella (Email-Flooder, IM-Flooder e SMS-Flooder).
|
HackTool
|
Strumenti di hackeraggio
|
Vengono utilizzati per violare i computer in cui sono installati oppure per generare attacchi contro un altro computer (ad esempio, aggiungendo nuovi account di sistema senza l'autorizzazione dell'utente o cancellando i log di sistema al fine di nascondere le tracce della propria presenza nel sistema operativo). Questi strumenti includono sniffer che eseguono funzioni dannose, come ad esempio intercettare le password. Gli sniffer sono programmi che consentono di visualizzare il traffico di rete.
|
Hoax
|
Hoax
|
Questi programmi spaventano l'utente con messaggi simili a quelli generati dai virus: possono "rilevare" un virus in un file sicuro o visualizzare un messaggio relativo alla formattazione del disco, senza eseguirla effettivamente.
|
Spoofer
|
Strumenti di spoofing
|
Inviano messaggi e richieste di rete con l'indirizzo di un mittente fittizio. Gli spoofer vengono ad esempio utilizzati dagli intrusi per nascondere la propria identità e presentarsi come mittenti attendibili.
|
VirTool
|
Strumenti per la modifica di applicazioni dannose
|
Consentono di modificare altri programmi malware per nasconderli alle applicazioni anti-virus.
|
Email-Flooder
|
Programmi per il flooding degli indirizzi e-mail
|
Inviano numerosi messaggi a vari indirizzi di posta elettronica. La grande quantità di messaggi ricevuti impedisce agli utenti di visualizzare i messaggi legittimi.
|
IM-Flooder
|
Programmi che "contaminano" il traffico dei client IM
|
Inviano un numero elevato di messaggi agli utenti dei client IM. La grande quantità di messaggi impedisce agli utenti di visualizzare i messaggi legittimi.
|
SMS-Flooder
|
Programmi per il flooding del traffico con messaggi SMS
|
Inviano numerosi messaggi SMS ai telefoni cellulari.
|
- Adware
Sottocategoria: software pubblicitario (adware);
Livello di pericolosità: medio
Gli adware visualizzano informazioni pubblicitarie all'utente. Mostrano banner pubblicitari nell'interfaccia di altri programmi e ridirigono le query di ricerca verso siti pubblicitari. Alcuni programmi adware raccolgono informazioni di marketing sull'utente e le inviano ai loro sviluppatori, come ad esempio i nomi dei siti Web visitati o il contenuto delle ricerche effettuate. A differenza dei programmi di tipo Trojan-Spy, gli adware inviano queste informazioni allo sviluppatore con l'autorizzazione dell'utente.
- Auto-dialer
Sottocategoria: software legale utilizzabile da utenti malintenzionati per danneggiare il computer o i dati personali.
Livello di pericolo: medio
Molte applicazioni di questo tipo sono utili, pertanto numerosi utenti le eseguono. Queste applicazioni includono client IRC, auto-dialer, programmi per il download di file, monitor delle attività di sistema dei computer, utilità per la gestione delle password e server Internet per FTP, HTTP e Telnet.
Se tuttavia gli intrusi ottengono l'accesso a questi programmi o se li installano nel computer dell'utente, alcune delle funzionalità dei programmi possono essere utilizzate per violare la sicurezza.
Queste applicazioni variano a seconda della funzione; i diversi tipi sono descritti nella seguente tabella.
Tipo
|
Nome
|
Descrizione
|
Client-IRC
|
Client di chat Internet
|
Gli utenti installano questi programmi per comunicare con altre persone nelle Internet Relay Chat. Gli intrusi li usano per diffondere malware.
|
Dialer
|
Auto-Dialer
|
Questi programmi sono in grado di stabilire connessioni telefoniche nascoste tramite un modem.
|
Downloader
|
Programmi per il download di file
|
Questi programmi possono eseguire segretamente il download di file da pagine Web.
|
Monitor
|
Programmi di monitoraggio
|
Questi programmi consentono il monitoraggio dei computer in cui sono installati (visualizzazione delle applicazioni attive e di come scambiano dati con le applicazioni in altri computer).
|
PSWTool
|
Strumenti di recupero delle password
|
Consentono di visualizzare e ripristinare le password dimenticate. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo.
|
RemoteAdmin
|
Programmi di amministrazione remota
|
Questi programmi vengono spesso utilizzati dagli amministratori di sistema. Questi programmi consentono di accedere all'interfaccia di un computer remoto per monitorarlo e gestirlo. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo: monitorare e gestire computer remoti.
I programmi legittimi di amministrazione remota sono diversi dai programmi Trojan di amministrazione remota di tipo Backdoor. I programmi Trojan sono in grado di infiltrarsi autonomamente nel sistema operativo e di installarsi, mentre i programmi legittimi non presentano questa caratteristica.
|
Server-FTP
|
Server FTP
|
Questi programmi operano come server FTP. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo FTP.
|
Server-Proxy
|
Server proxy
|
Questi programmi operano come server proxy. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
|
Server-Telnet
|
Server Telnet
|
Questi programmi operano come server Telnet. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo Telnet.
|
Server-Web
|
Server Web
|
Questi programmi operano come server Web. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo HTTP.
|
RiskTool
|
Strumenti per l'utilizzo del computer locale
|
Questi strumenti offrono agli utenti opzioni aggiuntive per l'utilizzo del computer. Consentono di nascondere i file o le finestre delle applicazioni attive e di chiudere i processi attivi.
|
NetTool
|
Strumenti di rete
|
Questi strumenti offrono all'utente opzioni aggiuntive per l'utilizzo di altri computer della rete. Consentono di riavviare altri computer, rilevare le porte aperte e avviare le applicazioni installate in tali computer.
|
Client-P2P
|
Programmi client Peer-to-Peer
|
Consentono di utilizzare le reti peer-to-peer. Gli intrusi possono utilizzarli per diffondere malware.
|
Client-SMTP
|
Client SMTP
|
Inviano messaggi e-mail a insaputa dell'utente. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
|
WebToolbar
|
Barre degli strumenti Web
|
Aggiungono barre degli strumenti per l'utilizzo di motori di ricerca alle interfacce di altre applicazioni.
|
FraudTool
|
Programmi fraudolenti
|
Questi programmi si camuffano da altri programmi reali. Vi sono ad esempio programmi anti-virus fraudolenti che visualizzano messaggi sul rilevamento di malware, senza tuttavia rilevare o disinfettare alcun oggetto.
|
- Software legittimo utilizzabile da intrusi per danneggiare il computer o i dati personali
Sottocategoria: software legale utilizzabile da utenti malintenzionati per danneggiare il computer o i dati personali.
Livello di pericolo: medio
Molte applicazioni di questo tipo sono utili, pertanto numerosi utenti le eseguono. Queste applicazioni includono client IRC, auto-dialer, programmi per il download di file, monitor delle attività di sistema dei computer, utilità per la gestione delle password e server Internet per FTP, HTTP e Telnet.
Se tuttavia gli intrusi ottengono l'accesso a questi programmi o se li installano nel computer dell'utente, alcune delle funzionalità dei programmi possono essere utilizzate per violare la sicurezza.
Queste applicazioni variano a seconda della funzione; i diversi tipi sono descritti nella seguente tabella.
Tipo
|
Nome
|
Descrizione
|
Client-IRC
|
Client di chat Internet
|
Gli utenti installano questi programmi per comunicare con altre persone nelle Internet Relay Chat. Gli intrusi li usano per diffondere malware.
|
Dialer
|
Auto-Dialer
|
Questi programmi sono in grado di stabilire connessioni telefoniche nascoste tramite un modem.
|
Downloader
|
Programmi per il download di file
|
Questi programmi possono eseguire segretamente il download di file da pagine Web.
|
Monitor
|
Programmi di monitoraggio
|
Questi programmi consentono il monitoraggio dei computer in cui sono installati (visualizzazione delle applicazioni attive e di come scambiano dati con le applicazioni in altri computer).
|
PSWTool
|
Strumenti di recupero delle password
|
Consentono di visualizzare e ripristinare le password dimenticate. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo.
|
RemoteAdmin
|
Programmi di amministrazione remota
|
Questi programmi vengono spesso utilizzati dagli amministratori di sistema. Questi programmi consentono di accedere all'interfaccia di un computer remoto per monitorarlo e gestirlo. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo: monitorare e gestire computer remoti.
I programmi legittimi di amministrazione remota sono diversi dai programmi Trojan di amministrazione remota di tipo Backdoor. I programmi Trojan sono in grado di infiltrarsi autonomamente nel sistema operativo e di installarsi, mentre i programmi legittimi non presentano questa caratteristica.
|
Server-FTP
|
Server FTP
|
Questi programmi operano come server FTP. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo FTP.
|
Server-Proxy
|
Server proxy
|
Questi programmi operano come server proxy. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
|
Server-Telnet
|
Server Telnet
|
Questi programmi operano come server Telnet. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo Telnet.
|
Server-Web
|
Server Web
|
Questi programmi operano come server Web. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo HTTP.
|
RiskTool
|
Strumenti per l'utilizzo del computer locale
|
Questi strumenti offrono agli utenti opzioni aggiuntive per l'utilizzo del computer. Consentono di nascondere i file o le finestre delle applicazioni attive e di chiudere i processi attivi.
|
NetTool
|
Strumenti di rete
|
Questi strumenti offrono all'utente opzioni aggiuntive per l'utilizzo di altri computer della rete. Consentono di riavviare altri computer, rilevare le porte aperte e avviare le applicazioni installate in tali computer.
|
Client-P2P
|
Programmi client Peer-to-Peer
|
Consentono di utilizzare le reti peer-to-peer. Gli intrusi possono utilizzarli per diffondere malware.
|
Client-SMTP
|
Client SMTP
|
Inviano messaggi e-mail a insaputa dell'utente. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
|
WebToolbar
|
Barre degli strumenti Web
|
Aggiungono barre degli strumenti per l'utilizzo di motori di ricerca alle interfacce di altre applicazioni.
|
FraudTool
|
Programmi fraudolenti
|
Questi programmi si camuffano da altri programmi reali. Vi sono ad esempio programmi anti-virus fraudolenti che visualizzano messaggi sul rilevamento di malware, senza tuttavia rilevare o disinfettare alcun oggetto.
|
- Oggetti compressi che potrebbero nascondere codice dannoso
Kaspersky Endpoint Security esamina gli oggetti compressi e il modulo dell'utilità di decompressione contenuti negli archivi autoestraenti.
Per nascondere i programmi pericolosi ai software anti-virus, gli hacker li comprimono utilizzando appositi programmi di compressione o creano file con compressione multipla.
Gli analisti anti-virus di Kaspersky hanno identificato i programmi di compressione più diffusi tra gli hacker.
Se Kaspersky Endpoint Security rileva un programma di compressione di questo tipo in un file, è probabile che il file contenga un'applicazione dannosa o che potrebbe essere utilizzata da utenti malintenzionati per danneggiare il computer o i dati personali.
Kaspersky Endpoint Security identifica i seguenti tipi di programmi:
- File compressi potenzialmente pericolosi – utilizzati per la compressione di malware, come virus, worm e programmi Trojan.
- File con compressione multipla (livello di pericolosità medio): oggetti compressi tre volte con uno o più programmi di compressione.
- Oggetti con compressione multipla
Kaspersky Endpoint Security esamina gli oggetti compressi e il modulo dell'utilità di decompressione contenuti negli archivi autoestraenti.
Per nascondere i programmi pericolosi ai software anti-virus, gli hacker li comprimono utilizzando appositi programmi di compressione o creano file con compressione multipla.
Gli analisti anti-virus di Kaspersky hanno identificato i programmi di compressione più diffusi tra gli hacker.
Se Kaspersky Endpoint Security rileva un programma di compressione di questo tipo in un file, è probabile che il file contenga un'applicazione dannosa o che potrebbe essere utilizzata da utenti malintenzionati per danneggiare il computer o i dati personali.
Kaspersky Endpoint Security identifica i seguenti tipi di programmi:
- File compressi potenzialmente pericolosi – utilizzati per la compressione di malware, come virus, worm e programmi Trojan.
- File con compressione multipla (livello di pericolosità medio): oggetti compressi tre volte con uno o più programmi di compressione.
|
Unisci i valori quando vengono ereditati
(disponibile solo in Kaspersky Security Center Console)
|
In questo modo vengono uniti l'elenco delle esclusioni dalla scansione e delle applicazioni attendibili nei criteri padre e figlio di Kaspersky Security Center. Per unire gli elenchi, il criterio figlio deve essere configurato per ereditare le impostazioni del criterio padre di Kaspersky Security Center.
Se la casella di controllo è selezionata, gli elementi dell'elenco del criterio padre di Kaspersky Security Center vengono visualizzati nei criteri figlio. In questo modo è possibile creare ad esempio un elenco consolidato di applicazioni attendibili per l'intera organizzazione.
Gli elementi dell'elenco ereditati in un criterio figlio non possono essere eliminati o modificati. Gli elementi nell'elenco delle esclusioni dalla scansione e nell'elenco delle applicazioni attendibili uniti durante l'ereditarietà possono essere eliminati e modificati solo nel criterio padre. È possibile aggiungere, modificare o eliminare elementi dell'elenco nei criteri di livello inferiore.
Se gli elementi negli elenchi del criterio padre e figlio corrispondono, questi elementi vengono visualizzati come lo stesso elemento del criterio padre.
Se la casella di controllo non è selezionata, gli elementi degli elenchi non vengono uniti quando ereditano le impostazioni dei criteri di Kaspersky Security Center.
|