Tipi di oggetti rilevati

Indipendentemente dalle impostazioni configurate dell'applicazione, Kaspersky Endpoint Security rileva e blocca sempre virus, worm e Trojan. Dal momento che possono danneggiare in modo significativo il computer.

• Virus e worm

  Sottocategoria: virus e worm (Viruses_and_Worms)

  Livello di pericolosità: alto

  I virus e worm classici eseguono azioni non autorizzate dall'utente. Possono creare copie di se stessi in grado di replicarsi.

  Virus classici

  Dopo essere penetrato nel computer, un virus classico infetta un file, si attiva, esegue azioni dannose e aggiunge copie di se stesso in altri file.

  Un virus classico si propaga solo nelle risorse locali del computer; non può penetrare in altri computer autonomamente. Può raggiungere un altro computer solo se aggiunge una copia di se stesso a un file memorizzato in una cartella condivisa o in un CD inserito oppure se l'utente inoltra un messaggio e-mail con un file allegato infetto.

  Il codice dei virus classici può penetrare in varie aree dei computer, dei sistemi operativi e delle applicazioni. A seconda dell'ambiente, i virus vengono suddivisi in virus di file, virus di avvio, virus di script e virus macro.

  I virus possono infettare i file utilizzando un'ampia varietà di tecniche. I virus di sovrascrittura scrivono il proprio codice sul codice del file infetto, cancellandone il contenuto. Il file infetto smette di funzionare e non può essere ripristinato. I virus parassiti modificano i file, lasciandoli parzialmente o completamente funzionanti. I virus companion non modificano i file, ma creano duplicati. Quando si apre un file infetto, ne viene avviato un duplicato, che di fatto è un virus. Si rilevano inoltre i seguenti tipi di virus: virus collegamento, virus OBJ, virus LIB, virus del codice sorgente e molti altri.

  Worm

  Come nel caso dei virus classici, il codice di un worm viene attivato ed esegue azioni dannose dopo essere penetrato in un computer. La caratteristica distintiva dei worm è la loro capacità di trasmettersi da un computer all'altro, senza che l'utente ne sia consapevole, inviando copie di se stessi attraverso vari canali.

  La principale caratteristica che consente di differenziare i vari tipi di worm è la loro modalità di propagazione. Nella seguente tabella viene fornita una panoramica dei diversi tipi di worm, classificati in base alla modalità di propagazione.

  Modalità di propagazione dei worm

   

   

  Tipo	Nome	Descrizione
  Email-Worm	Email-Worm	Si propagano tramite la posta elettronica. Un messaggio infetto contiene un file allegato con una copia di un worm oppure un collegamento a un file caricato su un sito Web, che può essere stato violato o creato appositamente a tale scopo. Quando l'utente apre il file allegato, il worm si attiva. Allo stesso modo, facendo clic sul collegamento, scaricando e aprendo il file, il worm inizia a eseguire le azioni dannose per cui è progettato. Il worm continua quindi a diffondere copie di se stesso, cercando altri indirizzi di posta elettronica e inviando messaggi infetti.
  IM-Worm	Worm del client IM	Si diffondono attraverso client IM. In genere, tali worm inviano messaggi che contengono un collegamento a un file con una copia del worm in un sito Web, utilizzando l'elenco di contatti dell'utente. Quando l'utente scarica e apre il file, il worm si attiva.
  IRC-Worm	Worm di chat Internet	Penetrano nei computer attraverso le Internet Relay Chat, sistemi utilizzati per comunicare con altre persone in tempo reale via Internet. Questo tipo di worm pubblica in una chat Internet un file contenente una copia di se stesso o un collegamento a tale file. Quando l'utente scarica e apre il file, il worm si attiva.
  Net-Worm	Worm di rete	Questi worm si propagano tramite le reti di computer. A differenza di altri tipi di worm, questi worm vengono propagati senza la partecipazione dell'utente. I worm di questo tipo cercano nella rete locale i computer che utilizzano programmi con vulnerabilità. A tale scopo, inviano uno pacchetto di rete appositamente predisposto (exploit), che contiene il codice del worm o parte di esso. Se nella rete è presente un computer vulnerabile, questo riceve il pacchetto. Quando è penetrato completamente nel computer, il worm si attiva.
  P2P-Worm	Worm di file sharing	Si propagano attraverso le reti peer-to-peer di file sharing. Per penetrare in una rete peer-to-peer, il worm si replica in una cartella di file sharing, in genere presente nel computer dell'utente. La rete peer-to-peer visualizza informazioni sul file, in modo che gli utenti della rete possano trovare, scaricare e aprire il file infetto come qualsiasi altro file. I worm più complessi imitano i protocolli di rete di una specifica rete peer-to-peer: offrono risposte positive alle ricerche e propongono copie di se stessi per il download.
  Worm	Altri tipi di worm	Gli altri tipi di worm includono: Worm che propagano copie di se stessi tramite le risorse di rete. Utilizzando le funzioni del sistema operativo, esplorano le cartelle di rete disponibili, si connettono a computer su Internet e cercano di ottenere un accesso completo alle unità disco. A differenza dei worm descritti in precedenza, alcuni non si attivano autonomamente, ma l'utente deve aprire un file contenente una copia del worm per attivarlo. Worm che non utilizzano alcuno dei metodi descritti nella tabella precedente per diffondersi (ad esempio, quelli distribuiti tramite telefoni cellulari).

   

• Trojan (compreso il ransomware)

  Sottocategoria: Trojan

  Livello di pericolosità: alto

  A differenza dei worm e dei virus, i programmi Trojan non replicano se stessi. Possono ad esempio penetrare in un computer tramite la posta elettronica o attraverso un browser, quando l'utente visita una pagina Web infetta. I programmi Trojan vengono avviati dall'utente. Iniziano a eseguire la loro azione dannosa non appena sono eseguiti.

  Il comportamento dei diversi programmi Trojan nei computer infetti può variare. La funzione principale di un programma Trojan è bloccare, modificare e cancellare i dati, compromettendo il funzionamento dei computer o delle reti. I programmi Trojan possono inoltre ricevere e inviare file, eseguirli, visualizzare messaggi, accedere a pagine Web, scaricare e installare programmi e riavviare il computer.

  Gli hacker spesso utilizzano "set" di vari programmi Trojan.

  Nella seguente tabella sono descritti i diversi tipi di comportamento dei programmi Trojan.

  Tipi di comportamento dei programmi Trojan in un computer infetto

   

  Tipo	Nome	Descrizione
  Trojan-ArcBomb	Programmi Trojan – "archivi bomba"	Una volta decompressi, questi archivi aumentano di dimensioni al punto tale da compromettere il funzionamento del computer. Quando l'utente tenta di decomprimere l'archivio, il computer può iniziare a rallentare o bloccarsi e il disco può riempirsi di dati "vuoti". Gli "archivi bomba" sono particolarmente pericolosi per i file server e i server di posta. Se un server utilizza un sistema automatico di elaborazione delle informazioni in arrivo, un "archivio bomba" può causarne l'arresto.
  Backdoor	Programmi Trojan di amministrazione remota	Sono considerati il tipo di Trojan più pericoloso in assoluto. Dal punto di vista funzionale, sono simili alle applicazioni di amministrazione remota installate nei computer. Si installano senza che l'utente ne sia consapevole e consentono a un intruso di gestire il computer in remoto.
  Programma Trojan	Trojan	Includono le seguenti applicazioni dannose: Programmi Trojan classici. Questi programmi eseguono solo le funzioni principali dei programmi Trojan: blocco, modifica o cancellazione di dati allo scopo di compromettere il funzionamento dei computer o delle reti. Non dispongono delle caratteristiche avanzate di altri tipi di programmi Trojan descritti in questa tabella. Programmi Trojan versatili. Dispongono delle caratteristiche avanzate tipiche di diversi tipi di programmi Trojan.
  Trojan-Ransom	Trojan ransom	Questi programmi "prendono in ostaggio" le informazioni sul computer dell'utente, modificandole o bloccandole, oppure compromettono il funzionamento del computer in modo che l'utente non sia più in grado di utilizzare i dati. L'intruso richiede quindi all'utente un riscatto in cambio della promessa di inviare un'applicazione in grado di ripristinare l'utilizzabilità del computer e dei dati.
  Trojan-Clicker	Trojan clicker	Accedono a pagine Web dal computer dell'utente, inviando direttamente comandi al browser o sostituendo gli indirizzi Web specificati nei file del sistema operativo. Utilizzando questi programmi, un intruso può sferrare attacchi di rete e aumentare il traffico verso determinati siti Web per aumentare la frequenza di visualizzazione dei banner pubblicitari.
  Trojan-Downloader	Trojan downloader	Accedono a una pagina Web, da cui scaricano e installano altre applicazioni dannose nel computer dell'utente. Contengono il nome dell'applicazione dannosa da scaricare o la ricevono dalla pagina Web a cui si collegano.
  Trojan-Dropper	Trojan dropper	Contengono altri programmi Trojan che copiano nel disco rigido e quindi installano nel computer. Gli intrusi possono utilizzare i Trojan dropper per: Installare un'applicazione dannosa senza che l'utente ne sia consapevole: i Trojan dropper non visualizzano alcun messaggio oppure visualizzano messaggi falsi, ad esempio notificando un errore in un archivio o l'utilizzo di una versione incompatibile del sistema operativo. Impedire il rilevamento di un'altra applicazione dannosa: non tutti i programmi anti-virus sono in grado di rilevare un'applicazione dannosa contenuta all'interno di un Trojan dropper.
  Trojan-Notifier	Trojan notifier	Segnalano a un intruso che il computer infetto è accessibile, inviando informazioni sul computer, come l'indirizzo IP, il numero della porta aperta o l'indirizzo e-mail. Comunicano con l'intruso via e-mail, tramite FTP, accedendo alla sua pagina Web o attraverso altri metodi. I Trojan notifier vengono spesso utilizzati in set che comprendono diversi programmi Trojan. Comunicano all'intruso che altri programmi Trojan sono stati installati nel computer dell'utente.
  Trojan-Proxy	Trojan proxy	Consentono all'intruso di accedere in modo anonimo alle pagine Web utilizzando il computer dell'utente e vengono spesso utilizzati per inviare posta spam.
  Trojan-PSW	Password-stealing-ware	I password-stealing-ware sono un tipo di programma Trojan che ruba gli account utente, ad esempio le informazioni di registrazione del software. Recuperano le informazioni riservate nei file di sistema e nel registro e le inviano all'autore dell'attacco via e-mail, tramite FTP, accedendo al sito Web dell'intruso o attraverso altri metodi. Alcuni di questi programmi Trojan sono classificati in tipi distinti descritti in questa tabella. Esistono programmi Trojan che trafugano conti bancari (Trojan-Banker), i dati degli utenti di client IM (Trojan-IM) e i dati degli utenti di giochi online (Trojan-GameThief).
  Trojan-Spy	Programmi Trojan per lo spionaggio dell'utente	Vengono utilizzati per spiare l'utente, raccogliendo informazioni sulle sue azioni durante l'utilizzo del computer. Possono intercettare i dati inseriti dall'utente tramite la tastiera, acquisire schermate e raccogliere elenchi di applicazioni attive. Una volta ricevute tali informazioni, le trasferiscono all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
  Trojan-DDoS	Programmi Trojan per l'esecuzione di attacchi di rete	Inviano numerose richieste dal computer dell'utente a un server remoto. Il server esaurisce le risorse per l'elaborazione delle richieste ricevute e smette di funzionare (attacchi Denial-of-Service, o semplicemente DoS). Gli hacker spesso infettano numerosi computer con questi programmi, in modo da poterli utilizzare per attaccare simultaneamente un singolo server. I programmi DoS sferrano un attacco da un singolo computer, rivelando la propria presenza all'utente. I programmi DDoS (Distributed DoS) sferrano attacchi da diversi computer senza che l'utente del computer infetto ne sia consapevole.
  Trojan-IM	Programmi Trojan che trafugano i dati personali degli utenti di client IM	Trafugano numeri di conti e password degli utenti di client IM. Tali informazioni vengono quindi trasferite all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
  Rootkit	Rootkit	Nascondono altre applicazioni dannose e la loro attività, prolungando quindi la presenza di tali applicazioni nel sistema operativo. Possono inoltre nascondere file e processi nella memoria di un computer infetto o chiavi di registro utilizzate dalle applicazioni dannose. I rootkit possono nascondere lo scambio di dati tra le applicazioni installate nel computer dell'utente e altri computer in rete.
  Trojan-SMS	Programmi Trojan sotto forma di messaggi SMS	Infettano i telefoni cellulari e inviano messaggi SMS a numeri a pagamento.
  Trojan-GameThief	Programmi Trojan che trafugano i dati personali degli utenti di giochi online	Rubano le credenziali degli account degli utenti di giochi online. Tali informazioni vengono quindi trasferite all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi.
  Trojan-Banker	Programmi Trojan che trafugano conti bancari	Sottraggono i dati di conti bancari o sistemi e-money. Tali informazioni vengono quindi trasferite all'hacker via e-mail, tramite FTP, accedendo a una pagina Web o attraverso altri metodi.
  Trojan-Mailfinder	Programmi Trojan che raccolgono indirizzi e-mail	Raccolgono gli indirizzi e-mail sul computer e li trasferiscono all'intruso via e-mail, tramite FTP, accedendo al suo sito Web o attraverso altri metodi. L'intruso può utilizzare gli indirizzi raccolti per inviare spam.

   

• Strumenti dannosi

  Sottocategoria: Strumenti dannosi

  Livello di pericolo: medio

  A differenza di altri tipi di malware, gli strumenti dannosi non eseguono specifiche azioni al momento dell'esecuzione. Possono essere memorizzati e avviati senza problemi sul computer dell'utente. Le funzionalità di questi programmi possono essere utilizzate per creare virus, worm e programmi Trojan, sferrare attacchi di rete contro server remoti, violare computer ed eseguire altre azioni dannose.

  Nella seguente tabella sono descritte le varie caratteristiche degli strumenti dannosi, raggruppate per tipo.

  Caratteristiche degli strumenti dannosi

   

  Tipo	Nome	Descrizione
  Constructor	Constructor	Consentono di creare nuovi virus, worm e programmi Trojan. Alcuni constructor presentano un'interfaccia standard di Windows che consente di selezionare il tipo di applicazione dannosa da creare, il modo per contrastare i debugger e altre caratteristiche.
  DoS	Attacchi di rete	Inviano numerose richieste dal computer dell'utente a un server remoto. Il server esaurisce le risorse per l'elaborazione delle richieste ricevute e smette di funzionare (attacchi Denial-of-Service, o semplicemente DoS).
  Exploit	Exploit	Un exploit è un set di dati o un codice di programma che utilizza le vulnerabilità dell'applicazione in cui viene elaborato per eseguire azioni dannose sul computer. Gli exploit possono ad esempio scrivere o leggere file o accedere a pagine Web infette. I diversi exploit utilizzano le vulnerabilità di diverse applicazioni o servizi di rete. Un exploit viene trasmesso tramite la rete a diversi computer, sotto forma di pacchetto di rete, alla ricerca di computer con servizi di rete vulnerabili. Gli exploit contenuti in un file DOC utilizzano le vulnerabilità degli editor di testo. Possono iniziare a eseguire le funzioni programmate dall'hacker quando l'utente apre un file infetto. Un exploit contenuto in un messaggio e-mail ricerca le vulnerabilità in tutti i client di posta elettronica. Può iniziare a eseguire azioni dannose non appena l'utente apre un messaggio infetto in questo client di posta elettronica. Gli exploit vengono utilizzati per propagare i worm di rete. Gli exploit Nuker sono pacchetti di rete che rendono i computer non operativi.
  FileCryptor	Strumenti di criptaggio	Criptano altre applicazioni dannose per nasconderle alle applicazioni anti-virus.
  Flooder	Programmi per il flooding delle reti	Inviano numerosi messaggi tramite i canali di rete. Questi strumenti comprendono ad esempio i programmi utilizzati per il flooding delle Internet Relay Chat. Questo tipo di software non include i programmi che eseguono il flooding del traffico di posta elettronica, dei client IM e dei sistemi SMS. Tali programmi vengono classificati in categorie distinte nella presente tabella (Email-Flooder, IM-Flooder e SMS-Flooder).
  HackTool	Strumenti di hackeraggio	Vengono utilizzati per violare i computer in cui sono installati oppure per generare attacchi contro un altro computer (ad esempio, aggiungendo nuovi account di sistema senza l'autorizzazione dell'utente o cancellando i log di sistema al fine di nascondere le tracce della propria presenza nel sistema operativo). Questi strumenti includono sniffer che eseguono funzioni dannose, come ad esempio intercettare le password. Gli sniffer sono programmi che consentono di visualizzare il traffico di rete.
  Hoax	Hoax	Questi programmi spaventano l'utente con messaggi simili a quelli generati dai virus: possono "rilevare" un virus in un file sicuro o visualizzare un messaggio relativo alla formattazione del disco, senza eseguirla effettivamente.
  Spoofer	Strumenti di spoofing	Inviano messaggi e richieste di rete con l'indirizzo di un mittente fittizio. Gli spoofer vengono ad esempio utilizzati dagli intrusi per nascondere la propria identità e presentarsi come mittenti attendibili.
  VirTool	Strumenti per la modifica di applicazioni dannose	Consentono di modificare altri programmi malware per nasconderli alle applicazioni anti-virus.
  Email-Flooder	Programmi per il flooding degli indirizzi e-mail	Inviano numerosi messaggi a vari indirizzi di posta elettronica. La grande quantità di messaggi ricevuti impedisce agli utenti di visualizzare i messaggi legittimi.
  IM-Flooder	Programmi che "contaminano" il traffico dei client IM	Inviano un numero elevato di messaggi agli utenti dei client IM. La grande quantità di messaggi impedisce agli utenti di visualizzare i messaggi legittimi.
  SMS-Flooder	Programmi per il flooding del traffico con messaggi SMS	Inviano numerosi messaggi SMS ai telefoni cellulari.

   

• Adware

  Sottocategoria: software pubblicitario (adware);

  Livello di pericolosità: medio

  Gli adware visualizzano informazioni pubblicitarie all'utente. Mostrano banner pubblicitari nell'interfaccia di altri programmi e ridirigono le query di ricerca verso siti pubblicitari. Alcuni programmi adware raccolgono informazioni di marketing sull'utente e le inviano ai loro sviluppatori, come ad esempio i nomi dei siti Web visitati o il contenuto delle ricerche effettuate. A differenza dei programmi di tipo Trojan-Spy, gli adware inviano queste informazioni allo sviluppatore con l'autorizzazione dell'utente.

• Auto-dialer

  Sottocategoria: software legale utilizzabile da utenti malintenzionati per danneggiare il computer o i dati personali.

  Livello di pericolo: medio

  Molte applicazioni di questo tipo sono utili, pertanto numerosi utenti le eseguono. Queste applicazioni includono client IRC, auto-dialer, programmi per il download di file, monitor delle attività di sistema dei computer, utilità per la gestione delle password e server Internet per FTP, HTTP e Telnet.

  Se tuttavia gli intrusi ottengono l'accesso a questi programmi o se li installano nel computer dell'utente, alcune delle funzionalità dei programmi possono essere utilizzate per violare la sicurezza.

  Queste applicazioni variano a seconda della funzione; i diversi tipi sono descritti nella seguente tabella.

   

  Tipo	Nome	Descrizione
  Client-IRC	Client di chat Internet	Gli utenti installano questi programmi per comunicare con altre persone nelle Internet Relay Chat. Gli intrusi li usano per diffondere malware.
  Dialer	Auto-Dialer	Questi programmi sono in grado di stabilire connessioni telefoniche nascoste tramite un modem.
  Downloader	Programmi per il download di file	Questi programmi possono eseguire segretamente il download di file da pagine Web.
  Monitor	Programmi di monitoraggio	Questi programmi consentono il monitoraggio dei computer in cui sono installati (visualizzazione delle applicazioni attive e di come scambiano dati con le applicazioni in altri computer).
  PSWTool	Strumenti di recupero delle password	Consentono di visualizzare e ripristinare le password dimenticate. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo.
  RemoteAdmin	Programmi di amministrazione remota	Questi programmi vengono spesso utilizzati dagli amministratori di sistema. Questi programmi consentono di accedere all'interfaccia di un computer remoto per monitorarlo e gestirlo. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo: monitorare e gestire computer remoti. I programmi legittimi di amministrazione remota sono diversi dai programmi Trojan di amministrazione remota di tipo Backdoor. I programmi Trojan sono in grado di infiltrarsi autonomamente nel sistema operativo e di installarsi, mentre i programmi legittimi non presentano questa caratteristica.
  Server-FTP	Server FTP	Questi programmi operano come server FTP. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo FTP.
  Server-Proxy	Server proxy	Questi programmi operano come server proxy. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
  Server-Telnet	Server Telnet	Questi programmi operano come server Telnet. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo Telnet.
  Server-Web	Server Web	Questi programmi operano come server Web. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo HTTP.
  RiskTool	Strumenti per l'utilizzo del computer locale	Questi strumenti offrono agli utenti opzioni aggiuntive per l'utilizzo del computer. Consentono di nascondere i file o le finestre delle applicazioni attive e di chiudere i processi attivi.
  NetTool	Strumenti di rete	Questi strumenti offrono all'utente opzioni aggiuntive per l'utilizzo di altri computer della rete. Consentono di riavviare altri computer, rilevare le porte aperte e avviare le applicazioni installate in tali computer.
  Client-P2P	Programmi client Peer-to-Peer	Consentono di utilizzare le reti peer-to-peer. Gli intrusi possono utilizzarli per diffondere malware.
  Client-SMTP	Client SMTP	Inviano messaggi e-mail a insaputa dell'utente. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
  WebToolbar	Barre degli strumenti Web	Aggiungono barre degli strumenti per l'utilizzo di motori di ricerca alle interfacce di altre applicazioni.
  FraudTool	Programmi fraudolenti	Questi programmi si camuffano da altri programmi reali. Vi sono ad esempio programmi anti-virus fraudolenti che visualizzano messaggi sul rilevamento di malware, senza tuttavia rilevare o disinfettare alcun oggetto.

   

• Rileva altro software utilizzabile da intrusi per danneggiare il computer o i dati personali

  Sottocategoria: software legale utilizzabile da utenti malintenzionati per danneggiare il computer o i dati personali.

  Livello di pericolo: medio

  Molte applicazioni di questo tipo sono utili, pertanto numerosi utenti le eseguono. Queste applicazioni includono client IRC, auto-dialer, programmi per il download di file, monitor delle attività di sistema dei computer, utilità per la gestione delle password e server Internet per FTP, HTTP e Telnet.

  Se tuttavia gli intrusi ottengono l'accesso a questi programmi o se li installano nel computer dell'utente, alcune delle funzionalità dei programmi possono essere utilizzate per violare la sicurezza.

  Queste applicazioni variano a seconda della funzione; i diversi tipi sono descritti nella seguente tabella.

   

  Tipo	Nome	Descrizione
  Client-IRC	Client di chat Internet	Gli utenti installano questi programmi per comunicare con altre persone nelle Internet Relay Chat. Gli intrusi li usano per diffondere malware.
  Dialer	Auto-Dialer	Questi programmi sono in grado di stabilire connessioni telefoniche nascoste tramite un modem.
  Downloader	Programmi per il download di file	Questi programmi possono eseguire segretamente il download di file da pagine Web.
  Monitor	Programmi di monitoraggio	Questi programmi consentono il monitoraggio dei computer in cui sono installati (visualizzazione delle applicazioni attive e di come scambiano dati con le applicazioni in altri computer).
  PSWTool	Strumenti di recupero delle password	Consentono di visualizzare e ripristinare le password dimenticate. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo.
  RemoteAdmin	Programmi di amministrazione remota	Questi programmi vengono spesso utilizzati dagli amministratori di sistema. Questi programmi consentono di accedere all'interfaccia di un computer remoto per monitorarlo e gestirlo. Gli intrusi li installano segretamente nei computer degli utenti esattamente con lo stesso obiettivo: monitorare e gestire computer remoti. I programmi legittimi di amministrazione remota sono diversi dai programmi Trojan di amministrazione remota di tipo Backdoor. I programmi Trojan sono in grado di infiltrarsi autonomamente nel sistema operativo e di installarsi, mentre i programmi legittimi non presentano questa caratteristica.
  Server-FTP	Server FTP	Questi programmi operano come server FTP. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo FTP.
  Server-Proxy	Server proxy	Questi programmi operano come server proxy. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
  Server-Telnet	Server Telnet	Questi programmi operano come server Telnet. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo Telnet.
  Server-Web	Server Web	Questi programmi operano come server Web. Gli intrusi li installano nei computer degli utenti per ottenere l'accesso remoto tramite il protocollo HTTP.
  RiskTool	Strumenti per l'utilizzo del computer locale	Questi strumenti offrono agli utenti opzioni aggiuntive per l'utilizzo del computer. Consentono di nascondere i file o le finestre delle applicazioni attive e di chiudere i processi attivi.
  NetTool	Strumenti di rete	Questi strumenti offrono all'utente opzioni aggiuntive per l'utilizzo di altri computer della rete. Consentono di riavviare altri computer, rilevare le porte aperte e avviare le applicazioni installate in tali computer.
  Client-P2P	Programmi client Peer-to-Peer	Consentono di utilizzare le reti peer-to-peer. Gli intrusi possono utilizzarli per diffondere malware.
  Client-SMTP	Client SMTP	Inviano messaggi e-mail a insaputa dell'utente. Gli intrusi li installano nei computer degli utenti per inviare spam a nome dell'utente.
  WebToolbar	Barre degli strumenti Web	Aggiungono barre degli strumenti per l'utilizzo di motori di ricerca alle interfacce di altre applicazioni.
  FraudTool	Programmi fraudolenti	Questi programmi si camuffano da altri programmi reali. Vi sono ad esempio programmi anti-virus fraudolenti che visualizzano messaggi sul rilevamento di malware, senza tuttavia rilevare o disinfettare alcun oggetto.

   

• Oggetti compressi che potrebbero nascondere codice dannoso

  Kaspersky Endpoint Security esamina gli oggetti compressi e il modulo dell'utilità di decompressione contenuti negli archivi autoestraenti.

  Per nascondere i programmi pericolosi ai software anti-virus, gli hacker li comprimono utilizzando appositi programmi di compressione o creano file con compressione multipla.

  Gli analisti anti-virus di Kaspersky hanno identificato i programmi di compressione più diffusi tra gli hacker.

  Se Kaspersky Endpoint Security rileva un programma di compressione di questo tipo in un file, è probabile che il file contenga un'applicazione dannosa o che potrebbe essere utilizzata da utenti malintenzionati per danneggiare il computer o i dati personali.

  Kaspersky Endpoint Security identifica i seguenti tipi di programmi:

  • File compressi potenzialmente pericolosi – utilizzati per la compressione di malware, come virus, worm e programmi Trojan.
  • File con compressione multipla (livello di pericolosità medio) – oggetti compressi tre volte con uno o più programmi di compressione.
• Oggetti con compressione multipla

  Kaspersky Endpoint Security esamina gli oggetti compressi e il modulo dell'utilità di decompressione contenuti negli archivi autoestraenti.

  Per nascondere i programmi pericolosi ai software anti-virus, gli hacker li comprimono utilizzando appositi programmi di compressione o creano file con compressione multipla.

  Gli analisti anti-virus di Kaspersky hanno identificato i programmi di compressione più diffusi tra gli hacker.

  Se Kaspersky Endpoint Security rileva un programma di compressione di questo tipo in un file, è probabile che il file contenga un'applicazione dannosa o che potrebbe essere utilizzata da utenti malintenzionati per danneggiare il computer o i dati personali.

  Kaspersky Endpoint Security identifica i seguenti tipi di programmi:

  • File compressi potenzialmente pericolosi – utilizzati per la compressione di malware, come virus, worm e programmi Trojan.
  • File con compressione multipla (livello di pericolosità medio) – oggetti compressi tre volte con uno o più programmi di compressione.

Esclusioni

Questa tabella contiene informazioni sulle esclusioni dalla scansione.

È possibile escludere gli oggetti dalle scansioni utilizzando i seguenti metodi:

• Specificare il percorso del file o della cartella.
• Immettere l'hash dell'oggetto.
• Utilizzare le maschere:
  • Il carattere * (asterisco), che sostituisce qualsiasi set di caratteri, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\*\*.txt includerà tutti i percorsi dei file con l'estensione TXT situata in cartelle sull'unità C:, ma non nelle sottocartelle.
  • Due caratteri * consecutivi sostituiscono qualsiasi set di caratteri (incluso un set vuoto) nel nome del file o della cartella, compresi i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\**\*.txt includerà tutti i percorsi dei file con estensione TXT situati nelle cartelle nidificate all'interno della cartella, ad eccezione della cartella stessa. La maschera deve includere almeno un livello di nidificazione. La maschera C:\**\*.txt non è una maschera valida.
  • Il carattere ? (punto interrogativo), che sostituisce qualsiasi carattere singolo, eccetto i caratteri \ e / (i delimitatori dei nomi di file e cartelle nei percorsi di file e cartelle). Ad esempio, la maschera C:\Folder\???.txt includerà i percorsi di tutti i file che si trovano nella cartella denominata Cartella con l'estensione TXT e un nome composto da tre caratteri.

    È possibile usare le maschere ovunque in un percorso di file o cartella. Ad esempio, se si desidera che l'ambito della scansione includa la cartella Downloads per tutti gli account utente sul computer, immettere la maschera C:\Users\*\Downloads\.

• Immettere il nome del tipo di oggetto in base alla classificazione dell'Enciclopedia Kaspersky (ad esempio Email-Worm, Rootkit o RemoteAdmin). È possibile utilizzare maschere con il carattere ? (sostituisce un singolo carattere) e il carattere * (sostituisce un numero qualsiasi di caratteri). Se ad esempio viene specificata la maschera Client*, l'applicazione esclude gli oggetti Client-IRC, Client-P2P e Client-SMTP dalle scansioni.

Applicazioni attendibili

In questa tabella sono elencate le applicazioni attendibili, le cui attività non vengono monitorate da Kaspersky Endpoint Security durante l'esecuzione.

Il componente Controllo applicazioni gestisce l'avvio di ogni applicazione indipendentemente dal fatto che questa sia inclusa o meno nella tabella delle applicazioni attendibili.

Unisci i valori quando vengono ereditati

(disponibile solo in Kaspersky Security Center Console)

In questo modo vengono uniti l'elenco delle esclusioni dalla scansione e delle applicazioni attendibili nei criteri padre e figlio di Kaspersky Security Center. Per unire gli elenchi, il criterio figlio deve essere configurato per ereditare le impostazioni del criterio padre di Kaspersky Security Center.

Se la casella di controllo è selezionata, gli elementi dell'elenco del criterio padre di Kaspersky Security Center vengono visualizzati nei criteri figlio. In questo modo è possibile creare ad esempio un elenco consolidato di applicazioni attendibili per l'intera organizzazione.

Gli elementi dell'elenco ereditati in un criterio figlio non possono essere eliminati o modificati. Gli elementi nell'elenco delle esclusioni dalla scansione e nell'elenco delle applicazioni attendibili uniti durante l'ereditarietà possono essere eliminati e modificati solo nel criterio padre. È possibile aggiungere, modificare o eliminare elementi dell'elenco nei criteri di livello inferiore.

Se gli elementi negli elenchi del criterio padre e figlio corrispondono, questi elementi vengono visualizzati come lo stesso elemento del criterio padre.

Se la casella di controllo non è selezionata, gli elementi degli elenchi non vengono uniti quando ereditano le impostazioni dei criteri di Kaspersky Security Center.

Consenti l'utilizzo delle esclusioni locali/Consenti l'utilizzo delle applicazioni attendibili locali

(disponibile solo in Kaspersky Security Center Console)

Esclusioni locali e applicazioni attendibili locali (area attendibile locale): elenco di oggetti e applicazioni definito dall'utente in Kaspersky Endpoint Security per un computer specifico. Kaspersky Endpoint Security non monitora oggetti e applicazioni dell'area attendibile locale. In questo modo gli utenti possono creare i propri elenchi locali di esclusioni e applicazioni attendibili oltre all'area attendibile generale in un criterio.

Se la casella di controllo è selezionata, un utente può creare un elenco locale di esclusioni dalla scansione e un elenco locale di applicazioni attendibili. Un amministratore può utilizzare Kaspersky Security Center per visualizzare, aggiungere, modificare o eliminare gli elementi dell'elenco nelle proprietà del computer.

Se la casella di controllo è deselezionata, un utente può accedere solo agli elenchi generali delle esclusioni dalla scansione e delle applicazioni attendibili generati nel criterio. Se sono stati generati elenchi locali, dopo che questa funzionalità è stata disabilitata, Kaspersky Endpoint Security continua a escludere gli oggetti elencati dalle scansioni.

Archivio di certificati di sistema attendibili

Se è selezionato uno degli archivi di certificati di sistema attendibili, Kaspersky Endpoint Security esclude le applicazioni firmate con una firma digitale attendibile dalle scansioni. Kaspersky Endpoint Security assegna automaticamente tali applicazioni al gruppo Attendibili.

Se è selezionato Non usare, Kaspersky Endpoint Security esamina le applicazioni indipendentemente dal fatto che dispongano o meno di una firma digitale. Kaspersky Endpoint Security inserisce un'applicazione in un gruppo di attendibilità in base al livello di pericolosità che l'applicazione può rappresentare per il computer.