Loại đối tượng được phát hiện

Bất kể thiết lập ứng dụng có là gì, Kaspersky Endpoint Security sẽ luôn phát hiện và chặn các virus, sâu máy tính và Trojan. Chúng có thể gây thiệt hại đáng kể đến máy tính.

• Virus và sâu

  Danh mục con: virus và sâu (Viruses_and_Worms)

  Mức độ mối đe dọa: cao

  Các loại virus và sâu truyền thống thực hiện các hành động không được người dùng cho phép. Chúng có thể tự tạo ra bản sao của chính mình, các bản sao đó cũng có thể tự nhân bản.

  Virus truyền thống

  Khi một virus truyền thống xâm nhập vào máy tính, nó sẽ lây nhiễm vào một tập tin, kích hoạt, thực hiện hành động độc hại, và chèn các bản sao của nó vào những tập tin khác.

  Một virus truyền thống sẽ tự sinh sôi trên tài nguyên mạng nội bộ của máy tính; nó không thể tự xâm nhập vào các máy tính khác. Nó chỉ có thể được truyền sang máy tính khác nếu nó chèn bản sao của mình vào một tập tin được lưu trữ trong một thư mục được chia sẻ, hoặc trên một đĩa CD trong máy, hoặc nếu một người dùng chuyển tiếp một email đính kèm tập tin bị nhiễm virus.

  Mã virus truyền thống có thể xâm nhập các khu vực khác nhau của máy tính, hệ điều hành và ứng dụng. Tùy thuộc vào môi trường, các virus được chia thành virus tập tin, virus khởi động, virus kịch bản và virus macro.

  Virus có thể lây nhiễm cho các tập tin sử dụng nhiều kỹ thuật khác nhau. Ghi đè virus sẽ ghi đè mã của nó lên mã của tập tin bị lây nhiễm và xóa nội dung của tập tin. Tập tin bị lây nhiễm sẽ ngừng hoạt động và không thể được khôi phục. Ký sinh virus sẽ sửa nội dung tập tin, để chúng vận hành toàn bộ hoặc một phần chức năng. Virus đồng hành không sửa tập tin, nhưng tạo các bản sao. Khi một tập tin nhiễm virus được mở ra, một bản sao của nó (thực chất là một virus) sẽ được khởi chạy. Các loại virus sau cũng có thể được bắt gặp: virus liên kết, virus OBJ, virus LIB, virus mã nguồn, v.v...

  Sâu

  Tương tự như virus truyền thống, mã của sâu, sẽ được kích hoạt và thực hiện các hành động độc hại sau khi nó đã xâm nhập máy tính. Sâu được đặt tên như vậy bởi chúng có thể "bò" từ một máy tính sang máy tính khác và phát tán các bản sao thông qua nhiều kênh dữ liệu mà không có sự cho phép của người dùng.

  Tính năng chính phân biệt giữa các loại sâu khác nhau là cách phát tán của chúng. Bảng sau đây cung cấp một cái nhìn tổng quan về các loại sâu khác nhau, được phân loại theo cách phát tán của chúng.

  Cách phát tán của sâu

   

   

  Loại	Tên	Mô tả
  Sâu Email	Sâu Email	Phát tán qua email. Một email nhiễm virus chứa một tập tin đính kèm với một bản sao của sâu, hoặc một liên kết đến một tập tin được tải lên một website đã bị hack hoặc được tạo vì mục đích cụ thể này. Khi bạn mở tập tin đính kèm ra, sâu sẽ được kích hoạt. Khi bạn nhấn vào liên kết tải về, và mở tập tin, sâu sẽ bắt đầu thực hiện hành động độc hại của nó. Sau đó, nó sẽ tiếp tục phát tán các bản sao, tìm kiếm các địa chỉ email khác và gửi tin nhắn nhiễm virus đến họ.
  IM-Worm	Sâu Trình nhắn tin nhanh	Chúng được phát tán qua các ứng dụng nhắn tin nhanh. Thông thường, các loại sâu này gửi tin nhắn chứa liên kết đến một bản sao của sâu trên một website, tận dụng danh bạ của người dùng. Khi người dùng tải về và mở ra tập tin, sâu sẽ được kích hoạt.
  IRC-Worm	Sâu trò chuyện Internet	Chúng được phát tán qua các Phòng Tán gẫu IRC, là các hệ thống dịch vụ cho phép giao tiếp với những người khác qua Internet trong thời gian thực. Những loại sâu này sẽ đăng tải một tập tin với bản sao của chúng hoặc một liên kết đến tập tin trong một phòng tán gẫu Internet. Khi người dùng tải về và mở ra tập tin, sâu sẽ được kích hoạt.
  Sâu Net	Sâu Mạng	Những loại sâu này phát tán qua mạng máy tính. Khác với những loại sâu khác, một sâu mạng tiêu biểu sẽ phát tán mà không cần sự tham gia của người dùng. Nó sẽ quét mạng nội bộ để tìm các máy tính chứa những chương trình có lỗ hổng bảo mật. Để làm điều này, nó sẽ gửi đi một gói tin mạng đặc biệt (mã khai thác) chứa mã sâu hoặc một phần của nó. Nếu một máy tính có "lỗ hổng bảo mật" nằm trên mạng này, nó sẽ tiếp nhận gói tin mạng đó. Khi sâu đã hoàn thành việc xâm nhập máy tính, nó sẽ kích hoạt.
  P2P-Worm	Sâu mạng chia sẻ tập tin	Chúng được phát tán qua các mạng chia sẻ tập tin ngang hàng. Để xâm nhập một mạng P2P, sâu sẽ tự sao chép bản thân nó vào một thư mục chia sẻ tập tin, thường được đặt trên máy tính của người dùng. Mạng P2P sẽ hiển thị thông tin về tập tin này để người dùng có thể "tìm thấy" tập tin nhiễm virus trên mạng như những tập tin khác, sau đó tải về và mở nó ra. Các loại sâu tinh vi hơn sẽ giả lập giao thức mạng của một mạng P2P cụ thể: chúng sẽ gửi trả phản hồi tích cực đến các truy vấn tìm kiếm và cung cấp bản sao của chính mình để tải về.
  Sâu	Các loại sâu khác	Các loại sâu khác bao gồm: Sâu phát tán bản sao của chúng qua tài nguyên mạng. Bằng cách sử dụng chức năng của hệ điều hành, chúng sẽ quét các thư mục mạng khả dụng, kết nối đến các máy tính trên Internet, và cố gắng nhận quyền truy cập toàn diện đến ổ đĩa của chúng. Khác với những loại sâu được mô tả ở trên, các loại sâu khác không tự kích hoạt được, mà chỉ khi người dùng mở một tập tin chứa một bản sao của sâu. Các loại sâu không sử dụng bất kỳ cách phát tán nào được mô tả ở bảng trước (ví dụ, các loại sâu phát tán qua điện thoại di động).

   

• Trojan (bao gồm phần mềm tống tiền)

  Danh mục con: Trojan

  Mức độ mối đe dọa: cao

  Khác với sâu và virus, Trojan không tự sinh sôi. Ví dụ, chúng sẽ xâm nhập một máy tính thông qua email hoặc một trình duyệt khi người dùng truy cập một trang web bị nhiễm virus. Trojan được khởi chạy với sự tham gia của người dùng. Chúng sẽ bắt đầu thực hiện hành động độc hại ngay khi được bắt đầu.

  Các Trojan khác nhau sẽ hành xử khác nhau trên máy tính bị nhiễm. Chức năng chính của Trojan bao gồm chặn, sửa đổi hoặc phá hủy thông tin, và tắt máy tính hoặc mạng. Trojan cũng có thể nhận hoặc gửi tập tin, thực thi chúng, hiển thị thông báo lên màn hình, yêu cầu trang web, tải về và cài đặt các chương trình, và khởi động lại máy tính.

  Tin tặc thường sử dụng "các nhóm" Trojan khác nhau.

  Các loại hành vi Trojan được mô tả trong bảng dưới đây.

  Loại hành vi Trojan trên một máy tính bị nhiễm

   

  Loại	Tên	Mô tả
  Trojan-ArcBomb	Trojan – "bom nén"	Khi giải nén, các tập nén này sẽ tăng kích cỡ đến mức mà hoạt động của máy tính sẽ bị ảnh hưởng. Khi người dùng cố gắng giải nén tập nén này, máy tính có thể bị chậm đến mức treo; ổ cứng có thể bị lấp đầy dữ liệu "trống". "Bom nén" đặc biệt nguy hiểm đối với các máy chủ tập tin và email. Nếu máy chủ sử dụng một hệ thống tự động để xử lý thông tin đến, một "bom nén" có thể ngừng hoạt động của máy chủ.
  Backdoor	Trojan quản trị từ xa	Đây được coi là loại Trojan nguy hiểm nhất. Chức năng của chúng cũng tương tự như các ứng dụng quản trị từ xa được cài đặt trên máy tính. Những chương trình này sẽ cài đặt bản thân trên máy tính mà không được người dùng phát hiện, cho phép kẻ xâm nhập có thể quản lý máy tính từ xa.
  Trojan	Trojan	Chúng bao gồm các ứng dụng độc hại sau: Trojan truyền thống. Những chương trình này chỉ thực hiện chức năng chính của Trojan: chặn, sửa đổi hoặc phá hủy thông tin, và tắt máy tính hoặc mạng. Chúng không có các tính năng cao cấp, khác với những loại Trojan khác được mô tả trong bảng này. Trojan linh hoạt. Những chương trình này có các tính năng cao cấp giống nhiều loại Trojan khác nhau.
  Trojan-Ransom	Trojan tống tiền	Chúng bắt thông tin người dùng "làm con tin", sửa đổi hoặc chặn nó, hoặc ảnh hưởng đến hoạt động của máy tính để người dùng mất khả năng sử dụng thông tin này. Kẻ xâm nhập sẽ đòi tiền chuộc từ người dùng, hứa hẹn sẽ gửi một ứng dụng khôi phục hiệu năng máy tính và dữ liệu đã được lưu trữ trên đó.
  Trojan-Clicker	Trojan nhấn chuột	Chúng sẽ truy cập các trang web từ máy tính của người dùng, bằng cách gửi đi lệnh đến trình duyệt hoặc thay đổi các địa chỉ web được quy định trong tập tin hệ điều hành. Bằng cách sử dụng các chương trình này, kẻ xâm nhập có thể gây ra các cuộc tấn công mạng và tăng lượng truy cập website, tăng số lượt hiển thị bảng quảng cáo.
  Trojan-Downloader	Trojan tải về	Chúng sẽ truy cập trang web của kẻ xâm nhập, tải về các ứng dụng độc hại khác và cài đặt chúng trên máy tính của người dùng. Chúng có thể chứa tên tập tin của ứng dụng độc hại để tải về, hoặc nhận nó từ trang web được truy cập.
  Trojan-Dropper	Trojan đổ bộ	Chúng chứa các Trojan khác sẽ được chúng giải nén trên ổ cứng và cài đặt. Kẻ xâm nhập có thể sử dụng Trojan đổ bộ vì các mục đích sau: Cài đặt một ứng dụng độc hại mà không bị người dùng phát hiện: các chương trình Trojan đổ bộ không hiển thị thông báo nào, hay hiển thị các thông báo giả mạo rằng, ví dụ, có một lỗi trong một tập nén hoặc một phiên bản không tương thích của hệ điều hành. Bảo vệ một ứng dụng độc hại khác đã được biết khỏi bị phát hiện: không phải phần mềm chống virus nào cũng có thể phát hiện một ứng dụng độc hại trong một ứng dụng Trojan đổ bộ.
  Trojan-Notifier	Trojan thông báo	Chúng sẽ thông báo cho kẻ xâm nhập rằng máy tính bị nhiễm có thể được truy cập, gửi thông tin về máy tính đến kẻ xâm nhập: địa chỉ IP, số cổng đang mở, hoặc địa chỉ email. Chúng sẽ kết nối với kẻ xâm nhập qua email, FTP, truy cập trang web của kẻ xâm nhập, hoặc bằng một cách khác. Các chương trình Trojan thông báo thường được sử dụng theo nhóm gồm nhiều Trojan khác nhau. Chúng sẽ thông báo với kẻ xâm nhập rằng các Trojan khác đã được cài đặt thành công trên máy tính của người dùng.
  Trojan-Proxy	Trojan proxy	Chúng cho phép kẻ xâm nhập có thể truy cập các trang web một cách ẩn danh sử dụng máy tính của người dùng; chúng thường được sử dụng để gửi thư rác.
  Trojan-PSW	Phần mềm đánh cắp mật khẩu	Phần mềm đánh cắp mật khẩu là một loại Trojan đánh cắp tài khoản người dùng, ví dụ như dữ liệu đăng ký phần mềm. Những Trojan này tìm thấy thông tin bí mật trong tập tin hệ thống và trong registry và gửi chúng cho "kẻ tấn công" qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác. Một số loại Trojan này được phân loại vào các kiểu riêng biệt được mô tả trong bảng này. Đó là những Trojan đánh cắp tài khoản ngân hàng (Trojan-Banker), đánh cắp dữ liệu từ ứng dụng nhắn tin nhanh (Trojan-IM), và đánh cắp thông tin của người chơi game trực tuyến (Trojan-GameThief).
  Trojan-Spy	Trojan gián điệp	Chúng sẽ theo dõi người dùng, thu thập thông tin về các hành động của người dùng khi làm việc trên máy tính. Chúng có thể đánh cắp dữ liệu mà người dùng nhập vào bằng bàn phím, chụp ảnh màn hình, hoặc thu thập danh sách các ứng dụng đang hoạt động. Sau khi chúng đã nhận được thông tin, chúng sẽ chuyển nó đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Trojan-DDoS	Trojan tấn công mạng	Chúng sẽ gửi nhiều yêu cầu từ máy tính của người dùng đến một máy chủ từ xa. Máy chủ sẽ không đủ tài nguyên để xử lý tất cả các yêu cầu, và sẽ ngừng hoạt động (Từ chối Dịch vụ, hoặc gọi tắt là DoS). Tin tặc thường sẽ lây nhiễm cho nhiều máy tính bằng các chương trình này, để chúng có thể sử dụng máy tính để đồng loạt tấn công một máy chủ. Các chương trình DoS gây ra một cuộc tấn công từ một máy tính với kiến thức của người dùng. Các chương trình DDoS (DoS Phân phối) sẽ phát động tấn công phân phối từ nhiều máy tính mà không được phát hiện bởi người dùng của máy tính bị nhiễm.
  Trojan-IM	Trojan đánh cắp thông tin từ người dùng các ứng dụng nhắn tin nhanh	Chúng sẽ đánh cắp tài khoản và mật khẩu của người dùng ứng dụng nhắn tin nhanh. Chúng sẽ truyền dữ liệu đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Rootkit	Rootkit	Chúng sẽ che giấu các ứng dụng độc hại khác và hoạt động của chúng, kéo dài sự tồn tại của những ứng dụng này trong hệ điều hành. Chúng cũng có thể che giấu các tập tin hay tiến trình đang thực hiện các ứng dụng độc hại trong bộ nhớ hoặc khóa registry của máy tính bị nhiễm. Rootkit có thể che giấu việc trao đổi dữ liệu giữa các ứng dụng trên máy tính của người dùng và các máy tính khác trên mạng.
  Trojan-SMS	Trojan dưới dạng tin nhắn SMS	Chúng có thể lây nhiễm cho điện thoại di động, gửi tin nhắn SMS đến các số điện thoại mất phí.
  Trojan-GameThief	Trojan đánh cắp thông tin từ người chơi trò chơi trực tuyến	Chúng sẽ đánh cắp thông tin tài khoản từ người chơi game trực tuyến, sau đó truyền dữ liệu này đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Trojan-Banker	Trojan đánh cắp tài khoản ngân hàng	Chúng sẽ đánh cắp dữ liệu tài khoản ngân hàng hoặc dữ liệu hệ thống tiền điện tử; gửi dữ liệu này đến tin tặc qua email, qua FTP, qua trang web của tin tặc hoặc bằng một cách khác.
  Trojan-Mailfinder	Trojan thu thập địa chỉ email	Chúng sẽ thu thập các địa chỉ email được lưu trữ trên một máy tính và gửi thông tin này đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác. Kẻ xâm nhập có thể gửi thư rác đến các địa chỉ mà chúng đã thu thập.

   

• Công cụ độc hại

  Danh mục con: Công cụ độc hại

  Cấp độ nguy hiểm: trung bình

  Khác với các loại phần mềm độc hại khác, công cụ độc hại không thực hiện hành động độc hại ngay khi chúng được khởi chạy. Chúng có thể được lưu trữ và khởi chạy một cách an toàn trên máy tính của người dùng. Kẻ xâm nhập sẽ thường sử dụng các tính năng của những chương trình này để tạo các virus, sâu và Trojan, phát động tấn công mạng trên các máy chủ từ xa, hack máy tính, hoặc thực hiện các hành động độc hại khác.

  Các tính năng khác nhau của công cụ độc hại được ghép nhóm theo phân loại được mô tả trong bảng sau.

  Tính năng của công cụ độc hại

   

  Loại	Tên	Mô tả
  Tiện ích xây dựng	Tiện ích xây dựng	Chúng cho phép tạo ra các virus, sâu và Trojan mới. Một số tiện ích xây dựng có một giao diện cửa sổ tiêu chuẩn trong đó người dùng có thể lựa chọn kiểu ứng dụng độc hại mà họ muốn tạo, cách đối phó với trình gỡ lỗi, và các tính năng khác.
  Dos	Tấn công mạng	Chúng sẽ gửi nhiều yêu cầu từ máy tính của người dùng đến một máy chủ từ xa. Máy chủ sẽ không đủ tài nguyên để xử lý tất cả các yêu cầu, và sẽ ngừng hoạt động (Từ chối Dịch vụ, hoặc gọi tắt là DoS).
  Khai thác	Mã khai thác	Mã khai thác là một bộ dữ liệu hoặc mã chương trình sử dụng lỗ hổng bảo mật của ứng dụng xử lý nó để thực hiện một hành động độc hại trên máy tính. Ví dụ, một mã khai thác có thể ghi hoặc đọc tập tin, hoặc yêu cầu các trang web "bị nhiễm". Các mã khai thác khác nhau sử dụng lỗ hổng bảo mật trong các ứng dụng hoặc dịch vụ mạng khác nhau. Giả dạng dưới dạng một gói tin mạng, mã khai thác sẽ được truyền tải qua mạng đến nhiều máy tính khác nhau, tìm kiếm các máy tính có lỗ hổng bảo mật trong dịch vụ mạng. Một mã khai thác trong một tập tin DOC sử dụng lỗ hổng bảo mật của trình xử lý văn bản. Nó có thể bắt đầu thực hiện hành động đã được lập trình sẵn bởi tin tặc khi người dùng mở tập tin bị nhiễm. Một mã khai thác được nhúng trong một email sẽ tìm kiếm lỗ hổng bảo mật trong một trình khách email bất kỳ. Nó có thể bắt đầu thực thi hành động độc hại ngay khi người dùng mở ra một email bị nhiễm trong trình khách email này. Net-Worm được phát tán qua mạng sử dụng các mã khai thác này. Mã khai thác Nuker là các gói tin mạng làm vô hiệu máy tính.
  FileCryptor	Trình mã hóa	Chúng mã hóa các ứng dụng độc hại khác để che giấu các chương trình này khỏi ứng dụng chống virus.
  Flooder	Chương trình "gây lụt" mạng	Chúng sẽ gửi vô số tin nhắn qua các kênh mạng. Loại công cụ này bao gồm, ví dụ, các chương trình gây lụt Phòng Tán gẫu IRC. Các công cụ kiểu Flooder không chứa các chương trình "gây lụt" các kênh được sử dụng bởi email, ứng dụng nhắn tin nhanh và hệ thống truyền thông di động. Những chương trình này được phân loại là các kiểu riêng biệt được mô tả trong bảng (Email-Flooder, IM-Flooder, và SMS-Flooder).
  HackTool	Công cụ hack	Chúng hỗ trợ việc hack máy tính mà chúng được cài đặt trên đó hoặc tấn công một máy tính khác (ví dụ, bằng cách bổ sung các tài khoản hệ thống mới mà không có sự cho phép của người dùng hoặc xóa nhật ký hệ thống để che dấu vết hiện diện của chúng trong hệ điều hành). Loại công cụ này bao gồm một số sniffer có chức năng độc hại, như đánh cắp mật khẩu. Sniffer là các chương trình cho phép xem lưu lượng mạng.
  Hoax	Mã lừa đảo	Chúng sẽ cảnh báo người dùng với các tin nhắn giống virus như: chúng có thể "phát hiện một virus" trong một tập tin không bị nhiễm hoặc thông báo với người dùng rằng ổ đĩa đã được định dạng lại, mặc dù thực tế điều này không xảy ra.
  Spoofer	Công cụ spoof	Chúng sẽ gửi tin nhắn và yêu cầu mạng với địa chỉ người gửi giả mạo. Kẻ xâm nhập có thể sử dụng các công cụ Spoofer để giả mạo là người gửi tin nhắn thật.
  VirTool	Công cụ sửa đổi các ứng dụng độc hại	Chúng cho phép sửa đổi các phần mềm độc hại khác, che giấu chúng khỏi ứng dụng chống virus.
  Email-Flooder	Các chương trình "gây lụt" địa chỉ email	Chúng gửi nhiều tin nhắn đến các địa chỉ email khác nhau, "gây lụt" cho các địa chỉ này. Một lượng lớn thư đến sẽ khiến người dùng không thể xem các email hữu ích trong hộp thư đến của họ.
  IM-Flooder	Các chương trình "gây lụt" cho ứng dụng nhắn tin nhanh	Chúng sẽ gửi tin nhắn gây lụt cho người dùng của các ứng dụng nhắn tin nhanh. Một lượng lớn tin nhắn sẽ khiến người dùng không thể xem các tin nhắn đến hữu ích.
  SMS-Flooder	Các chương trình "gây lụt" cho tin nhắn SMS	Chúng sẽ gửi hàng loạt tin nhắn SMS đến điện thoại di động.

   

• Phần mềm quảng cáo

  Danh mục con: phần mềm quảng cáo;

  Mức độ mối đe dọa: trung bình

  Phần mềm quảng cáo hiển thị thông tin quảng cáo đến người dùng. Các chương trình phần mềm quảng cáo hiển thị bảng quảng cáo trong giao diện của các chương trình khác và điều hướng các truy vấn tìm kiếm đến những trang web quảng cáo. Một số còn thu thập thông tin tiếp thị về người dùng và gửi nó đến nhà phát triển: thông tin này có thể bao gồm tên của các website được truy cập bởi người dùng hoặc nội dung truy vấn tìm kiếm của người dùng. Khác với các chương trình Trojan-Gián điệp, phần mềm quảng cáo gửi thông tin này đến nhà phát triển với sự cho phép của người dùng.

• Phần mềm quay số tự động

  Danh mục con: Các phần mềm hợp pháp có thể được sử dụng bởi bọn tội phạm để gây thiệt hại máy tính hoặc dữ liệu cá nhân của bạn.

  Cấp độ nguy hiểm: trung bình

  Hầu hết các ứng dụng này đều hữu ích, vậy nên có rất nhiều người dùng sử dụng chúng. Các ứng dụng này bao gồm các trình khách IRC, phần mềm tự động quay số, chương trình tải về tập tin, trình giám sát hoạt động hệ thống máy tính, tiện ích mật khẩu, và máy chủ Internet cho FTP, HTTP và Telnet.

  Tuy nhiên, nếu kẻ xâm nhập truy cập được vào những chương trình này, hoặc cấy chúng lên máy tính của người dùng, một số tính năng của ứng dụng có thể được sử dụng để phá hoại tính bảo mật.

  Các ứng dụng này khác nhau theo chức năng; các phân loại của chúng được mô tả theo bảng dưới đây.

   

  Loại	Tên	Mô tả
  Client-IRC	Trình tán gẫu Internet	Người dùng cài đặt các chương trình này để nói chuyện với mọi người trong Phòng Tán gẫu IRC. Kẻ xâm nhập sử dụng chúng để phát tán phần mềm độc hại.
  Trình gọi	Phần mềm quay số tự động	Chúng có thể thiết lập kết nối điện thoại qua modem trong chế độ ẩn.
  Trình tải về	Chương trình để tải về	Chúng có thể tải về tập tin từ các trang web trong chế độ ẩn.
  Giám sát	Chương trình giám sát	Chúng cho phép hoạt động giám sát trên máy tính mà chúng được cài đặt (xem ứng dụng nào đang hoạt động và cách chúng trao đổi dữ liệu với các ứng dụng được cài đặt trên máy tính khác).
  PSWTool	Công cụ khôi phục mật khẩu	Chúng cho phép xem và khôi phục mật khẩu bị quên. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự.
  RemoteAdmin	Chương trình quản trị từ xa	Chúng thường được sử dụng bởi quản trị viên hệ thống. Những chương trình này cho phép truy cập đến giao diện của một máy tính từ xa nhằm mục đích giám sát và quản lý nó. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự: để giám sát và quản lý các máy tính từ xa. Các chương trình quản trị từ xa hợp pháp khác với các Trojan Backdoor cho quản trị từ xa. Trojan có khả năng tự xâm nhập hệ điều hành và tự cài đặt; các chương trình hợp pháp không thể làm điều này.
  Server-FTP	Máy chủ FTP	Chúng có chức năng là các máy chủ FTP. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua FTP.
  Server-Proxy	Máy chủ proxy	Chúng có chức năng là các máy chủ proxy. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  Server-Telnet	Máy chủ Telnet	Chúng có chức năng là các máy chủ Telnet. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua Telnet.
  Server-Web	Máy chủ web	Chúng có chức năng là các máy chủ web. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua HTTP.
  RiskTool	Công cụ để làm việc trên máy tính nội bộ	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc trên máy tính của người dùng. Các công cụ này cho phép người dùng ẩn tập tin hoặc cửa sổ của các ứng dụng đang hoạt động và chấm dứt các tiến trình đang hoạt động.
  NetTool	Công cụ mạng	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc với các máy tính khác trên mạng lưới. Các công cụ này cho phép khởi động lại chúng, phát hiện các cổng mở, và bắt đầu các ứng dụng được cài đặt trên máy tính.
  Client-P2P	Trình khách mạng P2P	Chúng cho phép làm việc trên các mạng ngang hàng. Chúng có thể được sử dụng bởi kẻ xâm nhập để phát tán phần mềm độc hại.
  Client-SMTP	Trình khách SMTP	Chúng gửi email mà không có kiến thức của người dùng. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  WebToolbar	Thanh công cụ web	Chúng bổ sung thanh công cụ vào giao diện của các ứng dụng khác để sử dụng công nghệ tìm kiểm.
  FraudTool	Chương trình giả	Chúng giả làm các chương trình khác. Ví dụ, có các chương trình chống virus giả có tác dụng hiển thị thông báo về phát hiện phần mềm độc hại. Tuy nhiên, trong thực tế, chúng không tìm thấy hay khử nhiễm bất cứ thứ gì.

   

• Phát hiện các phần mềm khác có thể được sử dụng bởi kẻ xâm nhập để phá hoại máy tính hoặc dữ liệu cá nhân của bạn

  Danh mục con: Các phần mềm hợp pháp có thể được sử dụng bởi bọn tội phạm để gây thiệt hại máy tính hoặc dữ liệu cá nhân của bạn.

  Cấp độ nguy hiểm: trung bình

  Hầu hết các ứng dụng này đều hữu ích, vậy nên có rất nhiều người dùng sử dụng chúng. Các ứng dụng này bao gồm các trình khách IRC, phần mềm tự động quay số, chương trình tải về tập tin, trình giám sát hoạt động hệ thống máy tính, tiện ích mật khẩu, và máy chủ Internet cho FTP, HTTP và Telnet.

  Tuy nhiên, nếu kẻ xâm nhập truy cập được vào những chương trình này, hoặc cấy chúng lên máy tính của người dùng, một số tính năng của ứng dụng có thể được sử dụng để phá hoại tính bảo mật.

  Các ứng dụng này khác nhau theo chức năng; các phân loại của chúng được mô tả theo bảng dưới đây.

   

  Loại	Tên	Mô tả
  Client-IRC	Trình tán gẫu Internet	Người dùng cài đặt các chương trình này để nói chuyện với mọi người trong Phòng Tán gẫu IRC. Kẻ xâm nhập sử dụng chúng để phát tán phần mềm độc hại.
  Trình gọi	Phần mềm quay số tự động	Chúng có thể thiết lập kết nối điện thoại qua modem trong chế độ ẩn.
  Trình tải về	Chương trình để tải về	Chúng có thể tải về tập tin từ các trang web trong chế độ ẩn.
  Giám sát	Chương trình giám sát	Chúng cho phép hoạt động giám sát trên máy tính mà chúng được cài đặt (xem ứng dụng nào đang hoạt động và cách chúng trao đổi dữ liệu với các ứng dụng được cài đặt trên máy tính khác).
  PSWTool	Công cụ khôi phục mật khẩu	Chúng cho phép xem và khôi phục mật khẩu bị quên. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự.
  RemoteAdmin	Chương trình quản trị từ xa	Chúng thường được sử dụng bởi quản trị viên hệ thống. Những chương trình này cho phép truy cập đến giao diện của một máy tính từ xa nhằm mục đích giám sát và quản lý nó. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự: để giám sát và quản lý các máy tính từ xa. Các chương trình quản trị từ xa hợp pháp khác với các Trojan Backdoor cho quản trị từ xa. Trojan có khả năng tự xâm nhập hệ điều hành và tự cài đặt; các chương trình hợp pháp không thể làm điều này.
  Server-FTP	Máy chủ FTP	Chúng có chức năng là các máy chủ FTP. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua FTP.
  Server-Proxy	Máy chủ proxy	Chúng có chức năng là các máy chủ proxy. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  Server-Telnet	Máy chủ Telnet	Chúng có chức năng là các máy chủ Telnet. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua Telnet.
  Server-Web	Máy chủ web	Chúng có chức năng là các máy chủ web. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua HTTP.
  RiskTool	Công cụ để làm việc trên máy tính nội bộ	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc trên máy tính của người dùng. Các công cụ này cho phép người dùng ẩn tập tin hoặc cửa sổ của các ứng dụng đang hoạt động và chấm dứt các tiến trình đang hoạt động.
  NetTool	Công cụ mạng	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc với các máy tính khác trên mạng lưới. Các công cụ này cho phép khởi động lại chúng, phát hiện các cổng mở, và bắt đầu các ứng dụng được cài đặt trên máy tính.
  Client-P2P	Trình khách mạng P2P	Chúng cho phép làm việc trên các mạng ngang hàng. Chúng có thể được sử dụng bởi kẻ xâm nhập để phát tán phần mềm độc hại.
  Client-SMTP	Trình khách SMTP	Chúng gửi email mà không có kiến thức của người dùng. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  WebToolbar	Thanh công cụ web	Chúng bổ sung thanh công cụ vào giao diện của các ứng dụng khác để sử dụng công nghệ tìm kiểm.
  FraudTool	Chương trình giả	Chúng giả làm các chương trình khác. Ví dụ, có các chương trình chống virus giả có tác dụng hiển thị thông báo về phát hiện phần mềm độc hại. Tuy nhiên, trong thực tế, chúng không tìm thấy hay khử nhiễm bất cứ thứ gì.

   

• Các đối tượng được đóng gói mà việc đóng gói có thể được sử dụng để bảo vệ mã độc hại

  Kaspersky Endpoint Security sẽ quét các đối tượng nén và mô-đun giải nén trong các tập nén SFX (tự động giải nén).

  Để giấu các chương trình nguy hiểm khỏi ứng dụng chống virus, kẻ xâm nhập thường sẽ nén chúng sử dụng các trình nén đặc biệt hoặc tạo các tập tin đóng gói nhiều lớp.

  Các chuyên gia phân tích virus của Kaspersky đã xác định các trình nén phổ biến nhất trong giới tin tặc.

  Nếu Kaspersky Endpoint Security phát hiện một trình đóng gói như vậy trong một tập tin, tập tin đó có nhiều khả năng sẽ chứa một ứng dụng độc hại hoặc một ứng dụng có thể được sử dụng bởi bọn tội phạm để gây hại cho máy tính hoặc dữ liệu cá nhân của bạn.

  Kaspersky Endpoint Security sẽ tập trung vào các loại chương trình sau:

  • Các tập tin được đóng gói có thể gây hại – sử dụng để đóng gói phần mềm độc hại, ví dụ như virus, sâu và Trojan.
  • Các tập tin đóng gói nhiều lớp (cấp độ đe dọa trung bình) – đối tượng này đã được đóng gói ba lần bởi một hoặc nhiều trình đóng gói.
• Các đối tượng đóng gói đa thành phần

  Kaspersky Endpoint Security sẽ quét các đối tượng nén và mô-đun giải nén trong các tập nén SFX (tự động giải nén).

  Để giấu các chương trình nguy hiểm khỏi ứng dụng chống virus, kẻ xâm nhập thường sẽ nén chúng sử dụng các trình nén đặc biệt hoặc tạo các tập tin đóng gói nhiều lớp.

  Các chuyên gia phân tích virus của Kaspersky đã xác định các trình nén phổ biến nhất trong giới tin tặc.

  Nếu Kaspersky Endpoint Security phát hiện một trình đóng gói như vậy trong một tập tin, tập tin đó có nhiều khả năng sẽ chứa một ứng dụng độc hại hoặc một ứng dụng có thể được sử dụng bởi bọn tội phạm để gây hại cho máy tính hoặc dữ liệu cá nhân của bạn.

  Kaspersky Endpoint Security sẽ tập trung vào các loại chương trình sau:

  • Các tập tin được đóng gói có thể gây hại – sử dụng để đóng gói phần mềm độc hại, ví dụ như virus, sâu và Trojan.
  • Các tập tin đóng gói nhiều lớp (cấp độ đe dọa trung bình) – đối tượng này đã được đóng gói ba lần bởi một hoặc nhiều trình đóng gói.

Loại trừ

Bảng này chứa thông tin về các mục loại trừ quét.

Bạn có thể loại trừ các đối tượng ra khỏi tác vụ quét bằng các phương thức sau:

• Đặt đường dẫn đến tập tin hoặc thư mục.
• Nhập giá trị băm của đối tượng.
• Sử dụng ký tự đại diện:
  • Ký tự * (hoa thị) thay thế bất kỳ nhóm ký tự nào bộ ký tự, ngoại trừ các ký tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ, ký tự đại diện C:\*\*.txt sẽ bao gồm tất cả đường dẫn đến các tập tin có phần mở rộng TXT nằm trong các thư mục trên ổ C:, nhưng không phải trong các thư mục con.
  • Hai ký tự * liên tiếp thay thế bất kỳ nhóm ký tự nào (bao gồm nhóm rỗng) trong tên tập tin hoặc thư mục, bao gồm các ký tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ, ký tự đại diện C:\Folder\**\*.txt sẽ bao gồm tất cả đường dẫn đến các tập tin có phần mở rộng TXT nằm trong các thư mục con bên trong Folder, ngoại trừ chính Folder. Một đại diện phải có ít nhất một cấp lồng ghép. C:\**\*.txt không phải là một đại diện hợp lệ.
  • Ký tự ? (dấu hỏi) thay thế bất kỳ ký tự đơn nào, ngoại trừ các ký tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ: đại diện C:\Folder\???.txt sẽ bao gồm các đường dẫn đến tất cả các tập tin có trong thư mục Folder có phần mở rộng TXT và tên có ba ký tự.

    Bạn có thể sử dụng mặt nạ ở bất kỳ đâu trong đường dẫn tập tin hoặc thư mục. Ví dụ: nếu bạn muốn phạm vi quét bao gồm thư mục Downloads cho tất cả tài khoản người dùng trên máy tính, hãy nhập tên đại diện C:\Users\*\Downloads\.

• Nhập tên của loại đối tượng theo phân loại của Bách khoa toàn thư của Kaspersky (ví dụ: Email-Worm, Rootkit hoặc RemoteAdmin). Bạn có thể sử dụng tên đại diện có ký tự ? (thay thế bất kỳ ký tự đơn nào) và ký tự * (thay thế bất kỳ số lượng ký tự nào). Ví dụ: nếu nhập tên đại diện Client *, ứng dụng sẽ loại trừ các đối tượng Client-IRC, Client-P2P và Client-SMTP khỏi quá trình quét.

Ứng dụng được tin tưởng

Bảng này liệt kê các ứng dụng được tin tưởng có hoạt động không được giám sát bởi Kaspersky Endpoint Security trong hoạt động của nó.

Thành phần Kiểm soát ứng dụng quản lý việc khởi chạy của mỗi ứng dụng bất kể ứng dụng đó có được bao gồm trong bảng các ứng dụng được tin tưởng hay không.

Merge values when inheriting

(chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center)

Thao tác này sẽ gộp danh sách loại trừ quét và ứng dụng được tin tưởng trong chính sách cha và chính sách con của Kaspersky Security Center. Để gộp danh sách, chính sách con phải được cấu hình để kế thừa các thiết lập của chính sách của Kaspersky Security Center.

Nếu hộp kiểm này được chọn, các mục danh sách trong chính sách cha của Kaspersky Security Center sẽ được hiển thị trong chính sách con. Bằng cách này, bạn có thể tạo một danh sách tổng hợp các ứng dụng được tin tưởng cho toàn bộ tổ chức.

Không thể xóa hoặc chỉnh sửa các mục danh sách được kế thừa trong chính sách con. Chỉ có thể xóa và chỉnh sửa các mục trong danh sách loại trừ quét và danh sách ứng dụng được tin tưởng được gộp trong quá trình kế thừa trong chính sách cha. Bạn có thể thêm, chỉnh sửa hoặc xóa các mục danh sách trong các chính sách cấp thấp hơn.

Nếu các mục trong danh sách của chính sách con và chính sách cha khớp với nhau, thì các mục này sẽ được hiển thị dưới dạng cùng một mục của chính sách cha.

Nếu hộp kiểm này không được chọn, các mục danh sách sẽ không được gộp khi kế thừa thiết lập của chính sách Kaspersky Security Center.

Allow use of local exclusions / Allow use of local trusted applications

(chỉ khả dụng trong Bảng điều khiển Kaspersky Security Center)

Các loại trừ cục bộ và các ứng dụng được tin tưởng cục bộ (vùng tin tưởng cục bộ) - danh sách các đối tượng và ứng dụng do người dùng xác định trong Kaspersky Endpoint Security cho một máy tính cụ thể. Kaspersky Endpoint Security sẽ không giám sát các đối tượng và ứng dụng từ vùng tin tưởng. Bằng cách này, người dùng có thể tạo danh sách loại trừ cục bộ của riêng họ và các ứng dụng được tin tưởng ngoài vùng tin tưởng chung trong một chính sách.

Nếu hộp kiểm này được chọn, người dùng có thể tạo danh sách cục bộ gồm các loại trừ quét và danh sách các ứng dụng được tin tưởng cục bộ. Quản trị viên có thể sử dụng Kaspersky Security Center để xem, thêm, chỉnh sửa hoặc xóa các mục danh sách trong thuộc tính máy tính.

Nếu hộp kiểm bị xóa, người dùng chỉ có thể truy cập danh sách các loại trừ quét chung và các ứng dụng được tin tưởng được tạo trong chính sách. Nếu các danh sách cục bộ được tạo, sau khi chức năng này bị tắt, Kaspersky Endpoint Security sẽ tiếp tục loại trừ các tập tin đã liệt kê khỏi các tác vụ quét.

Kho chứng chỉ hệ thống tin tưởng

Nếu chọn một trong các kho chứng chỉ hệ thống được tin tưởng, Kaspersky Endpoint Security sẽ loại trừ các ứng dụng có chữ ký số được tin tưởng ra khỏi tác vụ quét. Kaspersky Endpoint Security sẽ tự động gán các ứng dụng đó vào nhóm Tin tưởng.

Nếu chọn Không sử dụng, Kaspersky Endpoint Security sẽ quét các ứng dụng, bất kể chúng có chữ ký số hay không. Kaspersky Endpoint Security sẽ đặt ứng dụng vào một nhóm tin tưởng tùy thuộc vào mức độ nguy hiểm mà ứng dụng này có thể gây ra cho máy tính.