Az észlelhető objektumok típusának kiválasztása
Az észlelhető objektumok típusának kiválasztása:
- Kattintson a fő alkalmazásablakban a gombra.
- Az alkalmazásbeállítások ablakában válassza a Speciális beállítások → Fenyegetések és kizárások lehetőséget.
- Az Észlelt objektumok típusai részben jelölje be a jelölőnégyzeteket azokkal az objektumtípusokkal szemben, amelyeket észlelni szeretne a Kaspersky Endpoint Security alkalmazással:
- Vírusok és férgek;
Alkategória: vírusok és férgek (Viruses_and_Worms)
Fenyegetési szint: magas
A klasszikus vírusok és férgek a felhasználó által nem jóváhagyott műveleteket végeznek. Olyan másolatokat hozhatnak létre önmagukról, amelyek szintén képesek önmaguk másolására.
Klasszikus vírus
Miután egy klasszikus vírus a számítógépbe jut, megfertőz egy fájlt, aktiválódik, rosszindulatú műveleteket hajt végre, és önmaga másolataival lát el további fájlokat.
A klasszikus vírus csak a számítógép helyi erőforrásaiban sokszorozódik meg, saját magától másik számítógépre nem tud átjutni. Csak akkor kerül át másik számítógépre, ha saját magát bemásolja egy megosztott könyvtárba, egy behelyezett CD-re, vagy, ha a felhasználó továbbít egy email üzenetet, amelynek a csatolt fájlja fertőzött.
A klasszikus vírus kódja a számítógépek, operációs rendszerek vagy alkalmazások számos területét elérheti. A környezettől függően a vírusok lehetnek fájl vírusok, boot vírusok, script vírusok vagy makróvírusok.
A vírusok rendkívül sokféle módon fertőzhetnek fájlokat. A felülíró vírusok saját kódjukkal felülírják a fertőzött fájlt, így törölve annak tartalmát. A fertőzött fájl működése leáll, így nem lehet helyreállítani. A parazita vírusok csak módosítják a fájlokat, azokat teljesen vagy részlegesen működőképes állapotban hagyva. A társító vírusok nem módosítják a fájlokat, csak másolatot készítenek róluk. Egy fertőzött fájlt megnyitva annak másolata (azaz tulajdonképpen a vírus) indul el. Az alábbi vírusok szintén megtalálhatók: hivatkozásvírusok, OBJ-vírusok, LIB-vírusok, forráskódú vírusok és számos egyéb.
Férgek
A klasszikus vírusokhoz hasonlóan a férgek kódja akkor aktiválódik és hajt végre rosszindulatú műveleteket, ha már elterjedt a rendszerben. Azért féreg a neve, mert képes „átmászni” az egyik számítógépről a másikra a felhasználó engedélye nélkül, hogy számos adatcsatornán keresztül elterjessze a másolatait.
A különböző férgeket megkülönböztető fő tulajdonság az elterjedésük módja. Az alábbi táblázat áttekintést nyújt a férgek különféle típusairól, azok terjedésének módja alapján.
A férgek terjedésének módjai
Típus
Name
Leírás
E-mail-féreg
E-mail-féreg
Ezek e-mailen keresztül terjednek.
A fertőzött e-mail tartalmaz egy a féreg másolatát tartalmazó csatolt fájlt, vagy egy hivatkozást egy webhelyre feltöltött, kifejezetten erre a célra feltört vagy létrehozott fájlhoz. Ha a felhasználó megnyitja a csatolt fájlt, a féreg aktiválódik. A hivatkozásra kattintva a fájlt letöltve, majd megnyitva a féreg szintén megkezdi a rosszindulatú műveleteket. Ezután megkezdi lemásolni saját magát, újabb e-mail címek keresésébe kezd, és terjeszteni kezdi a fertőzött üzeneteket.
IM-féreg
IM kliens férgek
Azonnali üzenetküldőkön keresztül terjednek.
Az ilyen férgek rendszerint a felhasználó partnerlistáját felhasználva üzenetet küldenek, benne egy adott webhelyen, a féreg másolatát tartalmazó fájlra mutató hivatkozással. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
IRC-féreg
Internetes csevegési férgek
Ezek olyan internetes csevegő szolgáltatásokon keresztül terjednek, amelyek valós idejű kommunikációt biztosítanak az interneten keresztül.
Az ilyen férgek az internetes csevegésben egy önmagukat tartalmazó fájlt adnak közre, vagy egy hivatkozást a fájlra. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
Hálózati féreg
Hálózati férgek
Ezek a férgek számítógépes hálózatokon terjednek.
A többi féreggel ellentétben a tipikus hálózati féreg a felhasználó beavatkozása nélkül terjed. A féreg átvizsgálja a helyi hálózaton található számítógépeket, és sebezhetőséget jelentő programokat keres. Ehhez erre a célra létrehozott hálózati programcsomagokat küld szét (amik a biztonsági rések kiaknázását végzik), benne a féreg kódjával. Ha egy „sebezhető” számítógép található a hálózaton, az megkapja az ilyen hálózati csomagot. Amint a féreg teljesen bejutott a számítógépbe, azonnal aktiválódik.
P2P-féreg
Fájlcserélő hálózati férgek
Fájlcserélő (Peer-to-Peer) hálózatokon keresztül terjednek.
A P2P hálózatba való bejutáshoz a féreg bemásolja magát a fájlcsere mappába, amely rendszerint a felhasználó számítógépén található. A P2P hálózat információkat jelenít meg a fájlról, így a felhasználó a többi fájlhoz hasonlóan „megtalálja” a fertőzött fájlt a hálózaton, majd letölti és megnyitja.
A kifinomultabb férgek adott P2P-hálózat protokollját is képesek emulálni: ezek pozitív válaszokat küldenek a keresésekre, majd felajánlják saját másolatukat letöltésre.
Férgek
Egyéb típusú férgek
Az egyéb típusú férgek a következők lehetnek:
- Saját másolataikat hálózati erőforrásokon át terjesztő férgek. Az operációs rendszer funkcióit kihasználva ezek megvizsgálják az elérhető hálózati mappákat, más számítógépekhez kapcsolódnak az interneten keresztül, és megkísérlik azok lemezmeghajtói felett átvenni a teljes uralmat. A fent ismertetett férgekkel ellentétben mások maguktól nem aktiválódnak, csak akkor, ha a felhasználó megnyitja a féreg egy másolatát tartalmazó fájlt.
- Olyan férgek, amelyek a táblázatban ismertetett módok egyikét sem használják az elterjedésre (pl. a mobiltelefonokon terjedő férgek).
- Trójai programok (köztük zsarolóprogramok);
Alkategória: Trójai programok
Fenyegetési szint: magas
A férgekkel és vírusokkal ellentétben a trójai programok nem szaporítják magukat. A számítógépet például e-mailen vagy böngészőn át szállják meg, amikor a felhasználó fertőzött weboldalt látogat meg. A trójai programok a felhasználó közreműködésével indulnak el. Rosszindulatú működésüket közvetlenül az elindulásukat követően kezdik meg.
A különböző trójai programok eltérően viselkednek a fertőzött számítógépeken. A „trójai” fő funkciói az információk blokkolása, módosítása vagy megsemmisítése, leállítva ezzel számítógépeket, hálózatokat. Ezen kívül a trójai programok fájlokat fogadnak és küldenek, futtatják azokat, üzeneteket jelenítenek meg a képernyőn, weboldalaknak küldenek kérést, programokat töltenek le és telepítenek, valamint újraindítják a számítógépet.
A hackerek gyakran különböző trójai programok „készletét” alkalmazzák.
Az alábbi táblázat a trójai programok viselkedéstípusait ismerteti.
Trójai programok viselkedése fertőzött számítógépen
Típus
Name
Leírás
Trójai ArcBomb
Trójai programok – „archívumbombák”
Kicsomagoláskor az archívumok mérete megnő, ami kihat a számítógép működésére.
Az ilyen archívum kicsomagolásakor a számítógép működése lelassul, esetleg lefagy és a merevlemez megtelhet „üres” adatokkal. Az „archívumbombák” különösen nagy veszélyt jelentenek fájl és levelező kiszolgálókra. Ha a kiszolgáló automatikus rendszert használ a beérkező információk feldolgozására, az „archívumbomba” leállíthatja a működését.
Hátsó kapu
Távoli rendszerfelügyeletet lehetővé tevő trójai programok
Az összes közül ezek a legveszélyesebb trójai programok. Funkciójuk alapján hasonlítanak a számítógépre telepített rendszerfelügyeleti alkalmazásokhoz.
Ezek a programok a felhasználó tudtán kívül telepítik magukat a számítógépre, lehetővé téve, hogy a betolakodó távolról átvegye az uralmat a gép felett.
Trójai
Trójai programok
Ez a kategória az alábbi rosszindulatú alkalmazásokat tartalmazza:
- Klasszikus trójai programok. Ezek a programok csak a trójai programok fő funkcióit látják el, melyek a következők: az információk blokkolása, módosítása vagy megsemmisítése és a számítógépek, hálózatok leállítása. Nem rendelkeznek olyan speciális funkciókkal, mint a táblázatban szereplő más típusok.
- Sokoldalú trójai programok. Ezek a programok számos trójai programra jellemző speciális funkcióval rendelkeznek.
Váltságdíj-trójai
Váltságdíj trójai
Ezek a felhasználó adatait „túszul ejtik”, módosítva vagy blokkolva azt, esetleg meggátolják a számítógép működését, hogy a felhasználó számára elvesszenek az adatok. A betolakodó váltságdíjat követel a felhasználótól, azt ígérve, hogy küld egy alkalmazást, amellyel visszaállítható a számítógép normál állapota az elveszett adatokkal együtt.
Trójai-kattintó
Trójai kattintók
Ezek a felhasználó számítógépéről weboldalakat látogatnak meg, saját maguk utasítva a webböngészőt, vagy módosítva az operációs rendszer fájljaiban megadott webcímet.
Az ilyen programokkal a betolakodó hálózati támadást indíthat, valamint webhelyek látogatottságát növelheti, hogy a reklámcsíkhirdetések megjelenítésének a száma növekedjen.
Trójai-letöltő
Trójai-letöltők
Ezek a betolakodó weboldaláról további rosszindulatú alkalmazásokat töltenek le és telepítenek a felhasználó számítógépére. A letöltendő rosszindulatú alkalmazás fájlnevét tartalmazhatják, illetve megkaphatják a meglátogatott weboldalról is.
Trójaitelepítő
Trójaitelepítők
Más trójai programokat tartalmaznak, melyeket a számítógép merevlemezére mentenek, majd telepítenek.
A betolakodók a telepítő típusú trójai programokat az alábbi célokból használhatják:
- Rosszindulatú alkalmazás telepítése a felhasználó tudtán kívül: A trójai telepítőprogramok nem jelenítenek meg rendszerüzeneteket, vagy hamis információkat jelenítenek meg például tömörített fájl hibájáról, esetleg az operációs rendszer inkompatibilis verziójáról.
- Más ismert rosszindulatú alkalmazások megvédése a felfedezéstől: nem minden vírusirtó szoftver képes felismerni a trójai telepítőprogramon belül a rosszindulatú alkalmazást.
Trójai-értesítő
Trójai-értesítők
Tájékoztatják a betolakodót, hogy a fertőzött számítógép hozzáférhető, és elküldik neki a számítógép adatait: az IP-címet, a megnyitott port számát, illetve az e-mail-címet. Kapcsolatba lépnek a betolakodóval e-mailben vagy FTP-n, weboldalának meglátogatásával vagy más módon.
Ezek a programok gyakran több trójai programból álló programcsomag részét képezik. Ezek értesítik a betolakodót a többi trójai program sikeres telepítéséről.
Trójai-proxy
Trójai-proxyk
Segítségükkel a betolakodó névtelenül érhet el weboldalakat a felhasználó számítógépéről; gyakran alkalmazzák őket levélszemét küldésére.
Trójai-PSW
Jelszólopó programok
A jelszólopók olyan típusú trójai programok, amelyek felhasználói fiókokat törnek fel, például szoftver regisztrációs adatait szerzik meg. A bizalmas adatokat a rendszerfájlokban és a regisztrációs adatbázisban érik el, majd elküldik azokat a „támadónak” e-mail, FTP útján, meglátogatva a weboldalát, esetleg más módon.
Néhány ilyen trójai program a táblázat által tárgyalt külön kategóriába sorolható. Ezek a bankfiók adatokat lopó trójai programok (Trojan-Banker), az azonnali üzenetküldő programok felhasználóitól adatokat lopó trójai programok (Trójai-IM) valamint online játékok felhasználóitól adatokat lopó trójai programok (Trojan-GameThief).
Trójai-kém
Trójai-kémek
Ezek kémkednek a felhasználó után, információkat gyűjtenek az általa a számítógépen végzett műveletekről. Eltéríthetik a felhasználó által a billentyűzeten begépelt adatokat, képernyőképet készíthetnek, vagy elkészíthetik az aktív alkalmazások teljes listáját. Miután megszerezték az információkat, eljuttatták azokat a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
Trójai-DDoS
Trójai hálózattámadók
Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS). A hackerek gyakran több számítógépet is megfertőznek ilyen programokkal, hogy több párhuzamos támadást indíthassanak egyetlen kiszolgáló ellen.
A DoS programok egy számítógépről a felhasználó tudtával indítanak támadást. A DDoS (elosztott DoS) programok több számítógépről a fertőzött számítógép felhasználójának a tudta nélkül indítanak elosztott támadást.
Trójai-IM
Azonnali üzenetküldő ügyfelek felhasználóitól adatokat lopó trójai programok
Ellopják az azonnali üzenetküldők felhasználóinak számlaszámait és jelszavait. Az információkat eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
Rootkit
Rootkitek
Ezek más rosszindulatú alkalmazásokat és azok tevékenységét maszkolják, így meghosszabbítva azok jelenlétét az operációs rendszerben. Emellett a fertőzött számítógép memóriájában olyan fájlokat, folyamatokat vagy beállításkulcsokat rejtenek el, amelyek rosszindulatú alkalmazásokat futtatnak. A rootkitek maszkolhatnak adatcserét alkalmazások között a felhasználó számítógépén és a hálózaton található számítógépek között.
Trójai-SMS
SMS-üzenetek formájában megjelenő trójai programok
Ezek mobiltelefonokat fertőznek meg, SMS-üzeneteket küldve fizetős telefonszámokra.
Trójai GameThief
Online játékok felhasználóitól adatokat lopó trójai programok
Ezek online játékok résztvevőitől lopnak fiókbejelentkezéseket, aztán eljuttatják a betolakodónak e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
Trójai bankár
Bankszámlaadatokat lopó trójai programok
Ezek bankszámlaadatokat vagy elektronikus fizetési rendszeradatokat lopnak, aztán → eljuttatják a hackernek e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
Trójai Mailfinder
E-mail címeket gyűjtő trójai programok
Ezek a számítógépen található e-mail címeket gyűjtik össze, aztán eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon. A betolakodók az összegyűjtött címekre aztán levélszemetet küldenek.
- Rosszindulatú eszközök;
Alkategória: Rosszindulatú eszközök
Veszély szintje: közepes
A többi rosszindulatú programmal ellentétben a rosszindulatú eszközök az elindítás után közvetlenül nem kezdik el a működésüket. Ily módon biztonságosan menthetők és elindíthatók a felhasználó számítógépén. A betolakodók az ilyen programok funkcióit gyakran használják vírusok, férgek és trójai programok létrehozására, hálózati támadások indítására távoli kiszolgálók ellen, számítógépek feletti uralom átvételére vagy más rosszindulatú műveletek végrehajtására.
A rosszindulatú eszközök különböző funkciói az alábbi táblázat szerint csoportosíthatók.
Rosszindulatú eszközök funkciói
Típus
Name
Leírás
Konstruktor
Konstruktorok
Ezek segítségével hozhatók létre új vírusok, férgek és trójai programok. Néhány konstruktor szabványos ablakalapú felülettel rendelkezik, ahol a felhasználó kiválaszthatja a létrehozni kívánt rosszindulatú alkalmazás típusát, a hibakeresésre adandó választ és egyéb tulajdonságokat.
Dos
Hálózati támadások
Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS).
Biztonsági rés
Biztonsági rések
Az exploit olyan adatcsomag vagy programkód, amely az alkalmazás sebezhetőségét megkeresve, azt kihasználva rosszindulatú műveletbe kezd a számítógépen. Például az exploit fájlokat ír és olvas, vagy kérést küld „fertőzött” weboldalaknak.
A különböző exploitok különböző alkalmazások vagy hálózati szolgáltatások sebezhetőségét használják ki. Az exploit hálózati csomagnak álcázva magát a hálózaton keresztül számos számítógépbe eljut, sebezhető hálózati szolgáltatásokkal rendelkező számítógépeket keresve. A DOC fájlban működő exploit a szövegszerkesztő program sebezhetőségét használja ki. A készítője által beprogramozott műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött fájlt. Az e-mail üzenetbe ágyazott exploit az e-mail kliens sebezhetőségeit keresi. A rosszindulatú műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött üzenetet az e-mail kliensben.
A hálózati férgek a hálózaton exploitok segítségével terjednek. A Nuker exploitok számítógépeket leállító hálózati csomagok.
Fájltitkosító
Titkosítók
Ezek más rosszindulatú alkalmazásokat titkosítanak, hogy elrejtsék azokat a víruskereső alkalmazások elől.
Elárasztó
Hálózatokat „szennyező” programok
Ezek nagy mennyiségű üzenetet küldenek hálózati csatornákon. Az ilyen eszközök között találhatók az internetes csevegéseket szennyező programok is.
Az elárasztó eszközök nem tartalmaznak e-mail, IM-kliens és mobilkommunikációs rendszerek csatornáit „eltömítő” programokat. Az ilyen programok külön típusként (e-mail-elárasztó, IM-elárasztó és SMS-elárasztó) szerepelnek ebben a táblázatban.
HackTool
Hackelő eszközök
Az ilyenek teszik lehetővé azon számítógép feletti uralom átvételét, amelyre feltelepültek, vagy más számítógépek megtámadását (például új rendszerfiók felvételét a felhasználó engedélye nélkül, a rendszernapló törlését, hogy elrejthető legyen a jelenlétük az operációs rendszerben). Ebbe a típusba tartoznak némely szimatoló programok, amelyek jelszavakat térítenek el. A Szimatolók olyan programok, amelyek a hálózati forgalmat képesek megjeleníteni.
Hoax
Hoaxok
Az ilyenek a felhasználót vírus jellegű üzenetekkel riogatják: ezek nem fertőzött fájlban is „észlelik a vírust”, vagy olyan formázásról értesítik a felhasználót, ami a valóságban nem történik meg.
Hamisító
Hamisító eszközök
Ezek a feladó hamis címéről küldenek üzeneteket és hálózati kéréseket. A behatolók hamisító jellegű eszközöket alkalmaznak, hogy például üzenetek valódi feladóinak adják ki magukat.
VirTool
Rosszindulatú alkalmazásokat módosító eszközök
Ezek lehetővé teszik más rosszindulatú programok módosítását, hogy elrejtsék azokat víruskereső alkalmazások elől.
E-mail-elárasztó
E-mail címeket „szennyező” programok
Ezek nagy mennyiségű üzenetet küldenek számos e-mail címre, így„szennyezve” azokat. A nagy mennyiségű beérkező üzenet gátolja a felhasználót a hasznos üzenetei kezelésében.
IM-elárasztó
Az azonnali üzenetküldők forgalmát SMS üzenetekkel „szennyező” programok
Az azonnali üzenetküldők felhasználóit elárasztják üzenetekkel. Az üzenetek nagy száma akadályozza a felhasználót a hasznos üzenetek kezelésében.
SMS-elárasztó
A forgalmat SMS üzenetekkel „szennyező” programok
Ezek nagy mennyiségű SMS-üzenetet küldenek a mobiltelefonra.
- Reklámprogram;
Alkategória: hirdetési szoftver (reklámprogram);
Fenyegetési szint: közepes
A reklámprogram a felhasználó számára biztosít reklámokat. A reklámprogram más program kezelőfelületén reklámcsík hirdetést jelenít meg, és a kereső kérését a hirdető weboldalára irányítja. Néhányuk marketinginformációkat gyűjt a felhasználóról, majd elküldi a fejlesztőnek: ezek az információk a felhasználó által meglátogatott weboldalak neveit, az általa használt keresési kulcsszavakat tartalmazhatják. A trójai kémprogramokkal ellentétben a reklámprogramok ezeket az adatokat a felhasználó beleegyezésével küldik el a fejlesztőnek.
- Autotárcsázók;
Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait
Veszély szintje: közepes
A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.
Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.
Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.
Típus
Name
Leírás
Kliens IRC
Internet csevegő kliensek
A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
Tárcsázó
Autotárcsázók
Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
Letöltő
Letöltéshez használható programok
Ezek rejtve töltenek le fájlokat különböző weboldalakról.
Monitor
Monitorozásra alkalmas programok
Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
PSWTool
Jelszó visszaállítók
Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
RemoteAdmin
Távoli rendszerfelügyeletet lehetővé tevő programok
Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából.
A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
Kiszolgáló FTP
FTP-kiszolgálók
Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
Kiszolgáló proxy
Proxykiszolgálók
Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
Kiszolgáló Telnet
Telnet-kiszolgálók
Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
Kiszolgáló Web
Web kiszolgálók
Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
RiskTool
Helyi számítógépen történő munkavégzésre szolgáló eszközök
A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
NetTool
Hálózati eszközök
A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
Kliens P2P
P2P-hálózati kliensek
Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
Kliens SMTP
SMTP-kliensek
E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
WebToolbar
Webes eszköztárak
Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
FraudTool
Pszeudoprogramok
Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.
- Egyéb olyan szoftverek észlelése, amelyekkel a behatolók károsíthatják a számítógépét vagy személyes adatait;
Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait
Veszély szintje: közepes
A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.
Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.
Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.
Típus
Name
Leírás
Kliens IRC
Internet csevegő kliensek
A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
Tárcsázó
Autotárcsázók
Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
Letöltő
Letöltéshez használható programok
Ezek rejtve töltenek le fájlokat különböző weboldalakról.
Monitor
Monitorozásra alkalmas programok
Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
PSWTool
Jelszó visszaállítók
Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
RemoteAdmin
Távoli rendszerfelügyeletet lehetővé tevő programok
Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából.
A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
Kiszolgáló FTP
FTP-kiszolgálók
Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
Kiszolgáló proxy
Proxykiszolgálók
Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
Kiszolgáló Telnet
Telnet-kiszolgálók
Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
Kiszolgáló Web
Web kiszolgálók
Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
RiskTool
Helyi számítógépen történő munkavégzésre szolgáló eszközök
A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
NetTool
Hálózati eszközök
A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
Kliens P2P
P2P-hálózati kliensek
Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
Kliens SMTP
SMTP-kliensek
E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
WebToolbar
Webes eszköztárak
Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
FraudTool
Pszeudoprogramok
Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.
- Csomagolt objektumok, melyek tömörítése felhasználható károkozásra képes kód védelmére;
A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.
A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.
A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.
Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú alkalmazást vagy olyan alkalmazást tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.
A Kaspersky Endpoint Security az alábbi programokat választja ki:
- Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
- Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.
- Többszörösen csomagolt objektumok.
A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.
A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.
A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.
Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú alkalmazást vagy olyan alkalmazást tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.
A Kaspersky Endpoint Security az alábbi programokat választja ki:
- Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
- Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.
- Vírusok és férgek;
- Mentse el a módosításokat.