Kizárások

Észlelt objektumok típusai

A megadott alkalmazásbeállításoktól függetlenül a Kaspersky Endpoint Security mindig észleli és blokkolja a vírusokat, férgeket és trójaiakat. Ezek jelentős károkat okozhatnak a számítógépen.

• Vírusok és férgek

  Alkategória: vírusok és férgek (Viruses_and_Worms)

  Fenyegetési szint: magas

  A klasszikus vírusok és férgek a felhasználó által nem jóváhagyott műveleteket végeznek. Olyan másolatokat hozhatnak létre önmagukról, amelyek szintén képesek önmaguk másolására.

  Klasszikus vírus

  Miután egy klasszikus vírus a számítógépbe jut, megfertőz egy fájlt, aktiválódik, rosszindulatú műveleteket hajt végre, és önmaga másolataival lát el további fájlokat.

  A klasszikus vírus csak a számítógép helyi erőforrásaiban sokszorozódik meg, saját magától másik számítógépre nem tud átjutni. Csak akkor kerül át másik számítógépre, ha saját magát bemásolja egy megosztott könyvtárba, egy behelyezett CD-re, vagy, ha a felhasználó továbbít egy email üzenetet, amelynek a csatolt fájlja fertőzött.

  A klasszikus vírus kódja a számítógépek, operációs rendszerek vagy alkalmazások számos területét elérheti. A környezettől függően a vírusok lehetnek fájl vírusok, boot vírusok, script vírusok vagy makróvírusok.

  A vírusok rendkívül sokféle módon fertőzhetnek fájlokat. A felülíró vírusok saját kódjukkal felülírják a fertőzött fájlt, így törölve annak tartalmát. A fertőzött fájl működése leáll, így nem lehet helyreállítani. A parazita vírusok csak módosítják a fájlokat, azokat teljesen vagy részlegesen működőképes állapotban hagyva. A társító vírusok nem módosítják a fájlokat, csak másolatot készítenek róluk. Egy fertőzött fájlt megnyitva annak másolata (azaz tulajdonképpen a vírus) indul el. Az alábbi vírusok szintén megtalálhatók: hivatkozásvírusok, OBJ-vírusok, LIB-vírusok, forráskódú vírusok és számos egyéb.

  Worm

  A klasszikus vírusokhoz hasonlóan a férgek kódja akkor aktiválódik és hajt végre rosszindulatú műveleteket, ha már elterjedt a rendszerben. Azért féreg a neve, mert képes „átmászni” az egyik számítógépről a másikra a felhasználó engedélye nélkül, hogy számos adatcsatornán keresztül elterjessze a másolatait.

  A különböző férgeket megkülönböztető fő tulajdonság az elterjedésük módja. Az alábbi táblázat áttekintést nyújt a férgek különféle típusairól, azok terjedésének módja alapján.

  A férgek terjedésének módjai

   

   

  Típus	Name	Leírás
  E-mail-féreg	E-mail-féreg	Ezek e-mailen keresztül terjednek. A fertőzött e-mail tartalmaz egy a féreg másolatát tartalmazó csatolt fájlt, vagy egy hivatkozást egy webhelyre feltöltött, kifejezetten erre a célra feltört vagy létrehozott fájlhoz. Ha a felhasználó megnyitja a csatolt fájlt, a féreg aktiválódik. A hivatkozásra kattintva a fájlt letöltve, majd megnyitva a féreg szintén megkezdi a rosszindulatú műveleteket. Ezután megkezdi lemásolni saját magát, újabb e-mail címek keresésébe kezd, és terjeszteni kezdi a fertőzött üzeneteket.
  IM-Worm	IM kliens férgek	Azonnali üzenetküldőkön keresztül terjednek. Az ilyen férgek rendszerint a felhasználó partnerlistáját felhasználva üzenetet küldenek, benne egy adott webhelyen, a féreg másolatát tartalmazó fájlra mutató hivatkozással. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
  IRC-Worm	Internetes csevegési férgek	Ezek olyan internetes csevegő szolgáltatásokon keresztül terjednek, amelyek valós idejű kommunikációt biztosítanak az interneten keresztül. Az ilyen férgek az internetes csevegésben egy önmagukat tartalmazó fájlt adnak közre, vagy egy hivatkozást a fájlra. Amikor a felhasználó letölti és megnyitja a fájlt, a féreg aktiválódik.
  Net-Worm	Hálózati férgek	Ezek a férgek számítógépes hálózatokon terjednek. A többi féreggel ellentétben a tipikus hálózati féreg a felhasználó beavatkozása nélkül terjed. A féreg átvizsgálja a helyi hálózaton található számítógépeket, és sebezhetőséget jelentő programokat keres. Ehhez erre a célra létrehozott hálózati programcsomagokat küld szét (amik a biztonsági rések kiaknázását végzik), benne a féreg kódjával. Ha egy „sebezhető” számítógép található a hálózaton, az megkapja az ilyen hálózati csomagot. Amint a féreg teljesen bejutott a számítógépbe, azonnal aktiválódik.
  P2P-Worm	Fájlcserélő hálózati férgek	Fájlcserélő (Peer-to-Peer) hálózatokon keresztül terjednek. A P2P hálózatba való bejutáshoz a féreg bemásolja magát a fájlcsere mappába, amely rendszerint a felhasználó számítógépén található. A P2P hálózat információkat jelenít meg a fájlról, így a felhasználó a többi fájlhoz hasonlóan „megtalálja” a fertőzött fájlt a hálózaton, majd letölti és megnyitja. A kifinomultabb férgek adott P2P-hálózat protokollját is képesek emulálni: ezek pozitív válaszokat küldenek a keresésekre, majd felajánlják saját másolatukat letöltésre.
  Worm	Egyéb típusú férgek	Az egyéb típusú férgek a következők lehetnek: Saját másolataikat hálózati erőforrásokon át terjesztő férgek. Az operációs rendszer funkcióit kihasználva ezek megvizsgálják az elérhető hálózati mappákat, más számítógépekhez kapcsolódnak az interneten keresztül, és megkísérlik azok lemezmeghajtói felett átvenni a teljes uralmat. A fent ismertetett férgekkel ellentétben mások maguktól nem aktiválódnak, csak akkor, ha a felhasználó megnyitja a féreg egy másolatát tartalmazó fájlt. Olyan férgek, amelyek a táblázatban ismertetett módok egyikét sem használják az elterjedésre (pl. a mobiltelefonokon terjedő férgek).

   

• Trójai programok (köztük zsarolóprogramok)

  Alkategória: Trójai programok

  Fenyegetési szint: magas

  A férgekkel és vírusokkal ellentétben a trójai programok nem szaporítják magukat. A számítógépet például e-mailen vagy böngészőn át szállják meg, amikor a felhasználó fertőzött weboldalt látogat meg. A trójai programok a felhasználó közreműködésével indulnak el. Rosszindulatú működésüket közvetlenül az elindulásukat követően kezdik meg.

  A különböző trójai programok eltérően viselkednek a fertőzött számítógépeken. A „trójai” fő funkciói az információk blokkolása, módosítása vagy megsemmisítése, leállítva ezzel számítógépeket, hálózatokat. Ezen kívül a trójai programok fájlokat fogadnak és küldenek, futtatják azokat, üzeneteket jelenítenek meg a képernyőn, weboldalaknak küldenek kérést, programokat töltenek le és telepítenek, valamint újraindítják a számítógépet.

  A hackerek gyakran különböző trójai programok „készletét” alkalmazzák.

  Az alábbi táblázat a trójai programok viselkedéstípusait ismerteti.

  Trójai programok viselkedése fertőzött számítógépen

   

  Típus	Name	Leírás
  Trojan-ArcBomb	Trójai programok – „archívumbombák”	Kicsomagoláskor az archívumok mérete megnő, ami kihat a számítógép működésére. Az ilyen archívum kicsomagolásakor a számítógép működése lelassul, esetleg lefagy és a merevlemez megtelhet „üres” adatokkal. Az „archívumbombák” különösen nagy veszélyt jelentenek fájl és levelező kiszolgálókra. Ha a kiszolgáló automatikus rendszert használ a beérkező információk feldolgozására, az „archívumbomba” leállíthatja a működését.
  Backdoor	Távoli rendszerfelügyeletet lehetővé tevő trójai programok	Az összes közül ezek a legveszélyesebb trójai programok. Funkciójuk alapján hasonlítanak a számítógépre telepített rendszerfelügyeleti alkalmazásokhoz. Ezek a programok a felhasználó tudtán kívül telepítik magukat a számítógépre, lehetővé téve, hogy a betolakodó távolról átvegye az uralmat a gép felett.
  Trojan	Trójai programok	Ez a kategória az alábbi rosszindulatú alkalmazásokat tartalmazza: Klasszikus trójai programok. Ezek a programok csak a trójai programok fő funkcióit látják el, melyek a következők: az információk blokkolása, módosítása vagy megsemmisítése és a számítógépek, hálózatok leállítása. Nem rendelkeznek olyan speciális funkciókkal, mint a táblázatban szereplő más típusok. Sokoldalú trójai programok. Ezek a programok számos trójai programra jellemző speciális funkcióval rendelkeznek.
  Trojan-Ransom	Váltságdíj trójai	Ezek a felhasználó adatait „túszul ejtik”, módosítva vagy blokkolva azt, esetleg meggátolják a számítógép működését, hogy a felhasználó számára elvesszenek az adatok. A betolakodó váltságdíjat követel a felhasználótól, azt ígérve, hogy küld egy alkalmazást, amellyel visszaállítható a számítógép normál állapota az elveszett adatokkal együtt.
  Trojan-Clicker	Trójai kattintók	Ezek a felhasználó számítógépéről weboldalakat látogatnak meg, saját maguk utasítva a webböngészőt, vagy módosítva az operációs rendszer fájljaiban megadott webcímet. Az ilyen programokkal a betolakodó hálózati támadást indíthat, valamint webhelyek látogatottságát növelheti, hogy a reklámcsíkhirdetések megjelenítésének a száma növekedjen.
  Trojan-Downloader	Trójai-letöltők	Ezek a betolakodó weboldaláról további rosszindulatú alkalmazásokat töltenek le és telepítenek a felhasználó számítógépére. A letöltendő rosszindulatú alkalmazás fájlnevét tartalmazhatják, illetve megkaphatják a meglátogatott weboldalról is.
  Trojan-Dropper	Trójaitelepítők	Más trójai programokat tartalmaznak, melyeket a számítógép merevlemezére mentenek, majd telepítenek. A betolakodók a telepítő típusú trójai programokat az alábbi célokból használhatják: Rosszindulatú alkalmazás telepítése a felhasználó tudtán kívül: A trójai telepítőprogramok nem jelenítenek meg rendszerüzeneteket, vagy hamis információkat jelenítenek meg például tömörített fájl hibájáról, esetleg az operációs rendszer inkompatibilis verziójáról. Más ismert rosszindulatú alkalmazások megvédése a felfedezéstől: nem minden vírusirtó szoftver képes felismerni a trójai telepítőprogramon belül a rosszindulatú alkalmazást.
  Trojan-Notifier	Trójai-értesítők	Tájékoztatják a betolakodót, hogy a fertőzött számítógép hozzáférhető, és elküldik neki a számítógép adatait: az IP-címet, a megnyitott port számát, illetve az e-mail-címet. Kapcsolatba lépnek a betolakodóval e-mailben vagy FTP-n, weboldalának meglátogatásával vagy más módon. Ezek a programok gyakran több trójai programból álló programcsomag részét képezik. Ezek értesítik a betolakodót a többi trójai program sikeres telepítéséről.
  Trojan-Proxy	Trójai-proxyk	Segítségükkel a betolakodó névtelenül érhet el weboldalakat a felhasználó számítógépéről; gyakran alkalmazzák őket levélszemét küldésére.
  Trojan-PSW	Jelszólopó programok	A jelszólopók olyan típusú trójai programok, amelyek felhasználói fiókokat törnek fel, például szoftver regisztrációs adatait szerzik meg. A bizalmas adatokat a rendszerfájlokban és a regisztrációs adatbázisban érik el, majd elküldik azokat a „támadónak” e-mail, FTP útján, meglátogatva a weboldalát, esetleg más módon. Néhány ilyen trójai program a táblázat által tárgyalt külön kategóriába sorolható. Ezek a bankfiók adatokat lopó trójai programok (Trojan-Banker), az azonnali üzenetküldő programok felhasználóitól adatokat lopó trójai programok (Trójai-IM) valamint online játékok felhasználóitól adatokat lopó trójai programok (Trojan-GameThief).
  Trojan-Spy	Trójai-kémek	Ezek kémkednek a felhasználó után, információkat gyűjtenek az általa a számítógépen végzett műveletekről. Eltéríthetik a felhasználó által a billentyűzeten begépelt adatokat, képernyőképet készíthetnek, vagy elkészíthetik az aktív alkalmazások teljes listáját. Miután megszerezték az információkat, eljuttatták azokat a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
  Trojan-DDoS	Trójai hálózattámadók	Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS). A hackerek gyakran több számítógépet is megfertőznek ilyen programokkal, hogy több párhuzamos támadást indíthassanak egyetlen kiszolgáló ellen. A DoS programok egy számítógépről a felhasználó tudtával indítanak támadást. A DDoS (elosztott DoS) programok több számítógépről a fertőzött számítógép felhasználójának a tudta nélkül indítanak elosztott támadást.
  Trojan-IM	Azonnali üzenetküldő ügyfelek felhasználóitól adatokat lopó trójai programok	Ellopják az azonnali üzenetküldők felhasználóinak számlaszámait és jelszavait. Az információkat eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon.
  Rootkit	Rootkitek	Ezek más rosszindulatú alkalmazásokat és azok tevékenységét maszkolják, így meghosszabbítva azok jelenlétét az operációs rendszerben. Emellett a fertőzött számítógép memóriájában olyan fájlokat, folyamatokat vagy beállításkulcsokat rejtenek el, amelyek rosszindulatú alkalmazásokat futtatnak. A rootkitek maszkolhatnak adatcserét alkalmazások között a felhasználó számítógépén és a hálózaton található számítógépek között.
  Trojan-SMS	SMS-üzenetek formájában megjelenő trójai programok	Ezek mobiltelefonokat fertőznek meg, SMS-üzeneteket küldve fizetős telefonszámokra.
  Trojan-GameThief	Online játékok felhasználóitól adatokat lopó trójai programok	Ezek online játékok résztvevőitől lopnak fiókbejelentkezéseket, aztán eljuttatják a betolakodónak e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
  Trojan-Banker	Bankszámlaadatokat lopó trójai programok	Ezek bankszámlaadatokat vagy elektronikus fizetési rendszeradatokat lopnak, aztán → eljuttatják a hackernek e-mailben, FTP-n, a weboldala meglátogatásával vagy más módon.
  Trojan-Mailfinder	E-mail címeket gyűjtő trójai programok	Ezek a számítógépen található e-mail címeket gyűjtik össze, aztán eljuttatják a betolakodónak e-mail, FTP útján, a weboldalát meglátogatva vagy más módon. A betolakodók az összegyűjtött címekre aztán levélszemetet küldenek.

   

• Rosszindulatú eszközök

  Alkategória: Rosszindulatú eszközök

  Veszély szintje: közepes

  A többi rosszindulatú programmal ellentétben a rosszindulatú eszközök az elindítás után közvetlenül nem kezdik el a működésüket. Ily módon biztonságosan menthetők és elindíthatók a felhasználó számítógépén. A betolakodók az ilyen programok funkcióit gyakran használják vírusok, férgek és trójai programok létrehozására, hálózati támadások indítására távoli kiszolgálók ellen, számítógépek feletti uralom átvételére vagy más rosszindulatú műveletek végrehajtására.

  A rosszindulatú eszközök különböző funkciói az alábbi táblázat szerint csoportosíthatók.

  Rosszindulatú eszközök funkciói

   

  Típus	Name	Leírás
  Constructor	Konstruktorok	Ezek segítségével hozhatók létre új vírusok, férgek és trójai programok. Néhány konstruktor szabványos ablakalapú felülettel rendelkezik, ahol a felhasználó kiválaszthatja a létrehozni kívánt rosszindulatú alkalmazás típusát, a hibakeresésre adandó választ és egyéb tulajdonságokat.
  Dos	Hálózati támadások	Az ilyen programok a felhasználó számítógépéről rengeteg kérést küldenek egy távoli kiszolgálóra. A kiszolgáló az összes kérésre reagálva kifogy az erőforrásaiból, és leáll (Denial-of-Service, vagy DoS).
  Exploit	Biztonsági rések	Az exploit olyan adatcsomag vagy programkód, amely az alkalmazás sebezhetőségét megkeresve, azt kihasználva rosszindulatú műveletbe kezd a számítógépen. Például az exploit fájlokat ír és olvas, vagy kérést küld „fertőzött” weboldalaknak. A különböző exploitok különböző alkalmazások vagy hálózati szolgáltatások sebezhetőségét használják ki. Az exploit hálózati csomagnak álcázva magát a hálózaton keresztül számos számítógépbe eljut, sebezhető hálózati szolgáltatásokkal rendelkező számítógépeket keresve. A DOC fájlban működő exploit a szövegszerkesztő program sebezhetőségét használja ki. A készítője által beprogramozott műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött fájlt. Az e-mail üzenetbe ágyazott exploit az e-mail kliens sebezhetőségeit keresi. A rosszindulatú műveletet akkor kezdi végrehajtani, amikor a felhasználó megnyitja a fertőzött üzenetet az e-mail kliensben. A hálózati férgek a hálózaton exploitok segítségével terjednek. A Nuker exploitok számítógépeket leállító hálózati csomagok.
  FileCryptor	Titkosítók	Ezek más rosszindulatú alkalmazásokat titkosítanak, hogy elrejtsék azokat a víruskereső alkalmazások elől.
  Flooder	Hálózatokat „szennyező” programok	Ezek nagy mennyiségű üzenetet küldenek hálózati csatornákon. Az ilyen eszközök között találhatók az internetes csevegéseket szennyező programok is. Az elárasztó eszközök nem tartalmaznak e-mail, IM-kliens és mobilkommunikációs rendszerek csatornáit „eltömítő” programokat. Az ilyen programok külön típusként (e-mail-elárasztó, IM-elárasztó és SMS-elárasztó) szerepelnek ebben a táblázatban.
  HackTool	Hackelő eszközök	Az ilyenek teszik lehetővé azon számítógép feletti uralom átvételét, amelyre feltelepültek, vagy más számítógépek megtámadását (például új rendszerfiók felvételét a felhasználó engedélye nélkül, a rendszernapló törlését, hogy elrejthető legyen a jelenlétük az operációs rendszerben). Ebbe a típusba tartoznak némely szimatoló programok, amelyek jelszavakat térítenek el. A Szimatolók olyan programok, amelyek a hálózati forgalmat képesek megjeleníteni.
  Hoax	Hoaxok	Az ilyenek a felhasználót vírus jellegű üzenetekkel riogatják: ezek nem fertőzött fájlban is „észlelik a vírust”, vagy olyan formázásról értesítik a felhasználót, ami a valóságban nem történik meg.
  Spoofer	Hamisító eszközök	Ezek a feladó hamis címéről küldenek üzeneteket és hálózati kéréseket. A behatolók hamisító jellegű eszközöket alkalmaznak, hogy például üzenetek valódi feladóinak adják ki magukat.
  VirTool	Rosszindulatú alkalmazásokat módosító eszközök	Ezek lehetővé teszik más rosszindulatú programok módosítását, hogy elrejtsék azokat víruskereső alkalmazások elől.
  Email-Flooder	E-mail címeket „szennyező” programok	Ezek nagy mennyiségű üzenetet küldenek számos e-mail címre, így„szennyezve” azokat. A nagy mennyiségű beérkező üzenet gátolja a felhasználót a hasznos üzenetei kezelésében.
  IM-Flooder	Az azonnali üzenetküldők forgalmát SMS üzenetekkel „szennyező” programok	Az azonnali üzenetküldők felhasználóit elárasztják üzenetekkel. Az üzenetek nagy száma akadályozza a felhasználót a hasznos üzenetek kezelésében.
  SMS-Flooder	A forgalmat SMS üzenetekkel „szennyező” programok	Ezek nagy mennyiségű SMS-üzenetet küldenek a mobiltelefonra.

   

• Reklámprogram

  Alkategória: hirdetési szoftver (reklámprogram);

  Fenyegetési szint: közepes

  A reklámprogram a felhasználó számára biztosít reklámokat. A reklámprogram más program kezelőfelületén reklámcsík hirdetést jelenít meg, és a kereső kérését a hirdető weboldalára irányítja. Néhányuk marketinginformációkat gyűjt a felhasználóról, majd elküldi a fejlesztőnek: ezek az információk a felhasználó által meglátogatott weboldalak neveit, az általa használt keresési kulcsszavakat tartalmazhatják. A trójai kémprogramokkal ellentétben a reklámprogramok ezeket az adatokat a felhasználó beleegyezésével küldik el a fejlesztőnek.

• Autotárcsázók

  Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait

  Veszély szintje: közepes

  A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.

  Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.

  Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.

   

  Típus	Name	Leírás
  Client-IRC	Internet csevegő kliensek	A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
  Dialer	Autotárcsázók	Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
  Downloader	Letöltéshez használható programok	Ezek rejtve töltenek le fájlokat különböző weboldalakról.
  Monitor	Monitorozásra alkalmas programok	Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
  PSWTool	Jelszó visszaállítók	Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
  RemoteAdmin	Távoli rendszerfelügyeletet lehetővé tevő programok	Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából. A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
  Server-FTP	FTP-kiszolgálók	Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
  Server-Proxy	Proxykiszolgálók	Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
  Server-Telnet	Telnet-kiszolgálók	Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
  Server-Web	Webkiszolgálók	Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
  RiskTool	Helyi számítógépen történő munkavégzésre szolgáló eszközök	A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
  NetTool	Hálózati eszközök	A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
  Client-P2P	P2P hálózati ügyfelek	Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
  Client-SMTP	SMTP-kliensek	E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
  WebToolbar	Webes eszköztárak	Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
  FraudTool	Pszeudoprogramok	Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.

   

• Egyéb olyan szoftverek észlelése, amelyekkel a behatolók károsíthatják a számítógépét vagy személyes adatait

  Alkategória: jogszerű szoftverek, amelyekkel a bűnözők károsíthatják a számítógépét vagy személyes adatait

  Veszély szintje: közepes

  A legtöbb ilyen alkalmazás hasznos, így a legtöbb felhasználó igénybe veszi őket. Ezek az alkalmazások lehetek IRC-kliensek, tárcsázók, fájlletöltő programok, számítógépes rendszertevékenység-figyelők, jelszókezelők, internetkiszolgálók FTP, HTTP, és Telnet szolgáltatásokhoz.

  Mindazonáltal ha a betolakodók hozzáféréssel rendelkeznek az ilyen programokhoz vagy bejuttatják a felhasználó számítógépébe, akkor néhány funkciójukat a biztonság feltörésére használhatják.

  Ezeknek az alkalmazásoknak eltérőek a funkcióik; az alábbi táblázat a típusaikat tartalmazza.

   

  Típus	Name	Leírás
  Client-IRC	Internet csevegő kliensek	A felhasználó az ilyen programokat másokkal való kapcsolattartásra használja internetes csevegéseken. A betolakodók ezeken a programokon keresztül terjesztik a rosszindulatú programokat.
  Dialer	Autotárcsázók	Ezek modemen keresztül rejtve hoznak létre kapcsolatot.
  Downloader	Letöltéshez használható programok	Ezek rejtve töltenek le fájlokat különböző weboldalakról.
  Monitor	Monitorozásra alkalmas programok	Ezek monitorozást tesznek lehetővé azon a számítógépen, amelyre feltelepültek (azt figyelve, hogy mely alkalmazások aktívak, és azok miként folytatják az adatcserét más számítógépekre telepített programokkal).
  PSWTool	Jelszó visszaállítók	Ezek elfelejtett jelszavak megtekintését és helyreállítását teszik lehetővé. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal:
  RemoteAdmin	Távoli rendszerfelügyeletet lehetővé tevő programok	Ezeket széles körben alkalmazzák rendszergazdák. A programok a távoli számítógép kezelőfelületét teszik elérhetővé, annak monitorozása és felügyelése céljából. A betolakodók titokban telepítik ezeket a felhasználó számítógépére ugyanilyen céllal: a távoli számítógép monitorozása és felügyelete céljából. A legális távfelügyeleti programok különböznek a hátsó kapu típusú trójai távfelügyeleti programoktól. A trójai programok jellegzetessége, hogy függetlenül bejutnak az operációs rendszerbe, és magukat feltelepítik; a jogszerű programok nem rendelkeznek ilyen funkcióval.
  Server-FTP	FTP-kiszolgálók	Ezek FTP-kiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy FTP-n keresztül távoli elérést nyissanak hozzá.
  Server-Proxy	Proxykiszolgálók	Ezek proxykiszolgálóként funkcionálnak A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
  Server-Telnet	Telnet-kiszolgálók	Ezek Telnet kiszolgálóként működnek. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy Telneten keresztül távoli elérést nyissanak hozzá.
  Server-Web	Webkiszolgálók	Ezek webkiszolgálóként funkcionálnak. A betolakodók ezeket azért telepítik a felhasználó számítógépére, hogy HTTP-n keresztül távoli elérést nyissanak hozzá.
  RiskTool	Helyi számítógépen történő munkavégzésre szolgáló eszközök	A felhasználó számára további lehetőségeket biztosítanak, amikor a számítógépén dolgozik. Az eszköz segítségével a felhasználó aktív alkalmazások ablakait, fájljait rejtheti el, és aktív folyamatokat állíthat le.
  NetTool	Hálózati eszközök	A felhasználó számára további lehetőségeket biztosítanak, amikor a hálózaton más számítógépeken dolgozik. Segítségével újraindíthatja a távoli gépeket, felderítheti a nyitott portokat, és a távoli gépre telepített alkalmazásokat futtathat.
  Client-P2P	P2P hálózati ügyfelek	Segítségükkel a felhasználó fájlcserélő (Peer-to-Peer) hálózatokon dolgozhat. A betolakodó rosszindulatú programok terjesztésére használhatja.
  Client-SMTP	SMTP-kliensek	E-mail üzeneteket küldenek a felhasználó tudta nélkül. A betolakodó azért telepíti a felhasználó számítógépére, hogy a nevében kéretlen leveleket küldjön.
  WebToolbar	Webes eszköztárak	Ezek eszköztárakkal egészítik ki más alkalmazások kezelőfelületeit, keresőmotorok elérését megkönnyítve.
  FraudTool	Pszeudoprogramok	Ezek más programoknak adják ki magukat. Lehetnek például pszeudovírusirtók, amelyek képernyőüzeneten közlik, hogy rosszindulatú programot észleltek. Valójában azonban nem találnak és nem vírusmentesítenek semmit.

   

• Csomagolt objektumok, melyek tömörítése felhasználható károkozásra képes kód védelmére

  A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.

  A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.

  A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.

  Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú alkalmazást vagy olyan alkalmazást tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.

  A Kaspersky Endpoint Security az alábbi programokat választja ki:

  • Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
  • Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.
• Többszörösen csomagolt objektumok

  A Kaspersky Endpoint Security az SFX (önkicsomagoló) archívumokban található csomagolt objektumokat és az önkicsomagoló modult is ellenőrzi.

  A veszélyes programoknak a víruskereső alkalmazások elől való elrejtéséhez a betolakodók különleges csomagolók segítségével tömörítik azokat, vagy többszörösen tömörített fájlokat hoznak létre.

  A Kaspersky víruselemzői azonosították a hackerek által leggyakrabban alkalmazott tömörítőprogramokat.

  Ha a Kaspersky Endpoint Security egy fájlban ilyen tömörítőt talál, az nagy valószínűséggel rosszindulatú alkalmazást vagy olyan alkalmazást tartalmaz, amelyet a betolakodó a számítógép vagy az adatok ellen felhasználhat.

  A Kaspersky Endpoint Security az alábbi programokat választja ki:

  • Esetleg kárt okozó csomagolt fájlok – rosszindulatú programok, például vírusok, férgek és trójaiak becsomagolására kerülnek használatra.
  • Többszörösen csomagolt fájlok (közepes fenyegetettségi szint) – a fájl háromszorosan be van csomagolva egy vagy több tömörített fájlba.

Kizárások

Ez a táblázat a vizsgálati kizárásokkal kapcsolatos adatokat tartalmaz.

A következő módszerekkel kizárhat objektumokat a vizsgálat alól:

• A fájl vagy mappa elérési útjának megadása.
• Az objektum ellenőrzőösszeg megadása.
• maszkok használata:
  • A * (csillag) karakter, mely helyettesít bármely karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\*\*.txt maszk a minden olyan TXT kiterjesztésű fájlhoz vezető útvonalat magába foglal, mely a C: meghajtón lévő mappákban található (kivéve az almappák).
  • Két egymást követő * karakter bármely karakterhalmazt helyettesíthet (az üres halmazt is) a fájlban, beleértve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Mappa\**\*.txt maszk a Mappa nevű mappában és az azon belüli mappákban található TXT kiterjesztésű fájlok összes elérési útját tartalmazza, kivéve magát a Mappát. A maszknak legalább egy beágyazási szintet kell tartalmaznia. A C:\**\*.txt maszk nem érvényes maszk.
  • A ? (kérdőjel) karakter, mely helyettesít bármely egyedülálló karaktert, kivéve a \ és / karaktereket (ezek választják el a fájlok és mappák neveit az elérési útvonalban). Például a C:\Folder\???.txt maszk tartalmazni fogja a Mappa nevű mappában lévő összes olyan fájl elérési útvonalát, aminek TXT-kiterjesztése van és három karakterből áll.

    A maszkokat bárhol használhatja a fájl vagy mappa elérési útjában. Ha például a vizsgálat hatókörét szeretné kiterjeszteni a számítógépen található összes felhasználói fiók Letöltések mappájára, írja be a C:\Users\*\Downloads\ maszkot.

    A Kaspersky Endpoint Security támogatja a környezeti változókat

    A Kaspersky Endpoint Security nem támogatja a %userprofile% környezeti változót, amikor a Kaspersky Security Center konzol segítségével hozza létre a kizárások listáját. Ha a bejegyzést minden felhasználói fiókra alkalmazni szeretné, használhatja a * karaktert (például C:\Users\*\Documents\File.exe). Amikor új környezeti változót ad hozzá, újra kell indítania az alkalmazást.

• Adja meg az objektumtípus nevét a Kaspersky Encyclopedia osztályozási rendszerének megfelelően (például e-mail-féreg, rootkit vagy RemoteAdmin). Használhat maszkokat a ? karakterrel (bármely karaktert helyettesíti) és a * karakterrel (tetszőleges számú karaktert helyettesít). Például, ha a Client* maszk van megadva, az alkalmazás kizárja a Client-IRC, Client-P2P és a Client-SMTP objektumokat is a vizsgálatokból.

Megbízható alkalmazások

Ebben a táblázatban azoknak a megbízható alkalmazásoknak a listája található, amelyeknek a tevékenységét a Kaspersky Endpoint Security működése közben nem figyeli.

A Kaspersky Endpoint Security támogatja a környezeti változókat, és a * és ? karaktereket egy maszk megadásakor.

A Kaspersky Endpoint Security nem támogatja a %userprofile% környezeti változót a megbízható alkalmazások listájának létrehozásakor a Kaspersky Security Center konzolon. Ha a bejegyzést minden felhasználói fiókra alkalmazni szeretné, használhatja a * karaktert (például C:\Users\*\Documents\File.exe). Amikor új környezeti változót ad hozzá, újra kell indítania az alkalmazást.

Az Alkalmazásfelügyelő összetevő szabályozza az egyes alkalmazások elindulását, függetlenül attól, hogy az adott alkalmazás szerepel-e a megbízható alkalmazások listáján.

Értékek egyesítése örökléskor

(csak a Kaspersky Security Center konzolon érhető el)

Ez egyesíti a Kaspersky Security Center szülő- és gyermekházirendjében szereplő vizsgálati kizárások és megbízható alkalmazások listáját. A listák egyesítéséhez a gyermekházirendet úgy kell beállítani, hogy örökölje a Kaspersky Security Center szülőházirendjének beállításait.

Ha a jelölőnégyzet be van jelölve, a Kaspersky Security Center szülőházirendjének listaelemei megjelennek a gyermekházirendekben. Így például létrehozhatja a megbízható alkalmazások összesített listáját a teljes szervezet számára.

A gyermekházirend örökölt listaelemei nem törölhetők és nem szerkeszthetők. A vizsgálati kizárások listájában szereplő elemek és az öröklődés során egyesített megbízható alkalmazások listája csak a szülőházirendben törölhető és szerkeszthető. Az alacsonyabb szintű irányelvekben lehetősége van hozzáadni, módosítani és eltávolítani a listaelemeket.

Ha a gyermek- és szülőházirend listák elemei egyeznek, ezek az elemek a szülőházirend ugyanazon elemeként jelennek meg.

Ha a jelölőnégyzet nincs bejelölve, akkor a lista elemeit nem egyesíti a rendszer, amikor a Kaspersky Security Center házirendek beállításainak öröklése zajlik.

Helyi kizárások használatának engedélyezése/Helyi megbízható alkalmazások használatának engedélyezése

(csak a Kaspersky Security Center konzolon érhető el)

Helyi kizárások és helyi megbízható alkalmazások (helyi megbízható zóna) – a felhasználó által a Kaspersky Endpoint Security alkalmazásban meghatározott objektumok és alkalmazások listája egy adott számítógépen. A Kaspersky Endpoint Security nem figyeli a helyi megbízható zónából származó objektumokat és alkalmazásokat. Így a felhasználók a házirendben található általános megbízható zóna mellett létrehozhatják a kizárásokra és megbízható alkalmazásokra vonatkozó saját listájukat is.

Ha a jelölőnégyzet be van jelölve, a felhasználó létrehozhat egy helyi listát a vizsgálati kizárásokról és egy helyi listát a megbízható alkalmazásokról. A rendszergazda a Kaspersky Security Center használatával megtekintheti, hozzáadhatja, szerkesztheti vagy törölheti a számítógép tulajdonságaiban szereplő listaelemeket.

Ha a jelölőnégyzet nincs bejelölve, a felhasználó csak a házirendben létrehozott vizsgálati kizárások általános listájához és megbízható alkalmazások általános listájához férhet hozzá.

Megbízható rendszertanúsítvány tárhelye

Valamelyik megbízható rendszertanúsítvány-áruházat kiválasztva a Kaspersky Endpoint Security kizárja a vizsgálatból a megbízható digitális aláírással aláírt alkalmazásokat. A Kaspersky Endpoint Security automatikusan hozzárendeli ezeket az alkalmazásokat a Megbízható csoporthoz.

Ha a Ne használja lehetőség van kiválasztva, a Kaspersky Endpoint Security megvizsgálja az alkalmazásokat, függetlenül attól, hogy rendelkeznek-e digitális aláírással. A Kaspersky Endpoint Security egy alkalmazást az alapján helyez megbízhatósági csoportba, hogy az alkalmazás milyen veszélyességi szintet képvisel a számítógép szempontjából.