Phát hiện đối tượng

Bất kể thiết lập ứng dụng có là gì, Kaspersky Endpoint Security sẽ luôn phát hiện và chặn các virus, sâu máy tính và Trojan. Chúng có thể gây thiệt hại đáng kể đến máy tính.

• Virus và sâu

  Danh mục con: virus và sâu (Viruses_and_Worms)

  Cấp độ đe dọa: cao

  Các loại virus và sâu truyền thống thực hiện các hành động không được người dùng cho phép. Chúng có thể tự tạo ra bản sao của chính mình, các bản sao đó cũng có thể tự nhân bản.

  Virus truyền thống

  Khi một virus truyền thống xâm nhập vào máy tính, nó sẽ lây nhiễm vào một tập tin, kích hoạt, thực hiện hành động độc hại, và chèn các bản sao của nó vào những tập tin khác.

  Một virus truyền thống sẽ tự sinh sôi trên tài nguyên mạng nội bộ của máy tính; nó không thể tự xâm nhập vào các máy tính khác. Nó chỉ có thể được truyền sang máy tính khác nếu nó chèn bản sao của mình vào một tập tin được lưu trữ trong một thư mục được chia sẻ, hoặc trên một đĩa CD trong máy, hoặc nếu một người dùng chuyển tiếp một email đính kèm tập tin bị nhiễm virus.

  Mã virus truyền thống có thể xâm nhập các khu vực khác nhau của máy tính, hệ điều hành và ứng dụng. Tùy thuộc vào môi trường, các virus được chia thành virus tập tin, virus khởi động, virus kịch bản và virus macro.

  Virus có thể lây nhiễm cho các tập tin sử dụng nhiều kỹ thuật khác nhau. Ghi đè virus sẽ ghi đè mã của nó lên mã của tập tin bị lây nhiễm và xóa nội dung của tập tin. Tập tin bị lây nhiễm sẽ ngừng hoạt động và không thể được khôi phục. Ký sinh virus sẽ sửa nội dung tập tin, để chúng vận hành toàn bộ hoặc một phần chức năng. Virus đồng hành không sửa tập tin, nhưng tạo các bản sao. Khi một tập tin nhiễm virus được mở ra, một bản sao của nó (thực chất là một virus) sẽ được khởi chạy. Các loại virus sau cũng có thể được bắt gặp: virus liên kết, virus OBJ, virus LIB, virus mã nguồn, v.v...

  Sâu

  Tương tự như virus truyền thống, mã của sâu, sẽ được kích hoạt và thực hiện các hành động độc hại sau khi nó đã xâm nhập máy tính. Sâu được đặt tên như vậy bởi chúng có thể "bò" từ một máy tính sang máy tính khác và phát tán các bản sao thông qua nhiều kênh dữ liệu mà không có sự cho phép của người dùng.

  Tính năng chính phân biệt giữa các loại sâu khác nhau là cách phát tán của chúng. Bảng sau đây cung cấp một cái nhìn tổng quan về các loại sâu khác nhau, được phân loại theo cách phát tán của chúng.

  Cách phát tán của sâu

   

   

  Loại	Tên	Mô tả
  Sâu Email	Sâu Email	Phát tán qua email. Một email nhiễm virus chứa một tập tin đính kèm với một bản sao của sâu, hoặc một liên kết đến một tập tin được tải lên một website đã bị hack hoặc được tạo vì mục đích cụ thể này. Khi bạn mở tập tin đính kèm ra, sâu sẽ được kích hoạt. Khi bạn nhấn vào liên kết tải về, và mở tập tin, sâu sẽ bắt đầu thực hiện hành động độc hại của nó. Sau đó, nó sẽ tiếp tục phát tán các bản sao, tìm kiếm các địa chỉ email khác và gửi tin nhắn nhiễm virus đến họ.
  Sâu Tin nhắn	của ứng dụng nhắn tin nhanh	Chúng được phát tán qua các ứng dụng nhắn tin nhanh. Thông thường, các loại sâu này gửi tin nhắn chứa liên kết đến một bản sao của sâu trên một website, tận dụng danh bạ của người dùng. Khi người dùng tải về và mở ra tập tin, sâu sẽ được kích hoạt.
  Sâu IRC	Sâu trò chuyện Internet	Chúng được phát tán qua các Phòng Tán gẫu IRC, là các hệ thống dịch vụ cho phép giao tiếp với những người khác qua Internet trong thời gian thực. Những loại sâu này sẽ đăng tải một tập tin với bản sao của chúng hoặc một liên kết đến tập tin trong một phòng tán gẫu Internet. Khi người dùng tải về và mở ra tập tin, sâu sẽ được kích hoạt.
  Sâu Net	Sâu Mạng	Những loại sâu này phát tán qua mạng máy tính. Khác với những loại sâu khác, một sâu mạng tiêu biểu sẽ phát tán mà không cần sự tham gia của người dùng. Nó sẽ quét mạng nội bộ để tìm các máy tính chứa những chương trình có lỗ hổng bảo mật. Để làm điều này, nó sẽ gửi đi một gói tin mạng đặc biệt (mã khai thác) chứa mã sâu hoặc một phần của nó. Nếu một máy tính có "lỗ hổng bảo mật" nằm trên mạng này, nó sẽ tiếp nhận gói tin mạng đó. Khi sâu đã hoàn thành việc xâm nhập máy tính, nó sẽ kích hoạt.
  Sâu P2P	Sâu mạng chia sẻ tập tin	Chúng được phát tán qua các mạng chia sẻ tập tin ngang hàng. Để xâm nhập một mạng P2P, sâu sẽ tự sao chép bản thân nó vào một thư mục chia sẻ tập tin, thường được đặt trên máy tính của người dùng. Mạng P2P sẽ hiển thị thông tin về tập tin này để người dùng có thể "tìm thấy" tập tin nhiễm virus trên mạng như những tập tin khác, sau đó tải về và mở nó ra. Các loại sâu tinh vi hơn sẽ giả lập giao thức mạng của một mạng P2P cụ thể: chúng sẽ gửi trả phản hồi tích cực đến các truy vấn tìm kiếm và cung cấp bản sao của chính mình để tải về.
  Sâu	Các loại sâu khác	Các loại sâu khác bao gồm: Sâu phát tán bản sao của chúng qua tài nguyên mạng. Bằng cách sử dụng chức năng của hệ điều hành, chúng sẽ quét các thư mục mạng khả dụng, kết nối đến các máy tính trên Internet, và cố gắng nhận quyền truy cập toàn diện đến ổ đĩa của chúng. Khác với những loại sâu được mô tả ở trên, các loại sâu khác không tự kích hoạt được, mà chỉ khi người dùng mở một tập tin chứa một bản sao của sâu. Các loại sâu không sử dụng bất kỳ cách phát tán nào được mô tả ở bảng trước (ví dụ, các loại sâu phát tán qua điện thoại di động).

   

• Trojan

  Danh mục con: Trojan

  Cấp độ đe dọa: cao

  Khác với sâu và virus, Trojan không tự sinh sôi. Ví dụ, chúng sẽ xâm nhập một máy tính thông qua email hoặc một trình duyệt khi người dùng truy cập một trang web bị nhiễm virus. Trojan được khởi chạy với sự tham gia của người dùng. Chúng sẽ bắt đầu thực hiện hành động độc hại ngay khi được bắt đầu.

  Các Trojan khác nhau sẽ hành xử khác nhau trên máy tính bị nhiễm. Chức năng chính của Trojan bao gồm chặn, sửa đổi hoặc phá hủy thông tin, và tắt máy tính hoặc mạng. Trojan cũng có thể nhận hoặc gửi tập tin, thực thi chúng, hiển thị thông báo lên màn hình, yêu cầu trang web, tải về và cài đặt các chương trình, và khởi động lại máy tính.

  Tin tặc thường sử dụng "các nhóm" Trojan khác nhau.

  Các loại hành vi Trojan được mô tả trong bảng dưới đây:

  Loại hành vi Trojan trên một máy tính bị nhiễm

   

  Loại	Tên	Mô tả
  Trojan-ArcBomb	Trojans – "bom nén"	Khi giải nén, các tập nén này sẽ tăng kích cỡ đến mức mà hoạt động của máy tính sẽ bị ảnh hưởng. Khi người dùng cố gắng giải nén tập nén này, máy tính có thể bị chậm đến mức treo; ổ cứng có thể bị lấp đầy dữ liệu "trống". "Bom nén" đặc biệt nguy hiểm đối với các máy chủ tập tin và email. Nếu máy chủ sử dụng một hệ thống tự động để xử lý thông tin đến, một "bom nén" có thể ngừng hoạt động của máy chủ.
  Backdoor	Trojan quản trị từ xa	Đây được coi là loại Trojan nguy hiểm nhất. Chức năng của chúng cũng tương tự như các ứng dụng quản trị từ xa được cài đặt trên máy tính. Những chương trình này sẽ cài đặt bản thân trên máy tính mà không được người dùng phát hiện, cho phép kẻ xâm nhập có thể quản lý máy tính từ xa.
  Trojan	Trojan	Chúng bao gồm các chương trình độc hại sau: Trojan truyền thống. Những chương trình này chỉ thực hiện chức năng chính của Trojan: chặn, sửa đổi hoặc phá hủy thông tin, và tắt máy tính hoặc mạng. Chúng không có các tính năng cao cấp, khác với những loại Trojan khác được mô tả trong bảng này. Trojan linh hoạt. Những chương trình này có các tính năng cao cấp giống nhiều loại Trojan khác nhau.
  Trojan-Ransom	Trojan tống tiền	Chúng bắt thông tin người dùng "làm con tin", sửa đổi hoặc chặn nó, hoặc ảnh hưởng đến hoạt động của máy tính để người dùng mất khả năng sử dụng thông tin này. Kẻ xâm nhập sẽ đòi hỏi tiền chuộc từ người dùng, hứa hẹn sẽ gửi một chương trình khôi phục hiệu năng máy tính và dữ liệu đã được lưu trữ trên đó.
  Trojan-Clicker	Trojan nhấn chuột	Chúng sẽ truy cập các trang web từ máy tính của người dùng, bằng cách gửi đi lệnh đến trình duyệt hoặc thay đổi các địa chỉ web được quy định trong tập tin hệ điều hành. Bằng cách sử dụng các chương trình này, kẻ xâm nhập có thể gây ra các cuộc tấn công mạng và tăng lượng truy cập website, tăng số lượt hiển thị bảng quảng cáo.
  Trojan-Downloader	Trojan tải về	Chúng sẽ truy cập trang web của kẻ xâm nhập, tải về các chương trình độc hại khác, và cài đặt chúng trên máy tính của người dùng. Chúng có thể chứa tên tập tin của chương trình độc hại để tải về, hoặc nhận nó từ trang web được truy cập.
  Trojan-Dropper	Trojan đổ bộ	Chúng chứa các Trojan khác sẽ được chúng giải nén trên ổ cứng và cài đặt. Kẻ xâm nhập có thể sử dụng Trojan đổ bộ vì các mục đích sau: Cài đặt một chương trình độc hại mà không bị người dùng phát hiện: các chương trình Trojan đổ bộ không hiển thị thông báo nào, hay hiển thị các thông báo giả mạo rằng, ví dụ, có một lỗi trong một tập nén hoặc một phiên bản không tương thích của hệ điều hành. Bảo vệ một chương trình độc hại khác, đã được biết, khỏi bị phát hiện: không phải phần mềm chống virus nào cũng có thể phát hiện một chương trình độc hại trong một chương trình Trojan đổ bộ.
  Trojan-Notifier	Trojan thông báo	Chúng sẽ thông báo cho kẻ xâm nhập rằng máy tính bị nhiễm có thể được truy cập, gửi thông tin về máy tính đến kẻ xâm nhập: địa chỉ IP, số cổng đang mở, hoặc địa chỉ email. Chúng sẽ kết nối với kẻ xâm nhập qua email, FTP, truy cập trang web của kẻ xâm nhập, hoặc bằng một cách khác. Các chương trình Trojan thông báo thường được sử dụng theo nhóm gồm nhiều Trojan khác nhau. Chúng sẽ thông báo với kẻ xâm nhập rằng các Trojan khác đã được cài đặt thành công trên máy tính của người dùng.
  Trojan-Proxy	Trojan proxy	Chúng cho phép kẻ xâm nhập có thể truy cập các trang web một cách ẩn danh sử dụng máy tính của người dùng; chúng thường được sử dụng để gửi thư rác.
  Trojan-PSW	Phần mềm đánh cắp mật khẩu	Phần mềm đánh cắp mật khẩu là một loại Trojan đánh cắp tài khoản người dùng, ví dụ như dữ liệu đăng ký phần mềm. Những Trojan này tìm thấy thông tin bí mật trong tập tin hệ thống và trong registry và gửi chúng đến "chủ nhân" qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác. Một số loại Trojan này được phân loại vào các kiểu riêng biệt được mô tả trong bảng này. Đó là những Trojan đánh cắp tài khoản ngân hàng (Trojan-Banker), đánh cắp dữ liệu từ ứng dụng nhắn tin nhanh (Trojan-IM), vàđánh cắp thông tin của người chơi trò chơi trực tuyến (Trojan-GameThief).
  Trojan-Spy	Trojan gián điệp	Chúng sẽ theo dõi người dùng, thu thập thông tin về các hành động của người dùng khi làm việc trên máy tính. Chúng có thể đánh cắp dữ liệu mà người dùng nhập vào bằng bàn phím, chụp ảnh màn hình, hoặc thu thập danh sách các ứng dụng đang hoạt động. Sau khi chúng đã nhận được thông tin, chúng sẽ chuyển nó đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Trojan-DDoS	Trojan tấn công mạng	Chúng sẽ gửi nhiều yêu cầu từ máy tính của người dùng đến một máy chủ từ xa. Máy chủ sẽ không đủ tài nguyên để xử lý tất cả các yêu cầu, và sẽ ngừng hoạt động (Từ chối Dịch vụ, hoặc gọi tắt là DoS). Tin tặc thường sẽ lây nhiễm cho nhiều máy tính bằng các chương trình này, để chúng có thể sử dụng máy tính để đồng loạt tấn công một máy chủ. Các chương trình DoS gây ra một cuộc tấn công từ một máy tính với kiến thức của người dùng. Các chương trình DDoS (DoS Phân phối) sẽ phát động tấn công phân phối từ nhiều máy tính mà không được phát hiện bởi người dùng của máy tính bị nhiễm.
  Trojan-IM	Trojan đánh cắp thông tin từ người dùng các ứng dụng nhắn tin nhanh	Chúng sẽ đánh cắp tài khoản và mật khẩu của người dùng ứng dụng nhắn tin nhanh. Chúng sẽ truyền dữ liệu đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Rootkit	Rootkit	Chúng sẽ che giấu các chương trình độc hại khác và hoạt động của chúng, kéo dài sự tồn tại của những chương trình này trong hệ điều hành. Chúng cũng có thể che giấu các tập tin hay tiến trình đang thực hiện các chương trình độc hại trong bộ nhớ hoặc khóa registry của máy tính bị nhiễm. Rootkit có thể che giấu việc trao đổi dữ liệu giữa các ứng dụng trên máy tính của người dùng và các máy tính khác trên mạng.
  Trojan-SMS	Trojan dưới dạng tin nhắn SMS	Chúng có thể lây nhiễm cho điện thoại di động, gửi tin nhắn SMS đến các số điện thoại mất phí.
  Trojan-GameThief	Trojan đánh cắp thông tin từ người chơi trò chơi trực tuyến	Chúng sẽ đánh cắp thông tin tài khoản từ người chơi trò chơi trực tuyến, sau đó truyền dữ liệu này đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác.
  Trojan-Banker	Trojan đánh cắp tài khoản ngân hàng	Chúng sẽ đánh cắp dữ liệu tài khoản ngân hàng hoặc dữ liệu hệ thống tiền điện tử, sau đó gửi dữ liệu này đến tin tặc qua email, qua FTP, qua trang web của tin tặc, hoặc bằng một cách khác.
  Trojan-Mailfinder	Trojan thu thập địa chỉ email	Chúng sẽ thu thập các địa chỉ email được lưu trữ trên một máy tính và gửi thông tin này đến kẻ xâm nhập qua email, qua FTP, qua trang web của kẻ xâm nhập, hoặc bằng một cách khác. Kẻ xâm nhập có thể gửi thư rác đến các địa chỉ mà chúng đã thu thập.

   

• Công cụ độc hại

  Danh mục con: Công cụ độc hại

  Cấp độ nguy hiểm: trung bình

  Khác với các loại phần mềm độc hại khác, công cụ độc hại không thực hiện hành động độc hại ngay khi chúng được khởi chạy. Chúng có thể được lưu trữ và khởi chạy một cách an toàn trên máy tính của người dùng. Kẻ xâm nhập sẽ thường sử dụng các tính năng của những chương trình này để tạo các virus, sâu và Trojan, phát động tấn công mạng trên các máy chủ từ xa, hack máy tính, hoặc thực hiện các hành động độc hại khác.

  Các tính năng khác nhau của công cụ độc hại được ghép nhóm theo phân loại được mô tả trong bảng sau.

  Tính năng của công cụ độc hại

   

  Loại	Tên	Mô tả
  Tiện ích xây dựng	Tiện ích xây dựng	Chúng cho phép tạo ra các virus, sâu và Trojan mới. Một số tiện ích xây dựng có một giao diện cửa sổ tiêu chuẩn trong đó người dùng có thể lựa chọn kiểu chương trình độc hại mà họ muốn tạo, cách đối phó với trình gỡ lỗi, và các tính năng khác
  Dos	Tấn công mạng	Chúng sẽ gửi nhiều yêu cầu từ máy tính của người dùng đến một máy chủ từ xa. Máy chủ sẽ không đủ tài nguyên để xử lý tất cả các yêu cầu, và sẽ ngừng hoạt động (Từ chối Dịch vụ, hoặc gọi tắt là DoS).
  Khai thác	Mã khai thác	Mã khai thác là một bộ dữ liệu hoặc mã chương trình sử dụng lỗ hổng bảo mật của ứng dụng xử lý nó để thực hiện một hành động độc hại trên máy tính. Ví dụ, một mã khai thác có thể ghi hoặc đọc tập tin, hoặc yêu cầu các trang web "bị nhiễm". Các mã khai thác khác nhau sử dụng lỗ hổng bảo mật trong các ứng dụng hoặc dịch vụ mạng khác nhau. Giả dạng dưới dạng một gói tin mạng, mã khai thác sẽ được truyền tải qua mạng đến nhiều máy tính khác nhau, tìm kiếm các máy tính có lỗ hổng bảo mật trong dịch vụ mạng. Một mã khai thác trong một tập tin DOC sử dụng lỗ hổng bảo mật của trình xử lý văn bản. Nó có thể bắt đầu thực hiện hành động đã được lập trình sẵn bởi tin tặc khi người dùng mở tập tin bị nhiễm. Một mã khai thác được nhúng trong một email sẽ tìm kiếm lỗ hổng bảo mật trong một trình khách email bất kỳ. Nó có thể bắt đầu thực thi hành động độc hại ngay khi người dùng mở ra một email bị nhiễm trong trình khách email này. Net-Worm được phát tán qua mạng sử dụng các mã khai thác này. Mã khai thác Nuker là các gói tin mạng làm vô hiệu máy tính.
  FileCryptor	Trình mã hóa	Chúng mã hóa các chương trình độc hại khác để che giấu các chương trình này khỏi ứng dụng chống virus.
  Flooder	Chương trình "gây lụt" mạng	Chúng sẽ gửi vô số tin nhắn qua các kênh mạng. Loại công cụ này bao gồm, ví dụ, các chương trình gây lụt Phòng Tán gẫu IRC. Các công cụ kiểu Flooder không chứa các chương trình "gây lụt" các kênh được sử dụng bởi email, ứng dụng nhắn tin nhanh và hệ thống truyền thông di động. Những chương trình này được phân loại là các kiểu riêng biệt được mô tả trong bảng (Email-Flooder, IM-Flooder, và SMS-Flooder).
  HackTool	Công cụ hack	Chúng hỗ trợ việc hack máy tính mà chúng được cài đặt trên đó hoặc tấn công một máy tính khác (ví dụ, bằng cách bổ sung các tài khoản hệ thống mới mà không có sự cho phép của người dùng hoặc xóa nhật ký hệ thống để che dấu vết hiện diện của chúng trong hệ điều hành). Loại công cụ này bao gồm một số sniffer có chức năng độc hại, như đánh cắp mật khẩu. Sniffer là các chương trình cho phép xem lưu lượng mạng.
  Hoax	Mã lừa đảo	Chúng sẽ cảnh báo người dùng với các tin nhắn giống virus như: chúng có thể "phát hiện một virus" trong một tập tin không bị nhiễm hoặc thông báo với người dùng rằng ổ đĩa đã được định dạng lại, mặc dù thực tế điều này không xảy ra.
  Spoofer	Công cụ spoof	Chúng sẽ gửi tin nhắn và yêu cầu mạng với địa chỉ người gửi giả mạo. Kẻ xâm nhập có thể sử dụng các công cụ Spoofer để giả mạo là người gửi tin nhắn thật.
  VirTool	Công cụ sửa đổi các chương trình độc hại	Chúng cho phép sửa đổi các phần mềm độc hại khác, che giấu chúng khỏi ứng dụng chống virus.
  Email-Flooder	Các chương trình "gây lụt" địa chỉ email	Chúng gửi nhiều tin nhắn đến các địa chỉ email khác nhau, "gây lụt" cho các địa chỉ này. Một lượng lớn thư đến sẽ khiến người dùng không thể xem các email hữu ích trong hộp thư đến của họ.
  IM-Flooder	Các chương trình "gây lụt" cho ứng dụng nhắn tin nhanh	Chúng sẽ gửi tin nhắn gây lụt cho người dùng của các ứng dụng nhắn tin nhanh. Một lượng lớn tin nhắn sẽ khiến người dùng không thể xem các tin nhắn đến hữu ích.
  SMS-Flooder	Các chương trình "gây lụt" cho tin nhắn SMS	Chúng sẽ gửi hàng loạt tin nhắn SMS đến điện thoại di động.

   

• Phần mềm quảng cáo

  Danh mục con: phần mềm quảng cáo;

  Cấp độ đe dọa: trung bình

  Phần mềm quảng cáo hiển thị thông tin quảng cáo đến người dùng. Các chương trình phần mềm quảng cáo hiển thị bảng quảng cáo trong giao diện của các chương trình khác và điều hướng các truy vấn tìm kiếm đến những trang web quảng cáo. Một số còn thu thập thông tin tiếp thị về người dùng và gửi nó đến nhà phát triển: thông tin này có thể bao gồm tên của các website được truy cập bởi người dùng hoặc nội dung truy vấn tìm kiếm của người dùng. Khác với các chương trình Trojan-Gián điệp, phần mềm quảng cáo gửi thông tin này đến nhà phát triển với sự cho phép của người dùng.

• Tự động quay số

  Danh mục con: Các phần mềm hợp pháp có thể được sử dụng bởi bọn tội phạm để gây thiệt hại máy tính hoặc dữ liệu cá nhân của bạn.

  Cấp độ nguy hiểm: trung bình

  Hầu hết các ứng dụng này đều hữu ích, vậy nên có rất nhiều người dùng sử dụng chúng. Các ứng dụng này bao gồm các trình khách IRC, phần mềm tự động quay số, chương trình tải về tập tin, trình giám sát hoạt động hệ thống máy tính, tiện ích mật khẩu, và máy chủ Internet cho FTP, HTTP và Telnet.

  Tuy nhiên, nếu kẻ xâm nhập truy cập được vào những chương trình này, hoặc cấy chúng lên máy tính của người dùng, một số tính năng của ứng dụng có thể được sử dụng để phá hoại tính bảo mật.

  Các ứng dụng này khác nhau theo chức năng; các phân loại của chúng được mô tả theo bảng dưới đây.

   

  Loại	Tên	Mô tả
  Client-IRC	Trình tán gẫu Internet	Người dùng cài đặt các chương trình này để nói chuyện với mọi người trong Phòng Tán gẫu IRC. Kẻ xâm nhập sử dụng chúng để phát tán phần mềm độc hại.
  Trình gọi	Tự động quay số	Chúng có thể thiết lập kết nối điện thoại qua modem trong chế độ ẩn.
  Trình tải về	Chương trình để tải về	Chúng có thể tải về tập tin từ các trang web trong chế độ ẩn.
  Giám sát	Chương trình giám sát	Chúng cho phép hoạt động giám sát trên máy tính mà chúng được cài đặt (xem ứng dụng nào đang hoạt động và cách chúng trao đổi dữ liệu với các ứng dụng được cài đặt trên máy tính khác).
  PSWTool	Công cụ khôi phục mật khẩu	Chúng cho phép xem và khôi phục mật khẩu bị quên. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự.
  RemoteAdmin	Chương trình quản trị từ xa	Chúng thường được sử dụng bởi quản trị viên hệ thống. Những chương trình này cho phép truy cập đến giao diện của một máy tính từ xa nhằm mục đích giám sát và quản lý nó. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự: để giám sát và quản lý các máy tính từ xa. Các chương trình quản trị từ xa hợp pháp khác với các Trojan Backdoor cho quản trị từ xa. Trojan có khả năng tự xâm nhập hệ điều hành và tự cài đặt; các chương trình hợp pháp không thể làm điều này.
  Server-FTP	Máy chủ FTP	Chúng có chức năng là các máy chủ FTP. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua FTP.
  Server-Proxy	Máy chủ proxy	Chúng có chức năng là các máy chủ proxy. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  Server-Telnet	Máy chủ Telnet	Chúng có chức năng là các máy chủ Telnet. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua Telnet.
  Server-Web	Máy chủ web	Chúng có chức năng là các máy chủ web. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua HTTP.
  RiskTool	Công cụ để làm việc trên máy tính nội bộ	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc trên máy tính của người dùng. Các công cụ này cho phép người dùng ẩn tập tin hoặc cửa sổ của các ứng dụng đang hoạt động và chấm dứt các tiến trình đang hoạt động.
  NetTool	Công cụ mạng	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc với các máy tính khác trên mạng lưới. Các công cụ này cho phép khởi động lại chúng, phát hiện các cổng mở, và bắt đầu các ứng dụng được cài đặt trên máy tính.
  Client-P2P	Trình khách mạng P2P	Chúng cho phép làm việc trên các mạng ngang hàng. Chúng có thể được sử dụng bởi kẻ xâm nhập để phát tán phần mềm độc hại.
  Client-SMTP	Trình khách SMTP	Chúng gửi email mà không có kiến thức của người dùng. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  WebToolbar	Thanh công cụ web	Chúng bổ sung thanh công cụ vào giao diện của các ứng dụng khác để sử dụng công nghệ tìm kiểm.
  FraudTool	Chương trình giả	Chúng giả làm các chương trình khác. Ví dụ, có các chương trình chống virus giả có tác dụng hiển thị thông báo về phát hiện phần mềm độc hại. Tuy nhiên, trong thực tế, chúng không tìm thấy hay khử nhiễm bất cứ thứ gì.

   

• Khác

  Danh mục con: Các phần mềm hợp pháp có thể được sử dụng bởi bọn tội phạm để gây thiệt hại máy tính hoặc dữ liệu cá nhân của bạn.

  Cấp độ nguy hiểm: trung bình

  Hầu hết các ứng dụng này đều hữu ích, vậy nên có rất nhiều người dùng sử dụng chúng. Các ứng dụng này bao gồm các trình khách IRC, phần mềm tự động quay số, chương trình tải về tập tin, trình giám sát hoạt động hệ thống máy tính, tiện ích mật khẩu, và máy chủ Internet cho FTP, HTTP và Telnet.

  Tuy nhiên, nếu kẻ xâm nhập truy cập được vào những chương trình này, hoặc cấy chúng lên máy tính của người dùng, một số tính năng của ứng dụng có thể được sử dụng để phá hoại tính bảo mật.

  Các ứng dụng này khác nhau theo chức năng; các phân loại của chúng được mô tả theo bảng dưới đây.

   

  Loại	Tên	Mô tả
  Client-IRC	Trình tán gẫu Internet	Người dùng cài đặt các chương trình này để nói chuyện với mọi người trong Phòng Tán gẫu IRC. Kẻ xâm nhập sử dụng chúng để phát tán phần mềm độc hại.
  Trình gọi	Tự động quay số	Chúng có thể thiết lập kết nối điện thoại qua modem trong chế độ ẩn.
  Trình tải về	Chương trình để tải về	Chúng có thể tải về tập tin từ các trang web trong chế độ ẩn.
  Giám sát	Chương trình giám sát	Chúng cho phép hoạt động giám sát trên máy tính mà chúng được cài đặt (xem ứng dụng nào đang hoạt động và cách chúng trao đổi dữ liệu với các ứng dụng được cài đặt trên máy tính khác).
  PSWTool	Công cụ khôi phục mật khẩu	Chúng cho phép xem và khôi phục mật khẩu bị quên. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự.
  RemoteAdmin	Chương trình quản trị từ xa	Chúng thường được sử dụng bởi quản trị viên hệ thống. Những chương trình này cho phép truy cập đến giao diện của một máy tính từ xa nhằm mục đích giám sát và quản lý nó. Kẻ xâm nhập sẽ ngầm cấy chúng trên máy tính của người dùng với mục đích tương tự: để giám sát và quản lý các máy tính từ xa. Các chương trình quản trị từ xa hợp pháp khác với các Trojan Backdoor cho quản trị từ xa. Trojan có khả năng tự xâm nhập hệ điều hành và tự cài đặt; các chương trình hợp pháp không thể làm điều này.
  Server-FTP	Máy chủ FTP	Chúng có chức năng là các máy chủ FTP. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua FTP.
  Server-Proxy	Máy chủ proxy	Chúng có chức năng là các máy chủ proxy. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  Server-Telnet	Máy chủ Telnet	Chúng có chức năng là các máy chủ Telnet. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua Telnet.
  Server-Web	Máy chủ web	Chúng có chức năng là các máy chủ web. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để truy cập từ xa đến máy tính qua HTTP.
  RiskTool	Công cụ để làm việc trên máy tính nội bộ	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc trên máy tính của người dùng. Các công cụ này cho phép người dùng ẩn tập tin hoặc cửa sổ của các ứng dụng đang hoạt động và chấm dứt các tiến trình đang hoạt động.
  NetTool	Công cụ mạng	Chúng cung cấp cho người dùng những tính năng bổ sung khi làm việc với các máy tính khác trên mạng lưới. Các công cụ này cho phép khởi động lại chúng, phát hiện các cổng mở, và bắt đầu các ứng dụng được cài đặt trên máy tính.
  Client-P2P	Trình khách mạng P2P	Chúng cho phép làm việc trên các mạng ngang hàng. Chúng có thể được sử dụng bởi kẻ xâm nhập để phát tán phần mềm độc hại.
  Client-SMTP	Trình khách SMTP	Chúng gửi email mà không có kiến thức của người dùng. Kẻ xâm nhập sẽ cấy chúng lên máy tính của người dùng để gửi thư rác với tên của người dùng.
  WebToolbar	Thanh công cụ web	Chúng bổ sung thanh công cụ vào giao diện của các ứng dụng khác để sử dụng công nghệ tìm kiểm.
  FraudTool	Chương trình giả	Chúng giả làm các chương trình khác. Ví dụ, có các chương trình chống virus giả có tác dụng hiển thị thông báo về phát hiện phần mềm độc hại. Tuy nhiên, trong thực tế, chúng không tìm thấy hay khử nhiễm bất cứ thứ gì.

   

• Các tập tin đóng gói có thể gây nguy hiểm

  Kaspersky Endpoint Security sẽ quét các đối tượng nén và mô-đun giải nén trong các tập nén SFX (tự động giải nén).

  Để giấu các chương trình nguy hiểm khỏi ứng dụng chống virus, kẻ xâm nhập thường sẽ nén chúng sử dụng các trình nén đặc biệt hoặc tạo các tập tin đóng gói nhiều lớp.

  Các chuyên gia phân tích virus của Kaspersky đã xác định các trình nén phổ biến nhất trong giới tin tặc.

  Nếu Kaspersky Endpoint Security phát hiện một trình đóng gói như vậy trong một tập tin, tập tin đó có nhiều khả năng sẽ chứa một chương trình độc hại hoặc một chương trình có thể được sử dụng bởi bọn tội phạm để gây hại cho máy tính hoặc dữ liệu cá nhân của bạn.

  Kaspersky Endpoint Security sẽ tập trung vào các loại chương trình sau:

  • Các tập tin được đóng gói có thể gây hại – sử dụng để đóng gói phần mềm độc hại, ví dụ như virus, sâu và Trojan.
  • Các tập tin đóng gói nhiều lớp (cấp độ đe dọa trung bình) – đối tượng này đã được đóng gói ba lần bởi một hoặc nhiều trình đóng gói.
• Các tập tin nén

  Kaspersky Endpoint Security sẽ quét các đối tượng nén và mô-đun giải nén trong các tập nén SFX (tự động giải nén).

  Để giấu các chương trình nguy hiểm khỏi ứng dụng chống virus, kẻ xâm nhập thường sẽ nén chúng sử dụng các trình nén đặc biệt hoặc tạo các tập tin đóng gói nhiều lớp.

  Các chuyên gia phân tích virus của Kaspersky đã xác định các trình nén phổ biến nhất trong giới tin tặc.

  Nếu Kaspersky Endpoint Security phát hiện một trình đóng gói như vậy trong một tập tin, tập tin đó có nhiều khả năng sẽ chứa một chương trình độc hại hoặc một chương trình có thể được sử dụng bởi bọn tội phạm để gây hại cho máy tính hoặc dữ liệu cá nhân của bạn.

  Kaspersky Endpoint Security sẽ tập trung vào các loại chương trình sau:

  • Các tập tin được đóng gói có thể gây hại – sử dụng để đóng gói phần mềm độc hại, ví dụ như virus, sâu và Trojan.
  • Các tập tin đóng gói nhiều lớp (cấp độ đe dọa trung bình) – đối tượng này đã được đóng gói ba lần bởi một hoặc nhiều trình đóng gói.

Loại trừ quét

Bảng này chứa thông tin về các mục loại trừ quét.

Bạn có thể loại trừ các đối tượng ra khỏi tác vụ quét bằng các phương thức sau:

• đặt đường dẫn đến tập tin hoặc thư mục;
• nhập hash đối tượng;
• Sử dụng ký tự đại diện:
  • Ký tự * (hoa thị) thay thế bất kỳ nhóm ký́ tự nào trong tên tập tin hoặc thư mục, ngoại trừ các ký́ tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ, ký tự đại diện C:\*\*.txt sẽ bao gồm tất cả đường dẫn đến các tập tin có phần mở rộng TXT nằm trong các thư mục trên ổ C:, nhưng không phải trong các thư mục con.
  • Hai ký tự * liên tiếp thay thế bất kỳ nhóm ký́ tự nào (bao gồm nhóm rỗng) trong tên tập tin hoặc thư mục, bao gồm các ký́ tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ, ký tự đại diện C:\Folder\**\*.txt sẽ bao gồm tất cả đường dẫn đến các tập tin có phần mở rộng TXT nằm trong thư mục được đặt tên là Folder và các thư mục con. Một đại diện phải có ít nhất một cấp lồng ghép. C:\**\*.txt không phải là một đại diện hợp lệ.
  • Ký tự ? (dấu hỏi) thay thế bất kỳ ký́ tự đơn nào trong tên tập tin hoặc thư mục, ngoại trừ các ký́ tự \ và / (ký tự ngăn cách tên của các tập tin và thư mục trong đường dẫn đến tập tin và thư mục). Ví dụ: đại diện C:\Folder\???.txt sẽ bao gồm các đường dẫn đến tất cả các tập tin có trong thư mục Folder có phần mở rộng TXT và tên có ba ký tự.
• Nhập tên đối tượng dựa vào phân nhóm của Bách khoa toàn thư về Virus của Kaspersky (ví dụ: phần mềm hợp pháp có thể được tội phạm sử dụng để gây hại đến máy tính hoặc dữ liệu cá nhân của bạn).

Các ứng dụng được tin tưởng

Bảng này liệt kê các ứng dụng được tin tưởng có hoạt động không được giám sát bởi Kaspersky Endpoint Security trong hoạt động của nó.

Thành phần Quản lý ứng dụng quản lý việc khởi chạy của mỗi ứng dụng bất kể ứng dụng đó có được bao gồm trong bảng các ứng dụng được tin tưởng hay không.

Sử dụng cửa hàng chứng nhận hệ thống tin tưởng

Nếu hộp kiểm này được chọn, Kaspersky Endpoint Security sẽ loại trừ các ứng dụng có chữ ký điện tử tin tưởng khỏi tác vụ quét. Thành phần Phòng chống xâm nhập máy chủ sẽ tự động phân bổ các ứng dụng này vào nhóm Tin tưởng.

Nếu hộp kiểm này bị xóa, tác vụ quét virus sẽ được thực hiện bất kể ứng dụng đó có một chữ ký điện tử hay không. Thành phần Phòng chống xâm nhập máy chủ sẽ phân bổ các ứng dụng đến các nhóm tin tưởng tùy theo cấu hình được thiết lập.