Wykluczenia

Typy wykrywanych obiektów

Bez względu na skonfigurowane ustawienia aplikacji, Kaspersky Endpoint Security zawsze wykrywa i blokuje wirusy, robaki i trojany. Mogą one wyrządzić znaczne szkody w komputerze.

• Wirusy i robaki

  Podkategoria: wirusy i robaki (wirusy_i_robaki)

  Poziom zagrożenia: wysoki

  Klasyczne wirusy i robaki wykonują akcje nieautoryzowane przez użytkownika. Mogą one tworzyć swoje kopie, które także są zdolne do powielania się.

  Klasyczny wirus

  Po przeniknięciu klasycznego wirusa do komputera, infekuje on plik, aktywuje się w nim, wykonuje szkodliwe działania i dodaje swoje kopie do innych plików.

  Klasyczny wirus rozprzestrzenia się jedynie na zasobach lokalnych komputera; nie może sam przedostać się na inne komputery. Przedostanie się takiego wirusa na inny komputer jest możliwe, jeśli doda on swoją kopię do pliku przechowywanego w folderze współdzielonym lub na nośniku CD, albo gdy użytkownik wyśle wiadomość z zainfekowanym załącznikiem.

  Kod klasycznego wirusa może przedostać się do różnych obszarów komputerów, systemów operacyjnych lub aplikacji. W zależności od środowiska wirusy dzieli się na wirusy plikowe, wirusy sektora startowego, wirusy skryptowe oraz makrowirusy.

  Wirusy mogą infekować pliki, korzystając z szerokiej gamy technik. Wirusy nadpisujące zapisują swój kod na kodzie zainfekowanego pliku, wymazując jego zawartość. Zainfekowany plik przestaje poprawnie działać oraz nie ma możliwości jego przywrócenia. Wirusy pasożyty modyfikują pliki, zezwalając na ich pełne lub częściowe działanie. Wirusy towarzysze nie modyfikują plików, lecz tworzą ich kopie. Kiedy otwarty zostanie zainfekowany plik, uruchomiona zostanie jego kopia (czyli wirus). Istnieją również inne typy wirusów: wirusy-odsyłacze, wirusy plików OBJ, wirusy bibliotek LIB, wirusy infekujące kody źródłowe oraz wiele innych.

  Robak

  Podobnie jak w przypadku klasycznego wirusa, kod robaka zostaje aktywowany i wykonuje on szkodliwe działania po przeniknięciu do komputera. Robaki noszą taką nazwę z powodu swojej zdolności do „przepełzania” z jednego komputera na inny i rozprzestrzeniania swoich kopii za pośrednictwem wielu kanałów danych bez wiedzy użytkownika.

  Główną cechą, która umożliwia rozróżnianie typów robaków, jest ich sposób rozprzestrzeniania się. Następująca tabela zawiera przegląd różnych typów robaków, klasyfikowanych zgodnie ze sposobem rozprzestrzeniania się.

  Sposoby rozprzestrzeniania się robaka

   

   

  Typ	Nazwa	Opis
  Email-Worm	Email-Worm	Rozprzestrzeniają się poprzez pocztę elektroniczną. Zainfekowana wiadomość zawiera załączony plik z kopią robaka lub odnośnik do pliku znajdującego się na stronie internetowej, która może być albo przechwycona przez hakerów, albo stworzona specjalnie w tym celu. Jeśli otworzysz zainfekowany plik, robak zostanie aktywowany. Po kliknięciu odsyłacza, pobraniu i otwarciu pliku, robak również rozpoczyna swoją szkodliwą działalność. Następnie zaczyna rozprzestrzeniać swoje kopie, wyszukując kolejne adresy e-mail i wysyłając na nie zainfekowane wiadomości.
  IM-Worm	Robaki klientów komunikatorów internetowych	Rozprzestrzeniają się poprzez klienty komunikatorów internetowych. Z reguły robaki te za pośrednictwem listy kontaktów użytkownika wysyłają wiadomości zawierające odnośnik do pliku ze swoją kopią. Po pobraniu i otwarciu takiego pliku przez użytkownika, robak jest aktywowany.
  IRC-Worm	Robaki czatu internetowego	Rozprzestrzeniają się za pośrednictwem kanału IRC (Internet Relay Chats) – czyli usługi sieciowej pozwalającej na komunikowanie się w internecie w czasie rzeczywistym. Robaki te publikują w czacie internetowym pliki zawierające ich kopie lub odnośniki do pliku. Po pobraniu i otwarciu takiego pliku przez użytkownika, robak jest aktywowany.
  Net-Worm	Robaki sieciowe	Rozprzestrzeniają się one w sieciach komputerowych. W przeciwieństwie do innych rodzajów robaków, typowy robak sieciowy rozprzestrzenia się bez udziału użytkownika. Skanuje on sieć lokalną w poszukiwaniu komputerów z programami zawierającymi luki. W tym celu wysyła on specjalny pakiet sieciowy (exploit) zawierający kod robaka lub część kodu. Jeśli komputer posiadający luki znajduje się w sieci, otrzyma taki pakiet sieciowy. Po przeprowadzeniu pełnej penetracji komputera, jest on aktywowany.
  P2P-Worm	Robaki sieci wymiany plików	Rozprzestrzeniają się one w sieciach peer-to-peer. Aby dostać się do sieci P2P, robak kopiuje się do foldera wymiany plików, który zazwyczaj znajduje się na komputerze użytkownika. Sieć P2P wyświetli informacje o tym pliku, aby użytkownik "znalazł" zainfekowany plik w sieci, pobrał go i otworzył. Bardziej zaawansowane robaki emulują protokół sieciowy konkretnej sieci P2P: wyświetlają pozytywne wyniki wyszukiwanego obiektu i proponują pobranie swoich własnych kopii.
  Robak	Inne rodzaje robaków	Inne rodzaje robaków obejmują: Robaki rozprzestrzeniające swoje kopie w zasobach sieciowych. Przy użyciu funkcji systemu operacyjnego skanują dostępne foldery sieciowe, łączą się z komputerami w Internecie i próbują uzyskać pełen dostęp do ich dysków. W przeciwieństwie do opisanych wyżej robaków, inne typy robaków nie aktywują się automatycznie, lecz w momencie, gdy użytkownik otworzy plik zawierający kopię robaka. Robaki, które nie rozprzestrzeniają się w żaden z powyższych sposobów (na przykład te robaki, które rozprzestrzeniają się poprzez telefony komórkowe).

   

• Trojany (w tym oprogramowanie typu ransomware)

  Podkategoria: trojany

  Poziom zagrożenia: wysoki

  W przeciwieństwie do wirusów i robaków, trojany nie tworzą swoich kopii. Przenikają one do komputera, na przykład, za pośrednictwem wiadomości e-mail lub przeglądarki internetowej po otwarciu zainfekowanej strony. Trojany uruchamiają się przy udziale użytkownika. Zaczynają wykonywać szkodliwe działania zaraz po uruchomieniu.

  Różne programy typu trojan zachowują się odmiennie na zainfekowanych komputerach. Głównym zadaniem trojanów jest blokowanie, modyfikowanie lub niszczenie informacji, wyłączanie komputera lub sieci. Poza tym, trojany otrzymują lub wysyłają pliki, uruchamiają je, wyświetlają wiadomości na ekranie, pobierają i instalują aplikacje, uruchamiają ponownie komputer oraz żądają połączenia ze stroną internetową.

  Hakerzy często używają "zestawów" trojanów.

  Typowe zachowanie trojanów opisane jest w poniższej tabeli.

  Typy zachowań trojanów na zainfekowanym komputerze

   

  Typ	Nazwa	Opis
  Trojan-ArcBomb	Trojany – "archiwa-bomby"	Archiwa, które po rozpakowaniu zwiększają swój rozmiar, co zakłóca działanie komputera. Podczas próby rozpakowania takiego archiwum komputer może spowolnić swoje działanie lub całkowicie się zawiesić, a dysk twardy może zostać wypełniony „pustymi” danymi. Archiwa-bomby są szczególnie niebezpieczne dla serwerów poczty i plików. Jeśli serwer korzysta z automatycznego systemu przetwarzania informacji przychodzących, archiwum-bomba może zatrzymać jego działanie.
  Backdoor	Trojany do zdalnej administracji	Uważa się, że jest to najbardziej niebezpieczny rodzaj trojanów. Dzięki swoim funkcjom są one podobne do programów służących do zdalnej administracji aplikacji zainstalowanych na komputerach. Trojany instalują się na komputerze bez wiedzy użytkownika i pozwalają hakerowi na jego zdalne zarządzanie.
  Trojan	Trojany	Do trojanów zaliczają się następujące szkodliwe aplikacji: Klasyczne trojany. Wykonują tylko podstawowe funkcje charakterystyczne dla trojanów: blokują, modyfikują lub niszczą informacje, wyłączają komputery lub sieci. W odróżnieniu od trojanów opisanych w tabeli, nie charakteryzują się żadnymi zaawansowanymi funkcjami. Wszechstronne trojany. Posiadają zaawansowane funkcje typowe dla kilku rodzajów trojanów.
  Trojan-Ransom	Trojany przeznaczone do wyłudzania pieniędzy	Jako "zakładników" biorą one informacje użytkownika, modyfikują lub blokują je, albo tak wpływają na działanie komputera, że użytkownik nie może korzystać z informacji. Cyberprzestępca żąda okupu od użytkownika, obiecując, że wyśle aplikację, która przywróci działanie komputera oraz przechowywane na nim dane.
  Trojan-Clicker	Trojany klikające	Łączą się one ze stronami internetowymi albo przez wysłanie polecenia do przeglądarki albo przez zmianę adresów stron znajdujących się w plikach systemowych. Przy użyciu tych programów hakerzy przeprowadzają ataki sieciowe i zwiększają ranking stron internetowych celem zwiększenia liczby wyświetlania banerów reklamowych.
  Trojan-Downloader	Trojany pobierające	Uzyskują dostęp do strony internetowej cyberprzestępcy, pobierają z niej szkodliwe aplikacje i instalują je na komputerze użytkownika. Mogą zawierać nazwę pliku szkodliwej aplikacji do pobrania lub uzyskać ją z otwartej strony internetowej.
  Trojan-Dropper	Trojany droppery	Zawierają inne trojany, które instalują na dysku twardym. Hakerzy mogą użyć tego typu trojanów do następujących celów: Instalacji szkodliwej aplikacji w sposób niezauważalny dla użytkownika: Trojan-Dropper to typ programów, które nie wyświetlają żadnych wiadomości lub wyświetlają fałszywe komunikaty informujące, na przykład, o błędzie w archiwum lub niekompatybilnej wersji systemu operacyjnego. Ochrony innych znanych szkodliwych aplikacji przed wykryciem przez ochronę komputera: nie wszystkie programy antywirusowe są w stanie wykryć szkodliwą aplikację wewnątrz aplikacji Trojan-Dropper.
  Trojan-Notifier	Trojany powiadamiające	Informują cyberprzestępcę o możliwości dostępu do zainfekowanego komputera, wysyłając do niego informacje o tym komputerze: adres IP, numer otwartego portu lub adres e-mail. Komunikują się z hakerem, na przykład, za pośrednictwem wiadomości e-mail, serwera FTP lub jego strony internetowej. Trojany typu Notifier często są wykorzystywane w zestawach złożonych z kilku trojanów. Powiadamiają one hakera, że inne trojany zostały pomyślnie zainstalowane na komputerze użytkownika.
  Trojan-Proxy	Trojany proxy	Umożliwiają one hakerowi uzyskanie anonimowego dostępu do stron internetowych przy użyciu komputera użytkownika i są często używane do wysyłania spamu.
  Trojan-PSW	Oprogramowanie kradnące hasła	Oprogramowanie kradnące hasła to rodzaj trojanów kradnących konta użytkownika, na przykład dane rejestracyjne oprogramowania. Takie trojany odnajdują w plikach systemowych i rejestrze poufne dane, a następnie wysyłają je do atakującego, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej. Niektóre z tych trojanów podzielone są na kategorie oddzielnych typów opisanych w tej tabeli. Należą do nich Trojany kradnące konta bankowe (Trojan-Banker), trojany kradnące informacje od użytkowników komunikatorów internetowych (Trojan-IM) oraz trojany kradnące informacje od graczy online (Trojan-GameThief).
  Trojan-Spy	Trojany szpiegujące	Szpiegują one użytkownika, zbierając informacje o jego działaniach podczas pracy na komputerze. Mogą przechwytywać dane wprowadzane przez użytkownika przy użyciu klawiatury, tworzyć zrzuty ekranu lub tworzyć listę aktywnych aplikacji. Po zebraniu informacji, wysyłają je do hakera, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
  Trojan-DDoS	Ataki sieciowe przez trojany	Wysyłają one liczne żądania z komputera użytkownika na serwer zdalny. Serwer nie ma wystarczającej ilości zasobów do przetworzenia wszystkich żądań, w rezultacie przestaje działać (Denial-of-Service lub DoS). Hakerzy często infekują wiele komputerów dzięki takim programom, przez co mogą wykorzystać te komputery do jednoczesnego ataku na pojedynczy serwer. Programy DoS przeprowadzają atak z jednego komputera za wiedzą użytkownika. Programy DDoS (Distributed DoS) przeprowadzają rozproszone ataki z różnych komputerów bez wiedzy użytkownika zainfekowanego komputera.
  Trojan-IM	Trojany kradnące informacje od użytkowników komunikatorów internetowych	Kradną numery kont i hasła użytkowników klientów komunikatorów internetowych. Przesyłają dane hakerowi, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
  Rootkit	Rootkity	Ukrywają inne szkodliwe aplikacje i ich aktywność, przedłużając ich obecność w systemie. Mogą również ukrywać pliki i procesy w pamięci zainfekowanego komputera lub kluczach rejestru. Rootkity mogą ukrywać wymianę danych pomiędzy aplikacjami znajdującymi się na komputerze użytkownika i innymi komputerami podłączonymi do sieci.
  Trojan-SMS	Trojany wysyłające wiadomości SMS	Infekują one telefony komórkowe, wysyłając wiadomości SMS na numery o podwyższonej opłacie.
  Trojan-GameThief	Trojany kradnące informacje od osób grających w sieci	Kradną dane uwierzytelniające kont osób grających w sieci, po czym wysyłają je hakerowi za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej.
  Trojan-Banker	Trojany kradnące konta bankowe	Kradną dane konta bankowego lub dane systemu płatności elektronicznych, po czym wysyłają je cyberprzestępcy za pośrednictwem poczty elektronicznej, serwera FTP, jego strony internetowej lub przy użyciu innych metod.
  Trojan-Mailfinder	Trojany zbierające adresy e-mail	Zbierają one adresy e-mail przechowywane na komputerze i wysyłają je hakerowi, na przykład, za pośrednictwem poczty elektronicznej, serwera FTP lub jego strony internetowej. Na zebrane adresy hakerzy mogą wysyłać spam.

   

• Szkodliwe narzędzia

  Podkategoria: szkodliwe narzędzia

  Poziom zagrożenia: średni

  W odróżnieniu od innych typów szkodliwego oprogramowania, szkodliwe narzędzia nie wykonują swoich akcji zaraz po uruchomieniu. Mogą być bezpiecznie przechowywane i uruchamiane na komputerze użytkownika. Hakerzy często używają funkcji tych programów do tworzenia wirusów, robaków i trojanów oraz do przeprowadzania ataków sieciowych na serwery zdalne, łamania zabezpieczeń komputerów lub wykonywania innych szkodliwych działań.

  Różne funkcje szkodliwych narzędzi pogrupowane są według typów opisanych w poniższej tabeli.

  Funkcje szkodliwych narzędzi

   

  Typ	Nazwa	Opis
  Konstruktor	Konstruktory	Umożliwiają utworzenie nowych wirusów, robaków i trojanów. Niektóre konstruktory posiadają standardowy interfejs oparty na oknach, w którym użytkownik może wybrać typ szkodliwej aplikacji, jaki chce stworzyć, sposób przeciwdziałania debuggerom oraz inne funkcje.
  Dos	Ataki sieciowe	Wysyłają one liczne żądania z komputera użytkownika na serwer zdalny. Serwer nie ma wystarczającej ilości zasobów do przetworzenia wszystkich żądań, w rezultacie przestaje działać (Denial-of-Service lub DoS).
  Exploit	Exploity	Exploit jest zestawem danych lub kodem programu używającym luki aplikacji, w której jest przetwarzany, do wykonania szkodliwych działań na komputerze. Na przykład, exploit może odczytywać lub zapisywać pliki lub uzyskiwać dostęp do „zainfekowanych” stron internetowych. Różne exploity używają luk w różnych aplikacjach lub usługach sieciowych. Wyglądający jak pakiet sieciowy exploit wysyłany jest przez sieć w poszukiwaniu takich komputerów, których usługi sieciowe posiadają luki. Exploit w pliku DOC używa luk występujących w edytorach tekstu. Po otwarciu przez użytkownika zainfekowanego pliku, może on zacząć wykonywać zaprogramowane przez hakera działania. Exploit osadzony w wiadomości elektronicznej wyszukuje luki w dowolnym kliencie pocztowym. Po otwarciu przez użytkownika zainfekowanego pliku w tym programie pocztowym, wykonuje on szkodliwe działanie. Robaki Net-Worms rozprzestrzeniają się w sieci przy pomocy exploitów. Exploity Nuker są pakietami sieciowymi wyłączającymi komputery.
  FileCryptor	Narzędzia szyfrujące	Szyfrują one inne szkodliwe aplikacje, aby ukryć je przed programem antywirusowym.
  Flooder	Programy „zaśmiecające” sieci	Wysyłają one wiele wiadomości przez kanały sieciowe. Do tego typu narzędzi należy, na przykład, program zaśmiecający Internet Relay Chats (IRC). Wśród narzędzi typu Flooder nie ma programów "zaśmiecających" kanały używane przez programy pocztowe, komunikatory internetowe i systemy komunikacji mobilnej. Programy te wyróżnione są jako oddzielne typy opisane w tej tabeli (Email-Flooder, IM-Flooder oraz SMS-Flooder).
  HackTool	Narzędzia hakerskie	Pozwalają na złamanie zabezpieczeń komputera, na którym są zainstalowane, lub na zaatakowanie innego komputera (na przykład, dodając nowe konta systemowe bez wiedzy użytkownika lub wymazując logi systemowe, aby ukryć ślady obecności w systemie operacyjnym). Ten typ narzędzi zawiera sniffery posiadające szkodliwe funkcje, jak choćby przechwytywanie haseł. Sniffery to programy umożliwiające przeglądanie ruchu sieciowego.
  Hoax	Żarty (Hoaxes)	Alarmują użytkownika przy użyciu wiadomości podobnej do tej, która używana jest w przypadku wykrycia wirusa: mogą "wykryć wirusa" w nienaruszonym pliku lub powiadomić o formatowaniu dysku, które w rzeczywistości nie ma miejsca.
  Spoofer	Narzędzia służące do spoofingu	Wysyłają wiadomości i żądania sieciowe z fałszywym adresem nadawcy. Hakerzy używają narzędzi do spoofingu, na przykład, aby móc podać się za prawdziwych nadawców wiadomości.
  VirTool	Narzędzia do modyfikowania szkodliwych aplikacji	Umożliwiają modyfikowanie innego szkodliwego oprogramowania w celu ukrycia go przed aplikacjami antywirusowymi.
  Email-Flooder	Programy „zaśmiecające” adresy e-mail	„Zaśmiecają” różne adresy e-mail poprzez wysyłanie na nie licznych wiadomości. Duża liczba wiadomości przychodzących uniemożliwia przejrzenie użytecznych wiadomości znajdujących się w skrzynce odbiorczej.
  IM-Flooder	Programy „zaśmiecające” ruch wiadomościami klientow komunikatorów internetowych	Wysyłają niechciane wiadomości do użytkowników klientów komunikatorów. Duża liczba odbieranych wiadomości uniemożliwia przeczytanie użytecznych wiadomości.
  SMS-Flooder	Programy „zaśmiecające” ruch wiadomościami SMS	Wysyłają one liczne wiadomości SMS na telefony komórkowe.

   

• Adware

  Podkategoria: oprogramowanie reklamujące (Adware);

  Poziom zagrożenia: średni

  Oprogramowanie Adware wyświetla informacje reklamowe użytkownikowi. Programy adware wyświetlają banery reklamowe w interfejsach innych programów i przekierowują wyszukiwanie na strony reklamowe. Niektóre z nich zbierają informacje marketingowe o użytkowniku i wysyłają je do programisty. Do gromadzonych informacji mogą należeć: nazwy stron odwiedzanych przez użytkownika lub wyszukiwana przez niego treść. W odróżnieniu od programów typu Trojan-Spy, programy adware przesyłają te informacje do twórcy za zgodą użytkownika.

• Auto-dialery

  Podkategoria: legalne oprogramowanie, które może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych.

  Poziom zagrożenia: średni

  Wiele z tych programów to nieszkodliwe oprogramowanie, z którego korzysta wielu użytkowników. Do tych programów zaliczają się: klienty IRC, auto-dialery, programy pobierające pliki, monitory aktywności systemu komputerowego, narzędzia do haseł, serwery usług FTP, HTTP i Telnet.

  Jednakże, jeśli haker uzyska dostęp do tego typu programów lub jeśli zainstaluje te programy na komputerze użytkownika, to niektóre z ich funkcji mogą zostać użyte do naruszenia ochrony.

  Aplikacje te mają różne funkcje; ich typy zostały opisane w poniższej tabeli.

   

  Typ	Nazwa	Opis
  Client-IRC	Klienty czatów internetowych	Użytkownicy instalują programy tego typu, aby móc rozmawiać z innymi w czasie rzeczywistym. Hakerzy używają ich do rozsyłania szkodliwych programów.
  Dialer	Auto-dialery	Mogą nawiązywać połączenie telefoniczne za pośrednictwem modemu w trybie ukrycia.
  Downloader	Programy do pobierania	Mogą pobierać pliki ze stron internetowych w trybie ukrycia.
  Monitor	Programy do monitorowania	Umożliwiają monitorowanie aktywności na komputerze, na którym są zainstalowane (sprawdzają, które aplikacje są aktywne i w jaki sposób wymieniają dane z aplikacjami zainstalowanymi na innych komputerach).
  PSWTool	Programy do przywracania haseł	Umożliwiają przeglądanie i przywracanie zapomnianych haseł. Hakerzy umieszczają je na komputerze w tym samym celu, w sposób niezauważalny dla użytkownika.
  RemoteAdmin	Programy do zdalnej administracji	Są używane przez administratorów systemów. Programy te pozwalają uzyskać dostęp do interfejsu zdalnego komputera w celu jego monitorowania i zarządzania. W tym właśnie celu hakerzy niezauważenie umieszczają je na komputerze użytkownika. Legalne programy do zdalnej administracji różnią się od trojanów typu backdoor do zdalnej administracji. Trojany potrafią niezależnie spenetrować system i zainstalować się; legalne programy nie potrafią tego.
  Server-FTP	Serwery FTP	Działają jak serwery FTP. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu FTP.
  Server-Proxy	Serwery proxy	Działają jak serwery proxy. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
  Server-Telnet	Serwery Telnet	Działają jak serwery Telnet. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu Telnet.
  Server-Web	Serwery sieciowe	Działają jak serwery sieciowe. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu HTTP.
  RiskTool	Narzędzia wykorzystywane do pracy na lokalnym komputerze	Umożliwiają one użytkownikowi korzystanie z dodatkowych funkcji podczas jego pracy na komputerze. Narzędzia te pozwalają użytkownikowi ukryć pliki lub okna uruchomionych aplikacji i zakończyć aktywne procesy.
  NetTool	Narzędzia sieciowe	Umożliwiają użytkownikowi korzystanie z dodatkowych funkcji podczas pracy z innymi komputerami w sieci. Posiadają one także możliwość ich ponownego uruchomienia, wykrywania otwartych portów oraz uruchamiania aplikacji zainstalowanych na komputerach.
  Client-P2P	Klienty sieciowe P2P	Pozwalają pracować w sieciach peer-to-peer. Mogą być wykorzystywane przez hakerów do rozprzestrzeniania szkodliwego oprogramowania.
  Client-SMTP	Klienty SMTP	Wysyłają wiadomości e-mail bez wiedzy użytkownika. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
  WebToolbar	Paski narzędzi w przeglądarkach internetowych	Dodają one paski narzędzi w interfejsie innych aplikacji umożliwiające korzystanie z wyszukiwarek internetowych.
  FraudTool	Pseudo-programy	Podają się za inne programy. Na przykład, istnieją fałszywe programy antywirusowe, które wyświetlają wiadomości o wykryciu szkodliwego oprogramowania. W rzeczywistości nie skanują ani nie leczą niczego.

   

• Legalne oprogramowanie, które może zostać wykorzystane przez intruzów do uszkodzenia komputera lub prywatnych danych

  Podkategoria: legalne oprogramowanie, które może zostać wykorzystane przez cyberprzestępców do uszkodzenia komputera i prywatnych danych.

  Poziom zagrożenia: średni

  Wiele z tych programów to nieszkodliwe oprogramowanie, z którego korzysta wielu użytkowników. Do tych programów zaliczają się: klienty IRC, auto-dialery, programy pobierające pliki, monitory aktywności systemu komputerowego, narzędzia do haseł, serwery usług FTP, HTTP i Telnet.

  Jednakże, jeśli haker uzyska dostęp do tego typu programów lub jeśli zainstaluje te programy na komputerze użytkownika, to niektóre z ich funkcji mogą zostać użyte do naruszenia ochrony.

  Aplikacje te mają różne funkcje; ich typy zostały opisane w poniższej tabeli.

   

  Typ	Nazwa	Opis
  Client-IRC	Klienty czatów internetowych	Użytkownicy instalują programy tego typu, aby móc rozmawiać z innymi w czasie rzeczywistym. Hakerzy używają ich do rozsyłania szkodliwych programów.
  Dialer	Auto-dialery	Mogą nawiązywać połączenie telefoniczne za pośrednictwem modemu w trybie ukrycia.
  Downloader	Programy do pobierania	Mogą pobierać pliki ze stron internetowych w trybie ukrycia.
  Monitor	Programy do monitorowania	Umożliwiają monitorowanie aktywności na komputerze, na którym są zainstalowane (sprawdzają, które aplikacje są aktywne i w jaki sposób wymieniają dane z aplikacjami zainstalowanymi na innych komputerach).
  PSWTool	Programy do przywracania haseł	Umożliwiają przeglądanie i przywracanie zapomnianych haseł. Hakerzy umieszczają je na komputerze w tym samym celu, w sposób niezauważalny dla użytkownika.
  RemoteAdmin	Programy do zdalnej administracji	Są używane przez administratorów systemów. Programy te pozwalają uzyskać dostęp do interfejsu zdalnego komputera w celu jego monitorowania i zarządzania. W tym właśnie celu hakerzy niezauważenie umieszczają je na komputerze użytkownika. Legalne programy do zdalnej administracji różnią się od trojanów typu backdoor do zdalnej administracji. Trojany potrafią niezależnie spenetrować system i zainstalować się; legalne programy nie potrafią tego.
  Server-FTP	Serwery FTP	Działają jak serwery FTP. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu FTP.
  Server-Proxy	Serwery proxy	Działają jak serwery proxy. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
  Server-Telnet	Serwery Telnet	Działają jak serwery Telnet. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu Telnet.
  Server-Web	Serwery sieciowe	Działają jak serwery sieciowe. Hakerzy instalują je na komputerach użytkowników w celu uzyskania do nich zdalnego dostępu przy użyciu protokołu HTTP.
  RiskTool	Narzędzia wykorzystywane do pracy na lokalnym komputerze	Umożliwiają one użytkownikowi korzystanie z dodatkowych funkcji podczas jego pracy na komputerze. Narzędzia te pozwalają użytkownikowi ukryć pliki lub okna uruchomionych aplikacji i zakończyć aktywne procesy.
  NetTool	Narzędzia sieciowe	Umożliwiają użytkownikowi korzystanie z dodatkowych funkcji podczas pracy z innymi komputerami w sieci. Posiadają one także możliwość ich ponownego uruchomienia, wykrywania otwartych portów oraz uruchamiania aplikacji zainstalowanych na komputerach.
  Client-P2P	Klienty sieciowe P2P	Pozwalają pracować w sieciach peer-to-peer. Mogą być wykorzystywane przez hakerów do rozprzestrzeniania szkodliwego oprogramowania.
  Client-SMTP	Klienty SMTP	Wysyłają wiadomości e-mail bez wiedzy użytkownika. Hakerzy instalują je na komputerze użytkownika w celu wysyłania spamu w jego imieniu.
  WebToolbar	Paski narzędzi w przeglądarkach internetowych	Dodają one paski narzędzi w interfejsie innych aplikacji umożliwiające korzystanie z wyszukiwarek internetowych.
  FraudTool	Pseudo-programy	Podają się za inne programy. Na przykład, istnieją fałszywe programy antywirusowe, które wyświetlają wiadomości o wykryciu szkodliwego oprogramowania. W rzeczywistości nie skanują ani nie leczą niczego.

   

• Obiekty spakowane, których archiwizacja może być używana do ochrony szkodliwego kodu

  Kaspersky Endpoint Security skanuje skompresowane obiekty i moduł wypakowujący znajdujące się w archiwach SFX (samorozpakowujących się).

  Aby ukryć szkodliwe programy przed antywirusami, hakerzy archiwizują je przy pomocy dedykowanych narzędzi pakujących lub tworzą wielokrotnie spakowane obiekty.

  Analitycy wirusów Kaspersky zidentyfikowali narzędzia pakujące najpopularniejsze wśród hakerów.

  Jeśli Kaspersky Endpoint Security wykryje jeden z tych pakerów w pliku, plik ten najprawdopodobniej zawiera szkodliwą aplikację lub aplikację, która może zostać użyta przez cyberprzestępców do uszkodzenia komputera lub danych osobistych.

  Kaspersky Endpoint Security wyróżnia następujące typy programów:

  • Spakowane pliki, które mogą wyrządzić szkody – wykorzystywane do pakowania szkodliwego oprogramowania, takiego jak wirusy, robaki i trojany.
  • Pliki wielokrotnie spakowane (średni poziom zagrożenia) – obiekt został spakowany trzy razy przez jedno lub więcej narzędzi pakujących.
• Obiekty spakowane wielokrotnie

  Kaspersky Endpoint Security skanuje skompresowane obiekty i moduł wypakowujący znajdujące się w archiwach SFX (samorozpakowujących się).

  Aby ukryć szkodliwe programy przed antywirusami, hakerzy archiwizują je przy pomocy dedykowanych narzędzi pakujących lub tworzą wielokrotnie spakowane obiekty.

  Analitycy wirusów Kaspersky zidentyfikowali narzędzia pakujące najpopularniejsze wśród hakerów.

  Jeśli Kaspersky Endpoint Security wykryje jeden z tych pakerów w pliku, plik ten najprawdopodobniej zawiera szkodliwą aplikację lub aplikację, która może zostać użyta przez cyberprzestępców do uszkodzenia komputera lub danych osobistych.

  Kaspersky Endpoint Security wyróżnia następujące typy programów:

  • Spakowane pliki, które mogą wyrządzić szkody – wykorzystywane do pakowania szkodliwego oprogramowania, takiego jak wirusy, robaki i trojany.
  • Pliki wielokrotnie spakowane (średni poziom zagrożenia) – obiekt został spakowany trzy razy przez jedno lub więcej narzędzi pakujących.

Wykluczenia

Ta tabela zawiera informacje o wykluczeniach ze skanowania.

Możliwe jest wykluczenie obiektów ze skanowania przy użyciu następujących metod:

• Określ ścieżkę do pliku lub folderu.
• Wprowadź sumę kontrolną obiektu.
• Użyj masek:
  • Znak * (gwiazdka), który zastępuje dowolny zestaw znaków, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\*\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderach na dysku C:, ale nie w podfolderach.
  • Dwa występujące po sobie znaki * zastępują dowolny zestaw znaków (w tym pusty zestaw) w nazwie pliku lub folderu, w tym znaki: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\**\*.txt będzie zawierała wszystkie ścieżki do plików z rozszerzeniem TXT, znajdujących się w folderze o nazwie Folder i w jego podfolderach. Maska musi zawierać przynajmniej jeden poziom zagnieżdżenia. Maska C:\**\*.txt nie jest ważną maską.
  • Znak ? (znak zapytania), który zastępuje dowolny pojedynczy znak, za wyjątkiem znaków: \ i / (separatory nazw plików i folderów w ścieżkach dostępu do plików i folderów). Na przykład, maska C:\Folder\???.txt będzie zawierała ścieżki do wszystkich plików znajdujących się w folderze o nazwie Folder, które posiadają rozszerzenie TXT i nazwę składającą się z trzech znaków.

    W dowolnym miejscu ścieżki pliku lub folderu można używać masek. Na przykład, jeśli chcesz, aby zakres skanowania obejmował folder Pobrane dla wszystkich kont użytkowników na komputerze, należy wprowadzić maskę C:\Users\*\Downloads\.

    Kaspersky Endpoint Security obsługuje zmienne środowiskowe

    Kaspersky Endpoint Security nie obsługuje zmiennej środowiskowej %userprofile% podczas generowania listy wykluczeń za pomocą konsoli Kaspersky Security Center. Aby zastosować wpis do wszystkich kont użytkowników, możesz użyć znaku * (na przykład: C:\Users\*\Documents\File.exe). Za każdym razem, gdy dodajesz nową zmienną środowiskową, musisz uruchomić aplikację ponownie.

• Wprowadź nazwę typu obiektu zgodnie z klasyfikacją Encyklopedii Kaspersky (na przykład: Email-Worm, Rootkit lub RemoteAdmin). Możesz użyć masek ze znakiem ? (zastępuje dowolny pojedynczy znak) oraz znak * (zastępuje dowolną liczbę znaków). Na przykład, jeśli określona jest maska Client*, aplikacja wyklucza obiekty Client-IRC, Client-P2P i Client-SMTP ze skanowania.

Kaspersky Endpoint Security ukrywa listę wykluczeń ze skanowania w interfejsie użytkownika aplikacji, jeśli konfiguracja wykluczeń ze skanowania została zablokowana przez administratora w konsoli (symbol „zamkniętej kłódki”), a wykluczenia ze skanowania lokalnego są zabronione (pole wyboru Zezwól na korzystanie z lokalnych wykluczeń jest odznaczone).

Zaufane aplikacje

Ta tabela wyświetla zaufane aplikacje, których aktywność nie jest monitorowana przez Kaspersky Endpoint Security w trakcie działania.

Podczas wprowadzania maski Kaspersky Endpoint Security obsługuje zmienne środowiskowe oraz znaki * i ?.

Kaspersky Endpoint Security nie obsługuje zmiennej środowiskowej %userprofile% podczas generowania listy zaufanych aplikacji w konsoli Kaspersky Security Center. Aby zastosować wpis do wszystkich kont użytkowników, możesz użyć znaku * (na przykład: C:\Users\*\Documents\File.exe). Za każdym razem, gdy dodajesz nową zmienną środowiskową, musisz uruchomić aplikację ponownie.

Komponent Kontrola aplikacji reguluje uruchamianie każdej aplikacji niezależnie od tego, czy aplikacja znajduje się w tabeli zaufanych aplikacji.

Kaspersky Endpoint Security ukrywa skonsolidowaną listę zaufanych aplikacji w interfejsie użytkownika aplikacji, jeśli konfiguracja zaufanych aplikacji została zablokowana przez administratora w konsoli (symbol „zamkniętej kłódki”), a lokalne zaufane aplikacje są zabronione (pole wyboru Zezwól na korzystanie z lokalnych zaufanych aplikacji jest odznaczone).

Przenieś wartości podczas dziedziczenia

(dostępny tylko w Kaspersky Security Center Console)

To powoduje scalenie listy wykluczeń ze skanowania i zaufanych aplikacji w zasadach nadrzędnych i potomnych programu Kaspersky Security Center. Aby scalić listy, zasada potomna musi być skonfigurowana do dziedziczenia ustawień zasady nadrzędnej programu Kaspersky Security Center.

Jeśli pole jest zaznaczone, w zasadach potomnych wyświetlane są elementy listy z zasady nadrzędnej Kaspersky Security Center. W ten sposób możesz, na przykład, utworzyć skonsolidowaną listę zaufanych aplikacji dla całej organizacji.

Dziedziczone elementy listy w zasadzie potomnej nie mogą zostać usunięte ani edytowane. Elementy na liście wykluczeń ze skanowania oraz lista zaufanych aplikacji, które są scalone podczas dziedziczenia, mogą zostać usunięte i edytowane tylko w zasadzie nadrzędnej. Możesz dodawać, edytować lub usuwać elementy z list w zasadach niższego poziomu.

Jeśli elementy na listach zasady potomnej i nadrzędnej pasują do siebie, te elementy są wyświetlane jak podobne elementy zasady nadrzędnej.

Jeśli pole nie zostało zaznaczone, elementy z list nie są scalane podczas dziedziczenia ustawień zasad programu Kaspersky Security Center.

Zezwól na korzystanie z lokalnych wykluczeń / Zezwól na korzystanie z lokalnych zaufanych aplikacji

(dostępny tylko w Kaspersky Security Center Console)

Lokalne wykluczenia i lokalne zaufane aplikacje (lokalna strefa zaufana) – lista obiektów i aplikacji zdefiniowana przez użytkownika w Kaspersky Endpoint Security dla określonego komputera. Kaspersky Endpoint Security nie monitoruje obiektów i aplikacji z lokalnej strefy zaufanej. W ten sposób użytkownicy mogą utworzyć swoje własne lokalne listy wykluczeń i zaufanych aplikacji jako dodatek do ogólnej strefy zaufanej w zasadzie.

Jeśli pole jest zaznaczone, użytkownik może utworzyć lokalną listę wykluczeń skanowania i lokalnej listy zaufanej aplikacji. Administrator może użyć Kaspersky Security Center do przeglądania, dodawania, edytowania lub usuwania elementów listy we właściwościach komputera.

Jeśli pole jest odznaczone, użytkownik może uzyskać dostęp tylko do ogólnych list wykluczeń ze skanowania i zaufanych aplikacji, wygenerowanych w zasadzie.

Telemetria EDR

(dostępny tylko w Kaspersky Security Center Console)

Ta tabela zawiera informacje o wykluczeniach telemetrii EDR.

Magazyn zaufanych certyfikatów systemowych

Jeśli wybrano jeden z zaufanych magazynów certyfikatów systemowych, Kaspersky Endpoint Security wyklucza ze skanowania aplikacje posiadające zaufany podpis cyfrowy. Kaspersky Endpoint Security automatycznie przypisze takie aplikacje do grupy Zaufane.

Jeśli wybrano Nie używaj, Kaspersky Endpoint Security skanuje aplikacje niezależnie od tego, czy posiadają podpis cyfrowy. Kaspersky Endpoint Security umieszcza aplikację w grupie zaufania, w zależności od poziomu zagrożenia, jakie ta aplikacja może stwarzać dla komputera.