PODRĘCZNIK UŻYTKOWNIKA
KASPERSKY
ANTI-VIRUS
2009
2008 Kaspersky Lab
http://www.kaspersky.pl
SPIS TREŚCI
WSTĘP ................................................................................................................. 5
Uzyskiwanie informacji na temat aplikacji ....................................................... 5
Wyszukiwanie informacji przez użytkownika ............................................. 5
Kontakt z działem sprzedaży ..................................................................... 6
Kontakt z działem pomocy technicznej ...................................................... 6
Forum internetowe firmy Kaspersky Lab ................................................... 8
Nowości w programie Kaspersky Anti-Virus 2009........................................... 8
Jak program chroni komputer ......................................................................... 9
Kreatory i narzędzia ................................................................................ 10
Usługi ...................................................................................................... 11
Analiza heurystyczna .............................................................................. 12
WYMAGANIA SPRZĘTOWE I PROGRAMOWE .......................................... 13
ZAGROŻENIA DLA BEZPIECZEŃSTWA KOMPUTERA ................................... 15
Złośliwe oprogramowanie ............................................................................. 15
Szkodliwe programy ................................................................................ 16
Wirusy i robaki ................................................................................... 16
Trojany ............................................................................................... 21
Szkodliwe narzędzia .......................................................................... 28
Potencjalnie niechciane programy........................................................... 32
Oprogramowanie typu adware ........................................................... 33
Oprogramowanie typu pornware ....................................................... 34
Inne programy riskware ..................................................................... 35
Metody wykrywania przez aplikację zainfekowanych, podejrzanych
i potencjalnie niebezpiecznych obiektów ................................................. 39
INSTALACJA APLIKACJI ................................................................................... 40
Krok 1. Weryfikacja wymagań systemowych w celu instalacji aplikacji ......... 41
Krok 2. Wyszukiwanie nowszej wersji aplikacji ............................................. 42
Krok 3. Okno powitalne kreatora ................................................................... 42
Krok 4. Przeczytanie umowy licencyjnej ....................................................... 42
Krok 5. Wybór typu instalacji ......................................................................... 43
Krok 6. Wybór folderu instalacyjnego ............................................................ 43
Spis treści 3
Krok 7. Wybór instalowanych składników ..................................................... 45
Krok 8. Wyszukiwanie innych programów antywirusowych .......................... 45
Krok 9. Kończenie instalacji programu .......................................................... 47
Krok 10. Finalizowanie instalacji ................................................................... 48
INTERFEJS APLIKACJI ..................................................................................... 49
Ikona programu w zasobniku systemowym .................................................. 49
Menu kontekstowe ........................................................................................ 50
Okno główne aplikacji ................................................................................... 52
W lewej części okna ...................................................................................... 54
Powiadomienia.............................................................................................. 56
Okno konfiguracji ustawień aplikacji ............................................................. 56
ROZPOCZĘCIE PRACY .................................................................................... 58
Aktualizacja aplikacji ..................................................................................... 59
Analiza bezpieczeństwa ................................................................................ 60
Skanowanie komputera w poszukiwaniu wirusów......................................... 60
Uczestnictwo w Kaspersky Security Network................................................ 61
Zarządzanie ochroną .................................................................................... 62
Wstrzymywanie ochrony ............................................................................... 64
SPRAWDZANIE POPRAWNOŚCI USTAWIEŃ APLIKACJI .............................. 66
“Wirus” testowy EICAR i jego modyfikacje .................................................... 66
Testowanie ochrony ruchu HTTP.................................................................. 69
Testowanie ochrony ruchu SMTP ................................................................. 70
Sprawdzanie poprawności ustawień modułu Pliki i pamięć .......................... 71
Sprawdzanie poprawności ustawień zadania skanowania antywirusowego . 71
Sprawdzanie poprawności modułu Anti-Spam .............................................. 72
KASPERSKY SECURITY NETWORK: OŚWIADCZENIE O GROMADZENIU
DANYCH ............................................................................................................ 73
KASPERSKY LAB .............................................................................................. 80
Inne produkty Kaspersky Lab........................................................................ 81
Kontakt z firmą Kaspersky Lab ..................................................................... 93
4 Spis treści
CRYPTOEX LLC ................................................................................................ 95
MOZILLA FOUNDATION ................................................................................... 96
UMOWA LICENCYJNA ...................................................................................... 97
WSTĘP
W TYM ROZDZIALE:
Uzyskiwanie informacji na temat aplikacji ............................................................. 5
Nowości w programie Kaspersky Anti-Virus 2009 ................................................ 8
Jak program chroni komputer ............................................................................... 9
WYMAGANIA SPRZĘTOWE I PROGRAMOWE ................................................ 13
UZYSKIWANIE INFORMACJI NA TEMAT
APLIKACJI
Kaspersky Lab oferuje wiele źródeł informacji dotyczących nabycia, instalacji
oraz użytkowania aplikacji.
Użytkownik może wybrać dogodne dla siebie źródło, w zależności od tego, jak
pilne jest dane pytanie.
WYSZUKIWANIE INFORMACJI PRZEZ
UŻYTKOWNIKA
Możliwe jest skorzystanie z systemu pomocy.
System pomocy zawiera informacje na temat zarządzania ochroną komputera:
przeglądanie stanu ochrony, skanowanie obszarów komputera oraz
wykonywanie innych zadań.
Aby otworzyć system pomocy, kliknij odsyłacz Pomoc znajdujący się oknie
głównym aplikacji lub naciśnij klawisz <F1>.
6 Kaspersky Anti-Virus 2009
KONTAKT Z DZIAŁEM SPRZEDAŻY
W przypadku pojawienia się pytań dotyczących wyboru lub zakupu aplikacji, czy
też przedłużenia okresu licencyjnego skontaktuj się z działem sprzedaży pod
numerem telefonu (34) 368 18 14.
Usługa świadczona jest w języku polskim.
Pytanie do działu sprzedaży można także wysłać za pośrednictwem poczty
elektronicznej na adres: sprzedaz@kaspersky.pl.
KONTAKT Z DZIAŁEM POMOCY TECHNICZNEJ
Każdy użytkownik produktów Kaspersky Lab może korzystać z bezpłatnej
pomocy technicznej dostępnej za pośrednictwem telefonu lub poprzez Internet.
Inżynierowie pomocy technicznej udzielą odpowiedzi na pytania związane
z instalacją i użytkowaniem aplikacji w przypadku zainfekowania komputera oraz
pomogą wyeliminować konsekwencje aktywności szkodliwego oprogramowania.
Pomoc techniczna za pośrednictwem telefonu
W przypadku wystąpienia problemu informacje można uzyskać pod
numerem telefonu: (34) 368 18 14.
Pomoc techniczna dla użytkowników aplikacji firmy Kaspersky Lab jest
świadczona od poniedziałku do piątku (w godzinach 8:00-19:00) oraz w
soboty (w godzinach 9:00-13:00).
Aby uzyskać pomoc techniczną, musisz podać numer kodu aktywacyjnego
lub numer klucza licencyjnego.
Kontakt z działem pomocy technicznej przy użyciu wiadomości e-mail
(tylko dla zarejestrowanych użytkowników)
Pytania do działu Pomocy technicznej można kierować za pośrednictwem
formularza Helpdesk na stronie internetowej
http://support.kaspersky.ru/helpdesk.html?LANG=pl.
Kaspersky Anti-Virus 2009 7
Ważne!
Jeżeli nie jesteś zarejestrowanym użytkownikiem aplikacji firmy Kaspersky
Lab, wypełnij i wyślij formularz znajdujący się na stronie https://support.
kaspersky.com/pl/PersonalCabinet/Registration/Form/. Podczas rejestracji
podaj kod aktywacyjny aplikacji lub numer pliku klucza.
Zapytania można wysyłać w języku polskim, rosyjskim, angielskim,
niemieckim, francuskim i hiszpańskim.
W celu wysłania wiadomości z zapytaniem podaj numer klienta oraz hasło
uzyskane podczas rejestracji na stronie działu pomocy technicznej.
Odpowiedź specjalistów z działu pomocy technicznej zostanie przesłana na
adres e-mail, z którego wysłano wiadomość oraz na adres podany w Panelu
klienta - https://support.kaspersky.com/pl/PersonalCabinet.
Formularz pozwala na szczegółowe opisanie problemu. W poszczególnych
polach formularza podaj następujące informacje:
Typ zapytania. Pytania zadawane najczęściej przez użytkowników
są specjalnie pogrupowane, na przykład: "Problemy
z instalacją/usuwaniem programu" lub "Problemy związane ze
skanowaniem/usuwaniem wirusów". W przypadku braku
właściwego tematu wybierz sekcję "Pytania ogólne”.
Nazwa aplikacji. Tutaj podaj nazwę użytkowanej aplikacji
Kaspersky Lab.
Treść zapytania. W polu tym bardzo szczegółowo opisz zaistniały
problem.
Numer klienta i hasło. W polu tym podaj numer klienta oraz hasło
otrzymane podczas rejestracji w dziale pomocy technicznej.
Adres e-mail. Odpowiedź na zadane pytanie zostanie wysłana na
ten adres.
8 Kaspersky Anti-Virus 2009
FORUM INTERNETOWE FIRMY KASPERSKY
LAB
Jeżeli zapytanie nie wymaga natychmiastowej odpowiedzi, można
przedyskutować je ze specjalistami z firmy Kaspersky Lab lub innymi
użytkownikami oprogramowania na forum internetowym znajdującym się pod
adresem http://forum.kaspersky.com (forum dostępne jest wyłącznie w języku
angielskim).
Na forum znaleźć można także wcześniej opublikowane informacje, pozostawić
swój komentarz, utworzyć nowe zapytanie lub skorzystać z wyszukiwarki.
NOWOŚCI W PROGRAMIE KASPERSKY
ANTI-VIRUS 2009
Kaspersky Anti-Virus stanowi całkowicie nowe podejście do bezpieczeństwa
danych. Główną cechą aplikacji jest ograniczanie uprawnień programów do
uzyskiwania dostępu do zasobów systemowych. Aplikacja zapobiega
wykonywaniu niechcianych działań przez podejrzane i niebezpieczne programy.
Znacznie ulepszono możliwości aplikacji w zakresie ochrony poufnych danych
użytkownika. Aplikacja zawiera teraz kreatory i narzędzia, które znaczącą
ułatwiają wykonywanie określonych zadań ochrony komputera.
Przyjrzyjmy się bliżej nowym funkcjom Kaspersky Anti-Virus 2009:
Nowe funkcje ochrony:
Skanowanie systemu operacyjnego oraz oprogramowania w celu
wykrycia i usunięcia luk w zabezpieczeniach zapewnia wysoki poziom
bezpieczeństwa systemu i uniemożliwia przeniknięcie do systemu
niebezpiecznych programów.
Nowy kreator – Analiza bezpieczeństwa usprawnia skanowanie
i usuwanie zagrożeń oraz luk w zabezpieczeniach aplikacji,
ustawieniach systemu operacyjnego i konfiguracji przeglądarki
internetowej.
Kaspersky Anti-Virus 2009 9
Kaspersky Lab reaguje teraz szybciej na nowe zagrożenia dzięki
wykorzystywaniu technologii Kaspersky Security Network (patrz sekcja
Uczestnictwo w Kaspersky Security Network na stronie 61), która
gromadzi dane o infekcji komputerów użytkowników i przesyła je na
serwery Kaspersky Lab.
Nowy kreator – Przywracanie systemu – pomaga naprawić szkody
wyrządzone w systemie w wyniku ataków szkodliwego
oprogramowania.
Nowe funkcje ochrony korzystania z Internetu:
Dodano skanowanie ruchu ICQ oraz MSN zapewniające bezpieczne
korzystanie z komunikatorów internetowych.
Nowe funkcje interfejsu programu
Nowy interfejs programu odzwierciedla kompleksowe podejście do
ochrony informacji.
Odpowiedni dobór informacji wyświetlanych w oknach dialogowych
pomaga w szybszym podjęciu decyzji.
Rozszerzono funkcjonalność raportów i statystyk dotyczących działania
aplikacji. Dzięki możliwości użycia filtrów pozwalających na elastyczną
konfigurację raportów produkt jest idealny także dla profesjonalistów.
JAK PROGRAM CHRONI KOMPUTER
Program Kaspersky Anti-Virus zapewnia ochronę komputera przed znanymi
i nowymi zagrożeniami oraz innymi niechcianymi informacjami. Każdy rodzaj
zagrożenia przetwarzany jest przez indywidualny moduł aplikacji. Dzięki takiej
konfiguracji program jest elastyczny, wygodny w konfiguracji i może zostać
szybko dostosowany do wymagań użytkownika.
Kaspersky Anti-Virus zawiera:
Monitorowanie aktywności aplikacji: zabezpiecza przed wykonywaniem
niebezpiecznych akcji przez aplikacje.
10 Kaspersky Anti-Virus 2009
Moduły ochrony przed złośliwym oprogramowaniem: zapewniają
ochronę komputera w czasie rzeczywistym dla wszystkich kanałów,
przez które są wysyłane i odbierane wszelkie informacje.
Zadania skanowania antywirusowego: umożliwiają skanowanie
pojedynczych plików, folderów, dysków lub obszarów w poszukiwaniu
szkodliwego kodu lub w celu wykonania pełnego skanowania
komputera. Zadania skanowania mogą być skonfigurowane w celu
wykrywania luk w aplikacjach, które są zainstalowane na komputerze.
Aktualizacja: gwarantuje aktualny stan wewnętrznych modułów aplikacji
a także baz używanych do skanowania w poszukiwaniu szkodliwych
programów i wykrywania ataków hakerów oraz spamu.
Kreatory i narzędzia: ułatwiają wykonywanie zadań związanych
z działaniem programu Kaspersky Anti-Virus.
Funkcje pomocy: zapewniają dodatkowe informacje na temat obsługi
programu oraz rozszerzają jego funkcjonalność.
KREATORY I NARZĘDZIA
Zapewnienie ochrony komputera jest niełatwym zadaniem, które wymaga wiedzy
o systemie operacyjnym oraz sposobach wykorzystywania jego słabych
punktów. Informacje na temat bezpieczeństwa systemu są obszerne
i różnorodne, co utrudnia ich analizę i przetwarzanie.
W celu ułatwienia wykonywania określonych zadań ochrony komputera
Kaspersky Anti-Virus został wyposażony w zestaw kreatorów i narzędzi.
Kreator analizy bezpieczeństwa przeprowadzający diagnostykę
komputera i szukający luk w zabezpieczeniach systemu operacyjnego
oraz programach zainstalowanych na komputerze.
Kreator przywracania systemu służący do eliminowania śladów
obecności szkodliwych obiektów w systemie.
Kreator tworzenia dysku ratunkowego wykorzystywany do przywracania
funkcjonalności systemu po ataku szkodliwego kodu, który uszkodził
pliki systemu operacyjnego i uniemożliwia jego uruchomienie.
Kaspersky Anti-Virus 2009 11
USŁUGI
Aplikacja zawiera zestaw usług. Mają one na celu zapewnienie ochrony
komputera, zwiększenie możliwości aplikacji oraz pomaganie użytkownikowi
w korzystaniu z programu.
Kaspersky Security Network
Kaspersky Security Network – to system automatycznego wysyłania
raportów dotyczących wykrytych i potencjalnych zagrożeń w celu
scentralizowania bazy danych. Baza ta pozwala na szybsze reagowanie na
większość zagrożeń oraz umożliwia powiadamianie użytkownika
o epidemiach wirusów.
Licencja
Przed instalacją programu Kaspersky Anti-Virus należy zaakceptować
postanowienia umowy licencyjnej określającej prawa, na podstawie których
można użytkować aplikację oraz uzyskiwać dostęp do zaktualizowanych baz
danych i pomocy technicznej podczas trwania okresu licencyjnego.
Wszystkie terminy i inne informacje wymagane do pełnej funkcjonalności
programu zawarte są w pliku klucza stanowiącego integralną część aplikacji.
Przy użyciu funkcji Licencja możesz uzyskać szczegółowe informacje
dotyczące zakupionej licencji oraz nabyć nową lub odnowić bieżącą licencję.
Pomoc
Wszyscy zarejestrowani użytkownicy aplikacji mogą korzystać z usług
pomocy technicznej. Aby dowiedzieć się, gdzie możesz uzyskać pomoc
techniczną, użyj funkcji Pomoc techniczna.
Poprzez kliknięcie odpowiedniego odsyłacza, można udać się na forum
użytkowników produktów Kaspersky Lab, wysłać raport na temat błędu do
działu pomocy technicznej lub zgłosić sugestię poprzez wypełnienie
specjalnego formularza.
Posiadasz także dostęp do pomocy technicznej i osobistego panelu klienta
poprzez Internet.
12 Kaspersky Anti-Virus 2009
Ważne!
Jednoczesne wykorzystywanie różnych metod skanowania zapewnia większe
bezpieczeństwo.
ANALIZA HEURYSTYCZNA
Heurystyka jest wykorzystywana w niektórych modułach ochrony w czasie
rzeczywistym, takich jak Pliki i pamięć, Poczta i komunikatory oraz Ochrona
online, jak również w zadaniach skanowania antywirusowego.
Skanowanie przy użyciu metody sygnaturowej opartej na stworzonej wcześniej
bazie zawierającej opisy znanych zagrożeń oraz metody ich zwalczania
dostarcza definitywnej odpowiedzi odnośnie tego, czy skanowany obiekt jest
szkodliwy i do jakiej klasy niebezpiecznych programów jest zaliczany.
W przeciwieństwie do metody sygnaturowej, metoda heurystyczna ma na celu
wykrycie typowego zachowania, a nie sygnatur szkodliwego kodu, co pozwala
programowi na podjęcie z określonym prawdopodobieństwem decyzji odnośnie
skanowanego pliku.
Zaletą analizy heurystycznej jest to, że przed skanowaniem nie trzeba
aktualizować bazy danych. Dlatego też nowe zagrożenia mogą być wykrywane,
zanim natrafią na nie analitycy wirusów.
Istnieją jednak metody omijania ochrony heurystycznej. Jednym ze sposobów
jest blokowanie aktywności szkodliwego kodu w momencie wykrycia skanowania
heurystycznego.
W przypadku wykrycia potencjalnego zagrożenia analizator heurystyczny
emuluje uruchomienie obiektu w bezpiecznym środowisku wirtualnym aplikacji.
Jeżeli podczas wykonywania obiektu zostanie wykryta podejrzana aktywność,
obiekt zostanie uznany za szkodliwy i nie będzie mógł zostać uruchomiony na
komputerze lub na ekranie pojawi się komunikat angażujący użytkownika
w wybór jednego z poniższych działań:
Przeniesienie nowego zagrożenia do Kwarantanny w celu późniejszego
przeskanowania i przetworzenia go przy użyciu uaktualnionych baz
danych.
Usunięcie obiektu.
Kaspersky Anti-Virus 2009 13
Ważne!
Nowe zagrożenia wykryte przy użyciu analizy heurystycznej są natychmiast
analizowane przez ekspertów z Kaspersky Lab, a metody ich zwalczania
dodawane są do cogodzinnych uaktualnień baz danych.
Jeżeli regularnie uaktualniasz bazy danych, utrzymasz optymalny poziom
ochrony swojego komputera.
Pominięcie obiektu (jeżeli masz pewność, że obiekt nie może być
szkodliwy).
Jeśli chcesz korzystać z metod heurystycznych, zaznacz opcję Analiza
heurystyczna. W tym celu przesuń suwak na jedną z trzech pozycji: Niski,
Średni lub Szczegółowy. Poziom szczegółowości skanowania stanowi
kompromis między dokładnością, a co za tym idzie jakością skanowania nowych
zagrożeń, a obciążeniem zasobów systemu operacyjnego (czasem także
czasem trwania skanowania). Im wyższy ustawisz poziom, tym więcej zasobów
systemowych będzie wymagało skanowanie i tym dłużej będzie trwało.
WYMAGANIA SPRZĘTOWE
I PROGRAMOWE
Aby aplikacja działała poprawnie, komputer musi spełniać następujące
wymagania:
Wymagania ogólne:
75 MB wolnego miejsca na dysku twardym.
Napęd CD-ROM (w celu instalacji aplikacji z płyty CD).
Mysz.
Microsoft Internet Explorer 5.5 lub nowszy (w celu aktualizacji bazy
danych sygnatur oraz modułów programu z Internetu).
Microsoft Windows Installer 2.0.
14 Kaspersky Anti-Virus 2009
Microsoft Windows 2000 Professional (SP4 lub nowszy), Microsoft Windows XP
Home Edition (SP2 lub nowszy), Microsoft Windows XP Professional (SP2 lub
nowszy), Microsoft Windows XP Professional x64 Edition:
Procesor Intel Pentium 300 MHz lub szybszy (lub kompatybilny).
256 MB dostępnej pamięci RAM.
Microsoft Windows Vista Starter x32, Microsoft Windows Vista Home Basic,
Microsoft Windows Vista Home Premium, Microsoft Windows Vista Business,
Microsoft Windows Vista Enterprise, Microsoft Windows Vista Ultimate:
Procesor Intel Pentium 800 MHz 32-bit (x86) / 64-bit (x64) lub szybszy
(lub kompatybilny).
512 MB dostępnej pamięci RAM.
ZAGROŻENIA DLA
W TYM ROZDZIALE:
Złośliwe oprogramowanie ................................................................................... 15
BEZPIECZEŃSTWA
KOMPUTERA
Bardzo duże zagrożenie dla bezpieczeństwa komputera stanowią różnego
rodzaju złośliwe programy. Dodatkowo zagrożenie może stanowić spam,
phishing, ataki hakerów oraz banery reklamowe. Zagrożenia te są nierozerwalnie
związane z użytkowaniem Internetu.
ZŁOŚLIWE OPROGRAMOWANIE
Oprogramowanie firmy Kaspersky Lab wykrywa setki tysięcy szkodliwych
programów mogących rezydować w komputerze. Niektóre z tych programów
stanowią bardzo duże zagrożenie dla komputera, podczas gdy inne są
niebezpieczne tylko w przypadku spełnienia pewnych warunków. Po wykryciu
szkodliwego oprogramowania, aplikacja przypisuje do niego poziom
odpowiadający stopniowi stwarzanego przez nie zagrożenia (wysoki lub średni).
Analitycy wirusów z firmy Kaspersky Lab utworzyli dwie główne kategorie:
szkodliwe programy oraz potencjalnie niebezpieczne oprogramowanie.
Szkodliwe programy (malware – patrz strona 16) tworzone są w celu
wyrządzenia szkód użytkownikowi, na przykład – kradzież danych lub pieniędzy,
blokowanie, modyfikowanie lub usuwanie informacji czy też wpływanie na
działanie komputera oraz sieci, w której się znajduje.
Potencjalnie niebezpieczne oprogramowanie (patrz strona 32),
w przeciwieństwie do szkodliwego oprogramowania, nie jest tworzone w celu
wyrządzania szkód użytkownikowi.
16 Kaspersky Anti-Virus 2009
Encyklopedia wirusów (http://viruslist.pl/encyclopedia.html) zawiera szczegółowy
opis tych programów.
SZKODLIWE PROGRAMY
Szkodliwe programy są tworzone w celu wyrządzenia szkód użytkownikowi.
Można wyróżnić trzy podkategorie szkodliwych programów: wirusy i robaki,
programy trojańskie oraz szkodliwe narzędzia.
Wirusy i robaki (patrz strona 16). Wirusy klasyczne i robaki wykonują na
komputerze operacje, na które użytkownik nie zezwala i mogą tworzyć kopie
samych siebie, które to kopie także mogą się dalej duplikować.
Trojany (patrz strona 21). W przeciwieństwie do wirusów i robaków, trojany nie
tworzą kopii samych siebie. Wkradają się one do komputera, na przykład, za
pośrednictwem wiadomości e-mail lub podczas otwierania przez użytkownika
zainfekowanej strony WWW. Programy trojańskie uruchamiane są przez
użytkownika i wówczas rozpoczynają wykonywać swoje szkodliwe działania.
Szkodliwe narzędzia (patrz strona 28). Narzędzia te zostały stworzone w celu
wyrządzania szkód. Jednak, w przeciwieństwie do innych szkodliwych
programów, nie wykonują one niebezpiecznych działań natychmiast po ich
aktywacji i mogą być bezpiecznie przechowywane a także uruchamiane na
komputerze użytkownika. Programy takie posiadają funkcje wykorzystywane do
tworzenia wirusów, robaków oraz trojanów, organizowania ataków sieciowych na
zdalne serwery, włamywania się do komputerów lub innych szkodliwych działań.
WIRUSY I ROBAKI
Podkategoria: wirusy i robaki
Stopień zagrożenia: wysoki
Wirusy klasyczne
Wirusy klasyczne i robaki wykonują na komputerze operacje, na które
użytkownik nie zezwala i mogą tworzyć kopie samych siebie, które to kopie także
mogą się dalej duplikować.
Kaspersky Anti-Virus 2009 17
Wirusy klasyczne reprodukują się wyłącznie w obrębie zasobów lokalnych
danego komputera - nie mogą one samodzielnie atakować innych maszyn. Wirus
taki może się dostać do innego komputera tylko wtedy, gdy doda kopię samego
siebie do pliku zapisanego w folderze współdzielonym lub na płycie CD, lub też
gdy użytkownik prześle zainfekowany plik w załączniku wiadomości e-mail.
Kod wirusa klasycznego może docierać do różnych obszarów komputera,
systemu operacyjnego lub aplikacji. W zależności od środowiska działania
można rozróżnić następujące kategorie wirusów klasycznych: wirusy plikowe
(ang. file virus), wirusy sektora startowego (ang. boot virus), wirusy skryptowe
(ang. script virus) oraz makrowirusy (ang. macro virus).
Wirusy mogą infekować pliki przy użyciu rozmaitych metod. Wirusy nadpisujące
(ang. overwriting virus) zapisują swój kod zastępując zawartość infekowanego
pliku i niszczą jego oryginalne dane. Zainfekowany plik przestaje funkcjonować
i nie może zostać wyleczony. Wirusy pasożytnicze (ang. parasitic virus)
modyfikują pliki pozostawiając je w pełni lub częściowo funkcjonalnymi. Wirusy
towarzyszące (ang. companion virus) nie modyfikują plików lecz tworzą ich
duplikaty. Wraz z otwarciem takiego pliku uruchamiany jest jego zainfekowany
towarzysz. Istnieją także wirusy odsyłające (ang. link virus), wirusy infekujące
moduły obiektów (OBJ), wirusy infekujące biblioteki (LIB), wirusy infekujące
oryginalny tekst programów itd.
Robak
Po wtargnięciu do systemu kod robaka sieciowego jest, podobnie do kodu wirusa
klasycznego, aktywowany i robak wykonuje swoje szkodliwe działania. Robak
sieciowy otrzymał swoją nazwę ze względu na charakteryzującą go możliwość
wysyłania (tunelowania), bez wiedzy użytkownika, kopii samego siebie między
komputerami.
Rodzaj robaka determinuje metoda wykorzystywana przez niego do
rozprzestrzeniania się. Poniższa tabela zawiera listę typów robaków.
18 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
EmailWorm
Robaki pocztowe
Robaki pocztowe infekują komputery za
pośrednictwem wiadomości e-mail.
Zainfekowana wiadomość zawiera załączony
plik, w którym znajduje się kopia robaka lub
odsyłacz do takiego pliku umieszczonego na
stronie WWW przez cyberprzestępcę. Po
otwarciu zainfekowanego załącznika robak
aktywuje się. Po kliknięciu odsyłacza, pobraniu
i otwarciu zainfekowanego pliku robak także
wykonuje swoje szkodliwe działania. Następnie
robak kontynuuje rozprzestrzenianie kopii
samego siebie poprzez wyszukiwanie innych
adresów e-mail i wysyłanie pod nie
zainfekowanych wiadomości.
IMWorm
Robaki
komunikatorów
internetowych
Robaki te rozprzestrzeniają się za
pośrednictwem komunikatorów internetowych
(ang. Instant Messenger - IM), takich jak ICQ,
MSN Messenger, AOL Instant Messenger,
Yahoo Pager lub Skype.
Najczęściej robaki tego typu wykorzystują listy
kontaktów do wysyłania komunikatów
zawierających odsyłacz do zainfekowanego
pliku znajdującego się na stronie WWW. Po
pobraniu i uruchomieniu takiego pliku przez
użytkownika robak aktywuje się.
Tabela 1. Rodzaje robaków ze względu na wykorzystywaną metodę rozprzestrzeniania
Kaspersky Anti-Virus 2009 19
TYP
NAZWA
OPIS
IRCWorm
Robaki IRC
Robaki tego typu dostają się do komputerów za
pośrednictwem programów IRC (ang. Internet
Relay Chat) pozwalających użytkownikom
Internetu na komunikowanie się ze sobą
w czasie rzeczywistym.
Robak publikuje na czacie plik zawierający jego
kopię lub odsyłacz do takiego pliku. Gdy
użytkownik pobierze i otworzy taki plik, robak
aktywuje się w systemie.
NetWorm
Robaki sieciowe
(robaki rezydujące
w sieciach
komputerowych)
Robaki te rozprzestrzeniają się za
pośrednictwem sieci komputerowych.
W przeciwieństwie do innych typów, propagacja
robaków sieciowych odbywa się bez udziału
użytkownika. Robak sieciowy szuka w sieci
lokalnej komputerów wykorzystujących
programy, w których występują luki. Po
znalezieniu takiego komputera robak sieciowy
wysyła do niego specjalny pakiet danych (tzw.
exploit) zawierający jego własny kod lub część
tego kodu. Po udanym wtargnięciu do
komputera robak aktywuje się.
20 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
P2PWorm
Robaki
wykorzystujące
sieci P2P
Robaki tego typu rozprzestrzeniają się za
pośrednictwem sieci wymiany plików (ang. Peer
to Peer - P2P), takich jak Kazaa, Grokster,
EDonkey, FastTrack lub Gnutella.
W celu przedostania się do takiej sieci robak
kopiuje się do współdzielonego foldera
wykorzystywanego do wymiany plików. Sieć
automatycznie rejestruje taki plik w swoich
zasobach i inni jej użytkownicy mogą go pobrać
na swoje komputery.
Bardziej zaawansowane robaki P2P imitują
protokoły wykorzystywane w konkretnych
sieciach wymiany plików: robaki takie fałszują
wyniki wyszukiwania i podstawiają
użytkownikom do pobrania kopie samych siebie.
Worm
Inne robaki
Kategoria ta obejmuje:
Robaki dystrybuujące swoje kopie za
pośrednictwem zasobów sieciowych. Przy
użyciu funkcji systemu operacyjnego robaki
te przeglądają zawartość dostępnych
folderów sieciowych, łączą się z komputerami
w sieci i podejmują próby otwarcia ich
napędów w trybie pełnego dostępu.
W przeciwieństwie do robaków sieciowych,
użytkownik musi otworzyć plik zawierający
kopie robaka, aby mógł się on aktywować.
Robaki, które nie wykorzystują żadnej
z wymienionych powyżej metod
rozprzestrzeniania się (na przykład, robaki
rozprzestrzeniające się za pośrednictwem
telefonów komórkowych).
Kaspersky Anti-Virus 2009 21
TYP
NAZWA
OPIS
TrojanArcBomb
Programy
trojańskie - bomba
w archiwum
Proces rozpakowywania archiwów
trojańskich zwiększa ich rozmiar i obciąża
zasoby systemowe. Gdy podejmujesz
próbę rozpakowania takiego archiwum,
komputer może zacząć działać wolniej lub
nawet całkowicie "zawisnąć" a dysk
twardy może zostać zapełniony "pustymi"
danymi. "Bomby w archiwach" są
szczególnie niebezpieczne dla serwerów
plików i poczty. Jeżeli na serwerze
wykorzystywany jest system
automatycznego przetwarzania informacji
przychodzących, "bomba w archiwum"
może całkowicie zablokować serwer.
TROJANY
Podkategoria: trojany
Stopień zagrożenia: wysoki
W przeciwieństwie do wirusów i robaków, trojany nie tworzą kopii samych siebie.
Wkradają się one do komputera, na przykład, za pośrednictwem wiadomości
e-mail lub podczas otwierania przez użytkownika zainfekowanej strony WWW.
Programy trojańskie uruchamiane są przez użytkownika i wówczas rozpoczynają
wykonywać swoje szkodliwe działania.
Zachowanie trojanów w zainfekowanym komputerze może być różne. Do
głównych funkcji trojanów należy: blokowanie, modyfikowanie i usuwanie danych
a także zakłócanie pracy komputerów lub sieci komputerowych. Ponadto,
programy trojańskie mogą otrzymywać i wysyłać pliki, uruchamiać je, wyświetlać
komunikaty, uzyskiwać dostęp do stron WWW, pobierać i instalować programy
oraz restartować zainfekowany komputer.
Cyberprzestępcy często wykorzystują zestawy składające się z różnych
programów trojańskich.
Poniższa tabela zawiera definicje typów trojanów wraz z opisem ich zachowania.
Tabela 2. Rodzaje trojanów ze względu na zachowanie w zainfekowanym komputerze
22 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
Backdoor
Trojańskie
narzędzia zdalnej
administracji
Programy te są traktowane jako
najbardziej niebezpieczne z całej grupy
aplikacji trojańskich. Funkcjonalnie
przypominają one legalne programy
administracyjne. Trojańskie narzędzia
zdalnej administracji instalują się bez
wiedzy i zgody użytkownika i otwierają
komputer dla zdalnego cyberprzestępcy.
Trojan
Trojany
Trojany obejmują następujące szkodliwe
programy:
klasyczne programy trojańskie -
wykonują takie czynności jak:
blokowanie, modyfikowanie i usuwanie
danych czy zakłócanie pracy
komputera lub sieci komputerowej.
Programy takie nie są wyposażane
w jakiekolwiek dodatkowe funkcje
charakterystyczne dla innych rodzajów
programów trojańskich opisanych w tej
tabeli;
"wielofunkcyjne" programy
trojańskie - posiadają funkcje
dodatkowe charakterystyczne dla
różnych rodzajów trojanów.
TrojanRansom
Programy
trojańskie
wyłudzające okup
Programy takie "biorą za zakładnika"
informacje zapisane na komputerze
użytkownika, modyfikują lub blokują je, lub
też zakłócają działanie komputera
w stopniu uniemożliwiającym
użytkownikowi korzystanie z niego.
Następnie intruz domaga się okupu
w zamian za udostępnienie programu,
który przywróci prawidłową pracę
komputera lub dostęp do danych.
Kaspersky Anti-Virus 2009 23
TYP
NAZWA
OPIS
TrojanClicker
Trojany klikające
Programy te uzyskują dostęp do stron
WWW z komputera użytkownika: wysyłają
polecenie do przeglądarki internetowej lub
podmieniają adresy stron WWW
przechowywane w plikach systemu
operacyjnego.
Przy użyciu tych programów
cyberprzestępca może organizować ataki
sieciowe i zwiększać ruch na stronach
WWW powodując wzrost liczby
wyświetleń banerów reklamowych.
TrojanDownloader
Trojany pobierające
pliki
Programy te uzyskują dostęp do strony
WWW przygotowanej przez
cyberprzestępcę, pobierają z niej inne
szkodliwe programy i instalują je na
komputerze użytkownika. Szkodniki te
mogą przechowywać nazwy pobieranych
szkodliwych programów we własnym
kodzie lub pobierać je z różnych stron
WWW.
24 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
TrojanDropper
Trojany
umieszczające pliki
w komputerze
Programy te zapisują na dysku komputera
aplikacje zawierające inne trojany
i instalują je w systemie.
Cyberprzestępcy mogą wykorzystywać
ten rodzaj trojanów do:
instalowania szkodliwych programów
bez wiedzy i zgody użytkownika:
trojany-droppery nie wyświetlają
żadnych komunikatów lub wyświetlają
fałszywe informacje powiadamiające
użytkownika, na przykład, o błędzie
w archiwum lub o nieprawidłowej wersji
systemu operacyjnego;
chronienia innych znanych szkodliwych
programów przed wykryciem: żaden
z programów antywirusowych nie ma
możliwości wykrywania szkodliwych
programów znajdujących się wewnątrz
trojana-droppera.
Kaspersky Anti-Virus 2009 25
TYP
NAZWA
OPIS
TrojanNotifier
Trojany informujące
Programy te informują cyberprzestępcę
o tym, że zainfekowany komputer został
podłączony do sieci a następnie
przesyłają do niego informacje o tym
komputerze, łącznie z: adresem IP,
numerem otwartego portu oraz adresem
e-mail. Trojany komunikują się
z cyberprzestępcą za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod.
Programy z tej kategorii są często
wykorzystywane w ramach zestawów
składających się z różnych trojanów.
Mogą one wówczas informować
cyberprzestępcę o stanie instalacji
różnych programów trojańskich
w atakowanym systemie.
TrojanProxy
Trojańskie serwery
proxy
Pozwalają cyberprzestępcy na
anonimowe uzyskiwanie dostępu do stron
WWW z poziomu zainfekowanego
komputera i często są wykorzystywane do
wysyłania spamu.
26 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
Trojan-PSW
Trojany kradnące
hasła
Trojany te kradną, na przykład, dane
rejestracyjne dotyczące oprogramowania.
Szukają one informacji poufnych w plikach
systemowych oraz w rejestrze i wysyłają
je do cyberprzestępcy za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod.
Niektóre z tych trojanów mogą należeć do
różnych kategorii opisanych w niniejszej
tabeli: trojany kradnące informacje
związane z kontami bankowymi (TrojanBanker), trojany kradnące dane osobowe
użytkowników komunikatorów
internetowych (Trojan-IM), trojany
kradnące dane użytkowników gier online
(Trojan-GameThief).
Trojan-Spy
Trojańskie
programy
szpiegujące
Programy te są wykorzystywane do
szpiegowania użytkownika - gromadzą
dane o operacjach wykonywanych przez
użytkownika zainfekowanego komputera,
na przykład: przechwytują informacje
wprowadzane z klawiatury, generują
zrzuty zawartości ekranu, tworzą listy
aktywnych aplikacji. Po otrzymaniu tych
informacji trojany przesyłają je do
cyberprzestępcy za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod.
Kaspersky Anti-Virus 2009 27
TYP
NAZWA
OPIS
TrojanDDoS
Programy
trojańskie - ataki
sieciowe
Programy te wysyłają z zainfekowanego
komputera liczne żądania do zdalnego
serwera. Atakowany serwer będzie
zużywał całe swoje zasoby na
przetwarzanie tych żądań, co może
doprowadzić do jego całkowitego
zatrzymania (ang. Denial of Service DoS). Programy takie są często
wykorzystywane do infekowania wielu
komputerów w celu przeprowadzenia
zmasowanego ataki na konkretny serwer.
Trojan-IM
Programy
trojańskie kradnące
hasła
użytkowników
komunikatorów
internetowych
Programy te kradną numery
(identyfikatory) oraz hasła dostępu do
komunikatorów internetowych (ang.
Instant Messenger - IM), takich jak ICQ,
MSN Messenger, AOL Instant Messenger,
Yahoo Pager lub Skype. Po otrzymaniu
tych informacji trojany przesyłają je do
cyberprzestępcy za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod.
Rootkit
Rootkity
Programy te ukrywają obecność
i aktywność innych szkodliwych
programów, przedłużając tym samym
czas ich życia w zainfekowanym
systemie. Rootkity mogą ukrywać pliki lub
procesy w pamięci zainfekowanego
komputera, klucze rejestru tworzone przez
szkodliwe programy lub dane wymieniane
między komputerami w sieci.
Trojan-SMS
Programy
trojańskie wiadomości SMS
Programy te infekują telefony komórkowe
i wysyłają wiadomości SMS na płatne
numery.
28 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
TrojansGameThiev
es
Programy
trojańskie kradnące
dane użytkowników
gier sieciowych.
Programy te kradną dane użytkowników
związane z kontami dostępu do gier
online. Po otrzymaniu tych informacji
trojany przesyłają je do cyberprzestępcy
za pośrednictwem wiadomości e-mail,
protokołu FTP, poprzez uzyskiwanie
dostępu do strony WWW cyberprzestępcy
lub przy użyciu innych metod.
TrojanBanker
Programy
trojańskie kradnące
informacje
o kontach
bankowych
Programy te kradną informacje związane
z kontami bankowymi lub systemami
płatności elektronicznej. Po otrzymaniu
tych informacji trojany przesyłają je do
cyberprzestępcy za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod.
TrojanMailfinder
Programy
trojańskie
zbierające adresy
e-mail
Programy te gromadzą adresy e-mail
przechowywane w zainfekowanym
komputerze. Po otrzymaniu tych
informacji trojany przesyłają je do
cyberprzestępcy za pośrednictwem
wiadomości e-mail, protokołu FTP,
poprzez uzyskiwanie dostępu do strony
WWW cyberprzestępcy lub przy użyciu
innych metod. Cyberprzestępca może
wykorzystać zgromadzone w ten sposób
adresy e-mail do wysyłania spamu.
SZKODLIWE NARZĘDZIA
Podkategoria: szkodliwe narzędzia
Stopień zagrożenia: średni
Narzędzia te zostały stworzone w celu wyrządzania szkód. Jednak,
w przeciwieństwie do innych szkodliwych programów, nie wykonują one
Kaspersky Anti-Virus 2009 29
TYP
NAZWA
OPIS
Constructor
Konstruktory
Konstruktory są wykorzystywane do
tworzenia nowych wirusów, robaków
i trojanów. Niektóre konstruktory
wyposażone są w interfejsy graficzne
pozwalające na wybór tworzonego
szkodliwego programu, metod
wykorzystywanych do ochrony przed
oprogramowaniem antywirusowym i innych
właściwości.
DoS
Ataki sieciowe
Programy te wysyłają z zainfekowanego
komputera liczne żądania do zdalnego
serwera. Atakowany serwer będzie
zużywał całe swoje zasoby na
przetwarzanie tych żądań, co może
doprowadzić do jego całkowitego
zatrzymania (ang. Denial of Service –
DOS).
niebezpiecznych działań natychmiast po ich aktywacji i mogą być bezpiecznie
przechowywane a także uruchamiane na komputerze użytkownika. Programy
takie posiadają funkcje wykorzystywane do tworzenia wirusów, robaków oraz
trojanów, organizowania ataków sieciowych na zdalne serwery, włamywania się
do komputerów lub innych szkodliwych działań.
Istnieje wiele typów szkodliwych narzędzi różniących się funkcjonalnością. Opisy
typów takich narzędzi zawiera poniższa tabela.
Tabela 3. Rodzaje szkodliwych narzędzi
30 Kaspersky Anti-Virus 2009
TYP
NAZWA
OPIS
Exploit
Exploity
Exploit to zestaw danych lub kod programu
wykorzystujący luki w aplikacjach do
wykonywania szkodliwych działań
w komputerze. Na przykład, exploity mogą
zapisywać i odczytywać pliki lub uzyskiwać
dostęp do zainfekowanych stron WWW.
Exploity wykorzystują luki różnych aplikacji
lub usług sieciowych. Exploit jest
przenoszony za pośrednictwem sieci do
wielu komputerów w postaci pakietu
sieciowego, który szuka komputerów
zawierających "dziurawe" usługi sieciowe
lub aplikacje. Na przykład, exploit zawarty
w pliku DOC wykorzystuje luki
w popularnych edytorach tekstu
i rozpoczyna wykonywanie funkcji
zaprogramowanych przez
cyberprzestępcę, gdy użytkownik otworzy
zainfekowany plik. Exploit zawarty
w wiadomości e-mail szuka luk
w programach pocztowych i rozpoczyna
wykonywanie szkodliwych działań, gdy
użytkownik otworzy zainfekowaną
wiadomość e-mail w "dziurawym"
programie pocztowym.
Exploity mogą być wykorzystywane do
dystrybuowania robaków sieciowych (Net-
Worm). Z kolei Exploity-Nukery to pakiety
sieciowe, które powodują całkowite
zatrzymanie pracy komputerów.
FileCryptor
Programy
szyfrujące pliki
Programy te szyfrują inne szkodliwe
programy w celu ukrycia ich przed
aplikacjami antywirusowymi.
Loading...