検知可能なオブジェクトの選択
検知可能なオブジェクトを選択するには:
- メインウィンドウで、 をクリックします。
- 本製品の設定ウィンドウで、[全般設定]→[脅威と除外リスト]を選択します。
- [検知するオブジェクトの種別]ブロックで、チェックボックスを使用して Kaspersky Endpoint Security が検知するオブジェクトの種類を選択します:
- ウイルス、ワーム
サブカテゴリ:ウイルスやワーム(Viruses_and_Worms)
危険性:高
古典的なウイルスやワームは、ユーザーが許可していない処理を実行します。このようなウイルスやワームは、自己複製が可能な自身のコピーを作成することができます。
古典的ウイルス
古典的ウイルスがコンピューターに侵入すると、ファイルに感染して活動を開始し、悪意のある処理を実行し、それ自体のコピーを他のファイルに追加します。
古典的ウイルスは、コンピューターのローカルリソースでしか増殖しないため、自力で他のコンピューターに侵入できません。このウイルスが別のコンピューターに感染するのは、ウイルス自身のコピーを共有フォルダーに保管されているファイルまたは挿入された CD に追加したときや、ユーザーが感染したファイルを添付したメールを転送したときです。
古典的ウイルスのコードはコンピューター、オペレーティングシステム、アプリケーションの各種領域に侵入する可能性があります。環境により、ウイルスは、ファイルウイルス、ブートウイルス、スクリプトウイルス、およびマクロウイルスに分けられます。
ウイルスはさまざまな技法を駆使してファイルを感染させます。上書きウイルスは、そのコードを、感染したファイルのコードに上書きして、そのファイルの内容を消去します。感染したファイルは機能しなくなり、復元できません。寄生ウイルスは、ファイルを変更しますが、ファイルが完全にまたは部分的に機能する状態を維持します。コンパニオンウイルスは、ファイルを変更しませんが、代わりに複製を作成します。感染したファイルが開かれると、ウイルスの複製(実際にはこれがウイルス)が起動します。他にも、次のような種別のウイルスが見つかっています:リンクウイルス、OBJ ウイルス、LIB ウイルス、ソースコードウイルスなど多数。
ワーム
古典的ウイルスのコードと同様に、ワームのコードは、コンピューターに侵入してから活動を開始し、悪意のある処理を実行します。ワームは、コンピューターから別のコンピューターに「這うように移動」し、ユーザーの許可なく多数のデータチャネルを経由してコピーを拡散させることから、この名が付けられました。
さまざまなワームの種類を区別する主な特徴は、その拡散方法です。次のテーブルに、拡散方法によって分類される各種ワームの概要を示します:
ワームの拡散方法
種別
Name
説明
メールワーム
メールワーム
これらのワームはメールを介して広がります。
感染したメールには、ワームのコピーを含んだ添付ファイル、あるいは感染した Web サイトまたは感染させる目的で作成された Web サイトにアップロードされるファイルへのリンクが含まれています。添付ファイルを開くと、ワームが起動します。リンクをクリックし、ファイルをダウンロードして開くと、ワームも悪意のある処理を実行し始めます。その後、ワームは他のメールアドレスを検索して、これらのアドレスに感染メールを送信しながら、自身のコピーを拡散し続けます。
IM ワーム
IM クライアントワーム
インスタントメッセージ(IM)クライアント経由で拡散します。
通常、このようなワームは、ユーザーの連絡先リストを使用して、ワームのコピーに感染した Web サイト上のファイルへのリンクを含んだメールを送信します。ユーザーがファイルをダウンロードして開くと、ワームが起動します。
IRC ワーム
インターネットチャットワーム
このワームはインターネットリレーチャット(インターネット上の別のユーザーとリアルタイムで通信できるサービスシステム)を介して拡散します。
この種のワームは、インターネットチャットで自身のコピーを含むファイルまたはそのファイルへのリンクを公開します。ユーザーがファイルをダウンロードして開くと、ワームが起動します。
インターネットワーム(Net-Worm)
ネットワークワーム
これらのワームは、コンピューターネットワークを介して広がります。
通常のネットワークワームは、他の種類のワームと異なり、ユーザーが参加していなくても拡散します。このワームはプライベートネットワークに、脆弱性のあるプログラムがインストールされたコンピューターがないか探します。この操作を行うために、このワームはワームコードまたはその一部を含む特別に形成されたネットワークパケット(エクスプロイト)を送信します。ネットワーク上に「脆弱な」コンピューターが存在すると、そのコンピューターはこのようなネットワークパケットを受信します。ワームが完全にコンピューターに侵入すると、ワームが起動します。
P2P ワーム
ファイル共有ネットワークワーム
peer-to-peer のファイル共有ネットワーク経由で拡散します。
P2P ネットワークに潜入するために、ワームはそれ自身をファイル共有フォルダーにコピーします。このフォルダーは通常、ユーザーのコンピューター上にあります。P2P ネットワークでは、ネットワーク上の感染したファイルをユーザーが他のファイルと同様に「見つけ」、このファイルをダウンロードして開くように、このファイルに関する情報が表示されます。
さらに巧妙なワームは特定の P2P ネットワークのネットワークプロトコルを装って検索クエリに肯定応答を返し、自身のコピーをダウンロードさせます。
ワーム
他の種類のワーム
他の種類のワームには、以下のものがあります:
- 自身のコピーをネットワークリソースを介して拡散するワーム。このようなワームは、オペレーティングシステムの機能を使って使用可能なネットワークフォルダーを検索し、インターネット上のコンピューターへ接続し、このコンピューターのディスクドライブへのフルアクセス権を取得しようと試みます。他の種類のワームは上記種類のワームとは異なり、自力で起動するのではなく、ユーザーがワームのコピーを含むファイルを開いたときに起動します。
- 上記のどの拡散方法も使用しないワーム(携帯電話を通じて拡散するワームなど)。
- トロイの木馬(ランサムウェアを含む)
サブカテゴリ:トロイの木馬
危険性:高
ワームやウイルスとは異なり、トロイの木馬は自己複製しません。たとえば、ユーザーが感染している Web サイトにアクセスすると、トロイの木馬はメールやブラウザーからコンピューターに侵入します。トロイの木馬は、ユーザーの関与によって起動します。起動直後に、悪意のある処理を実行し始めます。
トロイの木馬は多種多様で、感染コンピューター上でのふるまいも多岐にわたります。トロイの木馬の主な機能は、情報のブロック、改変、破壊、およびコンピューターまたはネットワークの無効化です。また、トロイの木馬はファイルの送受信、ファイルの実行、画面上へのメッセージの表示、Web サイトの要求、プログラムのダウンロードとインストール、コンピューターの再起動を行うこともできます。
多くの場合、ハッカーはトロイの木馬の「セット」を使用します。
次のテーブルでは、トロイの木馬における動作の種類について説明します。
感染コンピューターにおけるトロイの木馬の動作種類
種別
Name
説明
Trojan-ArcBomb
トロイの木馬 - 「圧縮爆弾」
このアーカイブは、解凍するとコンピューターの動作に影響を与える程度のサイズにまで膨張します。
ユーザーがこのようなアーカイブを解凍しようとすると、コンピューターは処理速度が低下したりフリーズしたりすることがあります。また、ハードディスクが「空の」データで満杯になることがあります。「圧縮爆弾」は、特にファイルサーバーやメールサーバーにとって危険です。サーバーが自動システムを使用して受信情報を処理すると、「圧縮爆弾」によってサーバーが停止することがあります。
バックドア
リモート管理用のトロイの木馬
このプログラムは、トロイの木馬の中でも最も危険なものと考えられます。機能面で、コンピューターにインストールされるリモート管理アプリケーションに似ています。
これらのプログラムは、ユーザーに気付かれずにコンピューターにインストールされるので、侵入者はコンピューターを遠隔管理できます。
トロイの木馬
トロイの木馬
トロイの木馬には、次のような悪意のあるアプリケーションがあります:
- 古典的なトロイの木馬:これらのプログラムはトロイの木馬の主な機能(情報のブロック、改変または破壊、およびコンピューターまたはネットワークの無効化)のみを実行し、テーブルに示す他の種類のトロイの木馬とは異なり、高度な機能を持っていません。
- 多目的なトロイの木馬:これらのプログラムは、数種類のトロイの木馬に特徴的な先進機能を備えています。
Trojan-Ransom
トロイの木馬型ランサムウェア
このプログラムは、ユーザーの情報を「人質」にとって改変したり、ブロックしたりします。また、ユーザーが情報を使用する能力を喪失するように、コンピューターの動作に影響を与えます。侵入者は、コンピューターのパフォーマンスと保存されていたデータを復元するアプリケーションを送るという約束と引き替えに、ユーザーから身代金を要求します。
Trojan-Clicker
トロイの木馬クリッカー
このプログラムは、ブラウザーにコマンドを送信するか、オペレーティングシステムファイルで指定されている Web アドレスを変更することによって、ユーザーのコンピューターから Web サイトにアクセスします。
侵入者はこのようなプログラムを使用することによって、ネットワーク攻撃を行って Web サイトのアクセス数を増やし、バナー広告の表示回数を増やします。
Trojan-Downloader
トロイの木馬ダウンローダー
これは侵入者の Web サイトにアクセスして、そこから他の悪意のあるアプリケーションをダウンロードし、ユーザーのコンピューターにインストールします。このプログラムには、悪意のあるアプリケーションをダウンロードまたは受信するためにアクセスした Web サイトのファイル名が含まれていることがあります。
Trojan-Dropper
トロイの木馬ドロッパー
このプログラムは他のトロイの木馬を内包しており、この内包されたプログラムがハードディスクにインストールされ、実行されます。
侵入者は、トロイの木馬ドロッパー型プログラムを次のような目的で使用することがあります:
- ユーザーに気付かれずに悪意のあるプログラムをインストールする:トロイの木馬ドロッパー型プログラムは、メッセージを表示しないか、たとえば、アーカイブ中にエラーが発生したことやオペレーティングシステムが互換性のないバージョンであることを示すといった偽のメッセージを表示します。
- 既知の悪意のある別のアプリケーションが検知されないようにする:すべてのアンチウイルスのソフトウェアがトロイの木馬ドロッパー型アプリケーション内の悪意のあるアプリケーションを検知できるわけではありません。
Trojan-Notifier
トロイの木馬型ノーティファイア
このプログラムは、感染したコンピューターにアクセスできることを侵入者に教えるため、コンピューターの次のような情報を侵入者に送信します:IP アドレス、開いているポートの番号、メールアドレスなど。このプログラムはこれらの情報をメール、FTP、侵入者の Web サイトへのアクセス、あるいはこれら以外の方法で侵入者に送ります。
トロイの木馬型ノーティファイアプログラムは、多くの場合、複数のトロイの木馬からなるセットとして使用されます。また、このプログラムはトロイの木馬がユーザーのコンピューターにインストールされたことを侵入者に知らせます。
Trojan-Proxy
トロイの木馬型プロキシ
これらのトロイの木馬により、侵入者は、ユーザーのコンピューターを使って匿名で Web サイトにアクセスします。このトロイの木馬はスパムの送信によく利用されます。
Trojan-PSW
パスワード窃盗ソフトウェア
パスワード窃盗ソフトウェアは、ソフトウェア登録データなどのユーザーアカウントを盗むトロイの木馬の一種です。このトロイの木馬はシステムファイルおよびレジストリ内の機密データを見つけ、そのデータを「攻撃者」にメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって送信します。
これらのトロイの木馬のうち、いくつかがこのテーブルに示す種類に分類されます。これらは、銀行のアカウント情報(Trojan-Banker)、メッセンジャークライアントのユーザーのデータ(Trojan-IM)、およびオンラインゲームのユーザーの情報(Trojan-GameThief)を盗むトロイの木馬です。
Trojan-Spy
スパイウェア型トロイの木馬
このトロイの木馬はコンピューター上で動作しながら、ユーザーが行う処理に関する情報を収集して、ユーザーの行動を秘密裏に監視します。このトロイの木馬は、ユーザーがキーボードで入力するデータの傍受、スクリーンショットの撮影、あるいはアクティブなアプリケーションのリストの収集などを行うことがあります。このプログラムが情報を入手すると、その情報をメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって侵入者に転送します。
Trojan-DDoS
トロイの木馬ネットワークアタッカー
このプログラムは、ユーザーのコンピューターから大量の要求をリモートサーバーに送ります。サーバーは、要求を処理するためのリソースが不足するので、機能を停止します(サービス妨害攻撃、または DoS 攻撃)。ハッカーは、1 台のサーバーを多数のコンピューターから同時に攻撃できるように、このプログラムを利用して多数のコンピューターを感染させることがあります。
DoS プログラムは 1 台のコンピューターから、ユーザーに気付かれることなく攻撃を実行します。DDoS(分散 DoS)プログラムは、感染したコンピューターのユーザーに気付かれずに、複数のコンピューターから分散して攻撃を行います。
Trojan-IM
メッセンジャークライアントのユーザーから情報を盗むトロイの木馬
このトロイの木馬は、メッセンジャークライアントのユーザーのアカウント番号とパスワードを盗みます。このプログラムは、データをメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって侵入者に転送します。
ルートキット
ルートキット
ルートキットは、他の悪意のあるアプリケーションやその活動を隠蔽します。そのため、このアプリケーションはオペレーティングシステムに長期間潜入します。また、ルートキットはファイル、感染しているコンピューターのメモリ内のプロセス、または悪意のあるアプリケーションを実行するレジストリキーを隠蔽することもできます。さらにルートキットは、ユーザーのコンピューターにインストールされているアプリケーションとネットワーク上の他のコンピューターにインストールされているアプリケーションの間で行われるデータ交換を隠蔽できます。
Trojan-SMS
SMS メッセージ形式のトロイの木馬
このトロイの木馬は携帯電話を感染させ、高額の通話料が発生する電話番号に SMS メッセージを送信します。
Trojan-GameThief
オンラインゲームのユーザーから情報を盗むトロイの木馬
このトロイの木馬は、オンラインゲームのユーザーのアカウント情報を盗み、このデータを侵入者にメールや FTP で送信するか、侵入者の Web サイトにアクセスするなどによって送信します。
Trojan-Banker
銀行のアカウント情報を盗むトロイの木馬
このトロイの木馬は、銀行のアカウント情報や電子マネーシステムのデータを盗み、このデータをメールや FTP を使用して侵入者に送信するか、侵入者の Web サイトにアクセスするなどして送信します。
Trojan-Mailfinder
メールアドレスを収集するトロイの木馬
このトロイの木馬は、コンピューターに保存されているメールアドレスを収集し、侵入者にメールや FTP で送信するか、侵入者の Web サイトにアクセスするなどによって送信します。侵入者が収集したアドレスにスパムを送信することがあります。
- 悪意のあるツール
サブカテゴリ:悪意のあるツール
危険度:中
悪意のあるツールは、他の種類のマルウェアとは異なり、起動した直後に処理を実行しません。このプログラムはユーザーのコンピューターに安全に侵入し、そこで起動することができます。侵入者は、多くの場合、悪意のあるツールの機能を悪用して、ウイルス、ワーム、トロイの木馬を作成したり、リモートサーバーに対してネットワーク攻撃を仕掛けたりします。
悪意のあるツールのさまざまな機能を、次のテーブルに示す種類別に分類しています:
悪意のあるツールの機能
種別
Name
説明
コンストラクター
コンストラクター
このツールを使用して、新しいウイルス、ワームおよびトロイの木馬を作成します。一部のコンストラクターは標準的なウィンドウベースのインターフェイスを備えています。このインターフェイスでは、悪意のあるアプリケーションの種類を選択して、デバッガを無効にする手段やその他の機能を作成できます。
Dos
ネットワーク攻撃
このプログラムは、ユーザーのコンピューターから大量の要求をリモートサーバーに送ります。サーバーは、要求を処理するためのリソースが不足するので、機能を停止します(サービス妨害攻撃、または DoS 攻撃)。
エクスプロイト
エクスプロイト
エクスプロイトは、処理されるアプリケーションの脆弱性を利用する一連のデータまたはプログラムコードで、コンピューター上で悪意のある処理を実行します。たとえば、エクスプロイトは、ファイルの書き込みまたは読み取り、あるいは「感染している」Web サイトの要求を行うことができます。
それぞれのエクスプロイトは、さまざまなアプリケーションまたはネットワークサービスの脆弱性を利用します。ネットワークパケットに偽装したエクスプロイトは、ネットワーク経由で多数のコンピューターに送信され、脆弱なネットワークサービスを備えるコンピューターを探します。DOC ファイルのエクスプロイトは、テキストエディターの脆弱性を利用します。このエクスプロイトは、ユーザーが感染したファイルを開いたときに、ハッカーが事前にプログラミングした処理を開始することがあります。メールに組み込まれたエクスプロイトは、メールクライアントの脆弱性を探します。このエクスプロイトは、ユーザーがメールクライアントの感染メールを開くとすぐに悪意のある処理を実行します。
エクスプロイトを使用してネットワーク上に拡散するのがネットワームです。ヌーカー型エクスプロイトは、コンピューターを無効にするネットワークパケットです。
FileCryptor
エンクリプター
このプログラムは、他の悪意のあるアプリケーションを暗号化してアンチウイルス製品から隠蔽します。
Flooder
ネットワークを「汚染する」ためのプログラム
このプログラムは大量のメールをネットワークチャネル上に送信します。この種のツールには、インターネットリレーチャットなどを汚染するプログラムがあります。
Flooder 型ツールには、メール、IM クライアントおよびモバイル通信システムで使用されるチャネルを「汚染する」プログラムは含まれません。これらのプログラムは、テーブルに示す別種(Email-Flooder、IM-Flooder および SMS-Flooder)として区別されます。
HackTool
ハッキングツール
このプログラムは、たとえば、ユーザーの許可なしに新しいシステムアカウントを追加したり、システムログを消去してオペレーティングシステムにおける存在の痕跡を隠蔽したりすることによって、このプログラムがインストールされたコンピューターをハッキングすることや別のコンピューターを攻撃することを可能にします。この種のツールには、パスワードの傍受などの悪意のある機能を特徴とする一部のスニファーが含まれます。スニファーは、ネットワークトラフィックの監視を可能にするプログラムです。
Hoax
デマウイルス
このプログラムはウイルスメッセージに似たメッセージでユーザーに注意を喚起します。具体的には、感染していないファイルで「ウイルスを検知した」というメッセージや、実際にはディスクのフォーマットが発生しなかったのに、ディスクがフォーマットされたというメッセージを表示します。
スプーファ
スプーフィングツール
このツールは、メッセージ要求やネットワーク要求を送信者の偽装アドレスで送信します。たとえば、侵入者はスプーファ型のツールを使用して、ツール本体をメールの実際の送信者として渡します。
VirTool
悪意のあるアプリケーションを改変するツール
このツールを使用すると、他のマルウェアを改変して、アンチウイルス製品から隠蔽することができます。
Email-Flooder
メールアドレスを「汚染する」プログラム
このプログラムはさまざまなメールアドレスに大量のメールを送信して、これらのメールアドレスを「汚染」します。大量の受信メールによって、ユーザーは必要なメールを受信ボックスで表示できなくなります。
IM-Flooder
メッセンジャークライアントのトラフィックを「汚染する」プログラム
IM クライアントのユーザーをメッセージであふれさせます。大量のメールが送られてくるため、ユーザーは必要な受信メールを表示できなくなります。
SMS-Flooder
トラフィックを SMS メッセージで「汚染する」プログラム
このプログラムは携帯電話に大量の SMS メッセージを送信します。
- アドウェア
サブカテゴリ:広告ソフトウェア(アドウェア)
危険性:中
アドウェアはユーザーに対して広告情報を表示します。アドウェアは、他のプログラムのインターフェイスにバナー広告を表示して、検索クエリを広告 Web サイトにリダイレクトします。このようなプログラムには、ユーザーに関するマーケティング情報を収集し、それを開発者に送信するものがあります。この情報には、ユーザーが表示した Web サイトの名前や、ユーザーの検索の内容などが含まれます。スパイウェア型のトロイの木馬とは異なり、アドウェアは、このような情報をユーザーの同意を得てから開発者に送ります。
- オートダイヤラー
サブカテゴリ:ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェア。
危険度:中
これらのアプリケーションのほとんどが有用なものであるため、多くのユーザーが実行しています。これらのアプリケーションには、IRC クライアント、オートダイヤラー、ファイルダウンロードプログラム、コンピューターシステム動作モニター、およびパスワードユーティリティや、FTP、HTTP、および Telnet 用のインターネットサーバーなどがあります。
ただし、侵入者がこれらのプログラムにアクセスした場合やユーザーのコンピューターにこれらのプログラムを仕掛けた場合、アプリケーションの機能の一部がセキュリティを侵害するために利用されることがあります。
これらのアプリケーションは機能によって異なります。次のテーブルに、これらのアプリケーションの種類を示します:
種別
Name
説明
Client-IRC
インターネットチャットクライアント
これらのプログラムは、ユーザーがインターネットリレーチャットで人々と会話するためにインストールします。侵入者は、マルウェアを拡散させるためにこのプログラムを使用します。
ダイヤラー
オートダイヤラー
これらのプログラムは、モデムを介してひそかに電話接続を確立できます。
ダウンローダー
ダウンロード用プログラム
これらのプログラムは、Web サイトからファイルをひそかにダウンロードできます。
モニター
監視用プログラム
このプログラムは、インストールされているコンピューター上のアクティビティを監視します(どのアプリケーションがアクティブであるか、他のコンピューターにインストールされているアプリケーションとどのようにデータをやり取りしているかを監視する)。
PSWTool
パスワード不正取得ツール
このツールは、忘失したパスワードを表示して復元します。侵入者は、これと同じ目的でこのツールをユーザーのコンピューターにひそかに埋め込みます。
RemoteAdmin
リモート管理プログラム
このプログラムはシステム管理者の中で広く使用されています。このプログラムを使用すると、リモートコンピューターのインターフェイスにアクセスして、そのコンピューターの監視および管理を行うことができます。侵入者も、リモートコンピューターを監視および管理することを目的として、このプログラムをユーザーのコンピューターにひそかに埋め込みます。
合法的なリモート管理プログラムは、リモート管理用のバックドア型トロイの木馬と異なります。トロイの木馬は単独でオペレーティングシステムに侵入して、自身をインストールすることができますが、合法的なプログラムでは、このような動作は不可能です。
Server-FTP
FTP サーバー
このプログラムは FTP サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、FTP 経由でコンピューターへのリモートアクセスを開きます。
Server-Proxy
プロキシサーバー
このプログラムはプロキシサーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
Server-Telnet
Telnet サーバー
このプログラムは Telnet サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、Telnet 経由でコンピューターへのリモートアクセスを開きます。
Server-Web
Web サーバー
このプログラムは Web サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、HTTP 経由でコンピューターへのリモートアクセスを開きます。
RiskTool
ローカルコンピューターで動作するツール
このプログラムは、ユーザーのコンピューターで動作中に、ユーザーに追加オプションを提供します。このツールを使用すると、ユーザーはアクティブなアプリケーションのファイルやウィンドウを非表示にしたり、アクティブなプロセスを終了したりできます。
NetTool
ネットワークツール
このプログラムは、ネットワーク上の他のコンピューターで動作しているときに、ユーザーに追加のオプションを提供します。このようなツールは、コンピューターを再起動して、開いているポートを検知し、コンピューターにインストールされているアプリケーションを起動することできます。
Client-P2P
P2P ネットワーククライアント
このプログラムはピアツーピアネットワークで動作できます。また、侵入者がマルウェア拡散のためにこのプログラムを使用する場合があります。
Client-SMTP
SMTP クライアント
このプログラムは、ユーザーが知らないうちにメールを送信します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
WebToolbar
Web ツールバー
このツールは、検索エンジンを使用するためのツールバーを他のアプリケーションのインターフェイスに追加します。
FraudTool
擬似プログラム
このプログラムは、そのプログラム自体を他のプログラムとして渡します。たとえば、マルウェアが検知されたというメッセージを表示する擬似アンチウイルスプログラムがあります。しかし、実際には、何も検知または駆除しません。
- ユーザーに損害を与える目的で悪用される可能性があるその他のソフトウェアを検知する
サブカテゴリ:ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェア。
危険度:中
これらのアプリケーションのほとんどが有用なものであるため、多くのユーザーが実行しています。これらのアプリケーションには、IRC クライアント、オートダイヤラー、ファイルダウンロードプログラム、コンピューターシステム動作モニター、およびパスワードユーティリティや、FTP、HTTP、および Telnet 用のインターネットサーバーなどがあります。
ただし、侵入者がこれらのプログラムにアクセスした場合やユーザーのコンピューターにこれらのプログラムを仕掛けた場合、アプリケーションの機能の一部がセキュリティを侵害するために利用されることがあります。
これらのアプリケーションは機能によって異なります。次のテーブルに、これらのアプリケーションの種類を示します:
種別
Name
説明
Client-IRC
インターネットチャットクライアント
これらのプログラムは、ユーザーがインターネットリレーチャットで人々と会話するためにインストールします。侵入者は、マルウェアを拡散させるためにこのプログラムを使用します。
ダイヤラー
オートダイヤラー
これらのプログラムは、モデムを介してひそかに電話接続を確立できます。
ダウンローダー
ダウンロード用プログラム
これらのプログラムは、Web サイトからファイルをひそかにダウンロードできます。
モニター
監視用プログラム
このプログラムは、インストールされているコンピューター上のアクティビティを監視します(どのアプリケーションがアクティブであるか、他のコンピューターにインストールされているアプリケーションとどのようにデータをやり取りしているかを監視する)。
PSWTool
パスワード不正取得ツール
このツールは、忘失したパスワードを表示して復元します。侵入者は、これと同じ目的でこのツールをユーザーのコンピューターにひそかに埋め込みます。
RemoteAdmin
リモート管理プログラム
このプログラムはシステム管理者の中で広く使用されています。このプログラムを使用すると、リモートコンピューターのインターフェイスにアクセスして、そのコンピューターの監視および管理を行うことができます。侵入者も、リモートコンピューターを監視および管理することを目的として、このプログラムをユーザーのコンピューターにひそかに埋め込みます。
合法的なリモート管理プログラムは、リモート管理用のバックドア型トロイの木馬と異なります。トロイの木馬は単独でオペレーティングシステムに侵入して、自身をインストールすることができますが、合法的なプログラムでは、このような動作は不可能です。
Server-FTP
FTP サーバー
このプログラムは FTP サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、FTP 経由でコンピューターへのリモートアクセスを開きます。
Server-Proxy
プロキシサーバー
このプログラムはプロキシサーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
Server-Telnet
Telnet サーバー
このプログラムは Telnet サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、Telnet 経由でコンピューターへのリモートアクセスを開きます。
Server-Web
Web サーバー
このプログラムは Web サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、HTTP 経由でコンピューターへのリモートアクセスを開きます。
RiskTool
ローカルコンピューターで動作するツール
このプログラムは、ユーザーのコンピューターで動作中に、ユーザーに追加オプションを提供します。このツールを使用すると、ユーザーはアクティブなアプリケーションのファイルやウィンドウを非表示にしたり、アクティブなプロセスを終了したりできます。
NetTool
ネットワークツール
このプログラムは、ネットワーク上の他のコンピューターで動作しているときに、ユーザーに追加のオプションを提供します。このようなツールは、コンピューターを再起動して、開いているポートを検知し、コンピューターにインストールされているアプリケーションを起動することできます。
Client-P2P
P2P ネットワーククライアント
このプログラムはピアツーピアネットワークで動作できます。また、侵入者がマルウェア拡散のためにこのプログラムを使用する場合があります。
Client-SMTP
SMTP クライアント
このプログラムは、ユーザーが知らないうちにメールを送信します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
WebToolbar
Web ツールバー
このツールは、検索エンジンを使用するためのツールバーを他のアプリケーションのインターフェイスに追加します。
FraudTool
擬似プログラム
このプログラムは、そのプログラム自体を他のプログラムとして渡します。たとえば、マルウェアが検知されたというメッセージを表示する擬似アンチウイルスプログラムがあります。しかし、実際には、何も検知または駆除しません。
- 悪意のあるコードを保護するために圧縮されている可能性があるオブジェクト
Kaspersky Endpoint Security は、SFX(自己解凍形式)アーカイブ内に圧縮オブジェクトやアンパッカーモジュールがないかスキャンします。
侵入者は、危険なプログラムをアンチウイルス製品から隠蔽するために、特殊なパッカーを使用して危険なプログラムを保存するか、多重圧縮したファイルを作成します。
カスペルスキーのウイルスアナリストは、ハッカーの中で最も使用されているパッカーを識別しています。
Kaspersky Endpoint Security によってそのようなパッカーがファイル内に検知された場合、そのファイルには非常に高い確率で、悪意のあるアプリケーションやユーザーに損害を与える目的で悪用される可能性があるアプリケーションが含まれています。
Kaspersky Endpoint Security は、次のようなプログラムを検知します:
- 損害を与える可能性がある圧縮ファイル – マルウェア(ウイルス、ワーム、トロイの木馬など)を圧縮するために使用されます。
- 多重圧縮ファイル(危険性「中」) – 1 個以上のパッカーによって 3 回圧縮されたオブジェクト。
- 多重圧縮オブジェクト
Kaspersky Endpoint Security は、SFX(自己解凍形式)アーカイブ内に圧縮オブジェクトやアンパッカーモジュールがないかスキャンします。
侵入者は、危険なプログラムをアンチウイルス製品から隠蔽するために、特殊なパッカーを使用して危険なプログラムを保存するか、多重圧縮したファイルを作成します。
カスペルスキーのウイルスアナリストは、ハッカーの中で最も使用されているパッカーを識別しています。
Kaspersky Endpoint Security によってそのようなパッカーがファイル内に検知された場合、そのファイルには非常に高い確率で、悪意のあるアプリケーションやユーザーに損害を与える目的で悪用される可能性があるアプリケーションが含まれています。
Kaspersky Endpoint Security は、次のようなプログラムを検知します:
- 損害を与える可能性がある圧縮ファイル – マルウェア(ウイルス、ワーム、トロイの木馬など)を圧縮するために使用されます。
- 多重圧縮ファイル(危険性「中」) – 1 個以上のパッカーによって 3 回圧縮されたオブジェクト。
- ウイルス、ワーム
- 変更内容を保存します。