|
|
|
|
|
|
Zdarzenia
|
Opis
|
|---|---|
|
Zduplikowany plik systemowy
|
Wiele złośliwych programów tworzy swoje kopie oraz kopie innych złośliwych programów,
wykorzystując nazwy plików używane przez pliki systemu Windows. Ma to zwykle na celu
zastąpienie plików systemowych, uniknięcie wykrycia lub zniechęcenie użytkowników
do usunięcia złośliwego pliku.
|
|
Modyfikacja pliku hostów
|
Plik hostów służy do dopasowywania nazw domen do adresów IP. Wiele złośliwych programów
modyfikuje plik hostów, tak aby przeglądarka sieci Web była przekierowywana do zarażonych,
nieistniejących lub fałszywych witryn sieci Web.
|
|
Podejrzane zachowanie
|
Podejrzanym zachowaniem może być określone działanie lub kilka działań, których wykonanie
nie jest oczekiwane w przypadku wiarygodnych programów. Programów, których zachowanie
jest nieoczekiwane, należy używać z ostrożnością.
|
|
Nowy dodatek do programu Internet Explorer
|
Oprogramowanie spyware/grayware często instaluje niechciane dodatki do programu Internet
Explorer, takie jak paski narzędzi i obiekty pomocnika przeglądarki.
|
|
Modyfikacja ustawień programu Internet Explorer
|
Wiele wirusów/złośliwych programów zmienia ustawienia programu Internet Explorer,
takie jak strona domowa, zaufane witryny sieci Web, ustawienia serwera proxy i rozszerzenia
menu.
|
|
Modyfikacja reguły bezpieczeństwa
|
Modyfikacje reguły bezpieczeństwa systemu Windows mogą umożliwić działanie niechcianych
aplikacji i zmianę ustawień systemu.
|
|
Wstawienie kodu do biblioteki programu
|
Wiele złośliwych programów tak konfiguruje system Windows, aby wszystkie aplikacje
automatycznie wczytywały bibliotekę programu (DLL). Takie działanie umożliwia wykonywanie
złośliwych procedur wstawionych do biblioteki DLL podczas każdego uruchamiania aplikacji.
|
|
Modyfikacja powłoki
|
Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows w celu skojarzenia
się z plikami określonych typów. Dzięki temu złośliwe programy mogą się automatycznie
uruchamiać, gdy użytkownik otwiera w Eksploratorze Windows skojarzone z nimi pliki.
Zmiany ustawień powłoki systemu Windows mogą również umożliwić złośliwym programom
śledzenie używanych programów i jednoczesne uruchamianie z wiarygodnymi aplikacjami.
|
|
Nowa usługa
|
Usługi systemu Windows to pełniące specjalne funkcje procesy, które są zwykle stale
uruchomione w tle i które mają pełny dostęp administracyjny. Złośliwe programy czasami
instalują się jako usługi, aby pozostać w ukryciu.
|
|
Modyfikacja pliku systemowego
|
Niektóre pliki systemu Windows mają wpływ na zachowanie systemu, w tym na to, jakie
programy są uruchamiane podczas startu systemu, oraz na stosowane ustawienia wygaszacza
ekranu. Wiele złośliwych programów modyfikuje pliki systemowe, aby automatycznie się
uruchamiać podczas startu systemu i kontrolować jego zachowanie.
|
|
Modyfikacja reguły zapory
|
Reguła zapory systemu Windows określa, które aplikacje mają dostęp do sieci, jakie porty są otwarte w celach komunikacyjnych oraz które adresy IP mogą się łączyć z komputerem. Wiele złośliwych programów modyfikuje regułę, aby umożliwić sobie dostęp do sieci lokalnej oraz do Internetu. |
|
Modyfikacja procesu systemowego
|
Wiele złośliwych programów wykonuje różne działania względem wbudowanych procesów
systemu Windows. Takie działania to na przykład kończenie działania procesu lub modyfikacja
jego działania.
|
|
Nowy program startowy
|
Wiele złośliwych programów tak konfiguruje system Windows, aby wszystkie aplikacje
automatycznie wczytywały bibliotekę programu (DLL). Takie działanie umożliwia wykonywanie
złośliwych procedur wstawionych do biblioteki DLL podczas każdego uruchamiania aplikacji.
|
|
Operacja
|
Opis
|
||
|---|---|---|---|
|
Oceń
|
Program OfficeScan zawsze zezwala na działanie procesów związanych ze zdarzeniem,
ale rejestruje informacje o tym działaniu w dzienniku w celu przeprowadzenia późniejszej
oceny.
Jest to operacja domyślna dla wszystkich monitorowanych zdarzeń systemowych.
|
||
|
Zezwól
|
Program OfficeScan zawsze zezwala na działanie procesów związanych ze zdarzeniem.
|
||
|
Pytaj w razie konieczności
|
Program OfficeScan pyta użytkowników, czy działanie programów powiązanych ze zdarzeniem
ma zostać umożliwione lub zablokowane, a także czy programy mają zostać dodane do
listy wyjątków.
Jeśli użytkownik nie odpowie w określonym czasie, program OfficeScan automatycznie
zezwoli na uruchomienie programu. Ustawienie domyślne to 30 sekund. Aby zmienić ten czas, należy zapoznać się z tematem Modyfikowanie czasu, jaki musi upłynąć, zanim zostanie dozwolone uruchomienie programu.
|
||
|
Odrzuć
|
Program OfficeScan zawsze blokuje działanie programów związanych ze zdarzeniem i rejestruje
informacje o tym działaniu w dziennikach.
Jeśli program zostanie zablokowany, a powiadomienia są włączone, program OfficeScan
wyświetli powiadomienie na komputerze klienta OfficeScan. Szczegółowe informacje na temat powiadomień zawiera sekcja Powiadomienia monitorowania zachowania dla użytkowników klienta OfficeScan.
|
