События
|
Описание
|
---|---|
Дублирование системного файла
|
Многие вредоносные программы создают свои копии или копии других вредоносных программ,
используя при этом имена файлов, применяемые для системных файлов Windows. Как правило,
это делается с целью переопределения или замены системных файлов, предотвращения обнаружения
или создания пользователям препятствий для удаления вредоносных файлов.
|
Изменение файла Hosts
|
Файл Hosts сопоставляет имена доменов с IP-адресами. Многие вредоносные программы
изменяют файл Hosts таким образом, чтобы перенаправлять веб-браузер на зараженные,
несуществующие или поддельные веб-сайты.
|
Подозрительное поведение
|
Подозрительное поведение может представлять собой определенное действие или последовательность
действий, которые, как правило, не свойственны законным программам. Программы, проявляющие
признаки такого поведения, следует использовать с осторожностью.
|
Новый подключаемый модуль Internet Explorer
|
Шпионские и нежелательные программы часто устанавливают нежелательные подключаемые
модули Internet Explorer, в том числе панели инструментов и объекты модуля поддержки
обозревателя.
|
Изменение настроек Internet Explorer
|
Многие вирусы и вредоносные программы изменяют настройки Internet Explorer, в том
числе стартовую страницу, доверенные веб-сайты, настройки прокси-сервера и расширения
меню.
|
Изменение политики безопасности
|
Изменения в политике безопасности Windows могут позволять нежелательным приложениям
запускаться и изменять системные настройки.
|
Внедрение библиотеки программ
|
Многие вредоносные программы перенастраивают систему Windows таким образом, что все
приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет
вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при
запуске приложения.
|
Изменение настроек оболочки
|
Многие вредоносные программы изменяют настройки оболочки Windows, чтобы связать себя
с определенными типами файлов. Эта процедура позволяет вредоносным программам автоматически
запускаться при попытке открыть связанные с ними файлы в проводнике Windows. Кроме
того, изменения настроек оболочки Windows могут позволить вредоносным программам отслеживать
используемые программы и запускаться одновременно с законными приложениями.
|
Новая служба
|
Службы Windows — это процессы, выполняющие определенные функции и обычно работающие
непрерывно в фоновом режиме с полными правами администратора. Иногда вредоносные программы
устанавливаются как службы для того, чтобы скрыть свое присутствие.
|
Изменение системного файла
|
Некоторые системные файлы Windows определяют поведение системы, в том числе автоматически
загружаемые программы и параметры отображения заставок. Многие вредоносные программы
изменяют системные файлы, чтобы автоматически запускаться при загрузке системы и контролировать
действия системы.
|
Изменение политики брандмауэра
|
Политика брандмауэра Windows определяет набор приложений, имеющих доступ к сети, портов, открытых для обмена данными, и IP-адресов, которые могут обмениваться данными с компьютером. Многие вредоносные программы изменяют политику брандмауэра Windows для получения доступа к сети и Интернету. |
Изменение системных процессов
|
Многие вредоносные программы выполняют различные действия со встроенными процессами
Windows. К таким действиям может относиться изменение или завершение текущих процессов.
|
Новая программа в списке автозапуска
|
Многие вредоносные программы перенастраивают систему Windows таким образом, что все
приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет
вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при
запуске приложения.
|
Действие
|
Описание
|
||
---|---|---|---|
Оценить
|
OfficeScan всегда разрешает программы, связанные с событием, но делает запись о таком
действии в журналах с целью оценки.
Это действие по умолчанию для всех отслеживаемых системных событий.
|
||
Разрешить
|
OfficeScan всегда разрешает программы, связанные с событием.
|
||
Запрашивать при необходимости
|
OfficeScan выводит пользователям запрос на разрешение или запрет программы, связанной
с событием, а также на добавление программы в список исключений.
Если пользователь не отреагирует на протяжении определенного времени, OfficeScan автоматически
разрешит выполнение программы. Время по умолчанию — 30 секунд. Сведения об изменении этого времени см. в разделе Изменение времени, по истечении которого будет разрешено выполнение программы.
|
||
Запретить
|
OfficeScan всегда блокирует программы, связанные с событием, и делает запись об этом
действии в журналах.
Если программа заблокирована и включены уведомления, OfficeScan выводит уведомление
на клиентском компьютере OfficeScan. Подробные сведения об уведомлениях см. в разделе Уведомления функции контроля действий для пользователей клиентов OfficeScan.
|