Jeśli pole Uruchom Kaspersky Security Network jest zaznaczone, a pole Włącz rozszerzony tryb KSN, przesyłane są następujące informacje:
Adres internetowy strony, z której użytkownik został przekierowany do przeskanowanego adresu internetowego
Adres internetowy, którego reputacji zażądano
Wersja protokołu użytego do nawiązania połączenia z usługami Kaspersky
ID antywirusowych baz danych
ID zadania skanowania, które wykryło zagrożenie
ID podsystemu, który zainicjował żądanie
ID protokołu połączenia i numer użytego portu
Numery ID zainstalowanych aktualizacji
Nazwa i ID wykrytego zagrożenia, zgodne z klasyfikacją Kaspersky
Publiczny klucz certyfikatu
Typ i pełna wersja Kaspersky Endpoint Security
Suma kontrolna (SHA256) certyfikatu, jakim został podpisany przeskanowany plik
Suma kontrola przeskanowanego pliku (MD5, SHA2-256 i SHA1) oraz szablony pliku (MD5)
Jeśli pole Włącz rozszerzony tryb KSN jest zaznaczone wraz z polem Uruchom Kaspersky Security Network, oprócz powyższych informacji przesyłane są także następujące informacje:
Zaufane pliki wykonywalne oraz pliki niewykonywalne lub ich części, które są przesyłane w celu uniknięcia fałszywych alarmów.
Przesyłane są następujące informacje znajdujące się w raportach z aktywności aplikacji:
Adresy internetowe i adresy IP wywołane przez aplikację
Adresy internetowe i adresy IP, z których został otrzymany uruchomiony plik
Data i godzina rozpoczęcia i zakończenia ważności certyfikatu, jeśli przesłany plik posiadał podpis cyfrowy - data i godzina podpisu, nazwa wystawcy certyfikatu, informacje o właścicielu certyfikatu, odcisk palca i publiczny klucz certyfikatu oraz algorytmy ich obliczenia, a także numer seryjny certyfikatu
Nagłówki okien procesów
ID antywirusowych baz danych, nazwa wykrytego zagrożenia zgodna z klasyfikacją Posiadacza praw
Nazwy i ścieżki dostępu do plików, do których dostęp uzyskiwał proces
Nazwy i wartości kluczy rejestru, do których dostęp uzyskiwał proces
Nazwa konta użytego do uruchomienia procesu
Nazwa, rozmiar i wersja przesłanego pliku, jego opis i sumy kontrolne (MD5, SHA2-256, SHA1), ID formatu, nazwa jego twórcy, nazwa produktu, do którego należy plik, pełna ścieżka dostępu do pliku na komputerze oraz kod szablonu ścieżki dostępu, a także data i godzina utworzenia i modyfikacji pliku
Informacje o licencji zainstalowanej w oprogramowaniu, ID licencji oraz jej typ i data wygaśnięcia
Sumy kontrolne (MD5, SHA2-256, SHA1) nazwy komputera, na którym został uruchomiony proces
Czas lokalny komputera w momencie przesyłania informacji
Zostaną przesłane następujące informacje dodatkowe:
Adresy internetowe i adresy IP żądanego zasobu internetowego, informacje o pliku i kliencie sieci Web, który żądał dostępu do zasobu internetowego, nazwa, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1) pliku, pełna ścieżka dostępu do pliku oraz kod szablonu ścieżki, wynik sprawdzania jego podpisu cyfrowego i jego stan w KSN
Jeśli zostanie wykryty potencjalnie szkodliwy plik, dostarczone zostaną następujące informacje o danych pamięci procesu: elementy hierarchii obiektów systemu (ObjectManager), dane pamięci UEFI BIOS oraz nazwy i wartości kluczy rejestru.
Strony internetowe i wiadomości e-mail zawierające podejrzane i szkodliwe obiekty.
Wersja komponentu aktualizującego oprogramowanie, liczba awarii komponentu aktualizującego oprogramowanie podczas wykonywania zadań aktualizacji w trakcie działania komponentu, ID typu zadania aktualizacji, liczba niepomyślnych przerwań zadania aktualizacji komponentu aktualizującego oprogramowanie.
Dane dotyczące błędów, które wystąpiły w trakcie działania komponentu oprogramowania: ID stanu oprogramowania, kod i typ błędu, a także czas jego wystąpienia, numery ID komponentu, modułu i procesu produktu, w którym wystąpił błąd, ID zadania lub kategorii aktualizacji, w trakcie której wystąpił błąd, raporty sterowników użytych przed oprogramowanie (kod błędu, nazwa modułu, nazwa pliku źródłowego oraz wiersz, w którym wystąpił błąd), ID metody identyfikacji błędu, który wystąpił podczas działania oprogramowania, a także nazwa procesu, który zainicjował przechwycenie lub wymianę ruchu sieciowego, co doprowadziło do błędu w działaniu oprogramowania.
Dane dotyczące zrzutu systemu (BSOD): wskaźnik błędu BSOD występującego na komputerze, nazwa sterownika, który spowodował błąd BSOD, stos pamięci i adres w sterowniku, wskaźnik trwania sesji systemu operacyjnego przed wystąpieniem BSOD, stos pamięci awarii sterownika, typ zapisanego zrzutu pamięci, wskaźnik określający, że przed wystąpieniem BSOD sesja systemu operacyjnego trwała dłużej niż 10 minut, unikatowy identyfikator ID zrzutu pamięci oraz data i godzina wystąpienia BSOD.
Dane dotyczące aktualizacji antywirusowych baz danych i komponentów oprogramowania: nazwy, daty i godziny załadowania plików indeksu w wyniku ostatniej aktualizacji oraz załadowanych w bieżącej aktualizacji, a także data i godzina zakończenia ostatniej aktualizacji oraz nazwy zaktualizowanych kategorii plików i ich sum kontrolnych (MD5, SHA2-256, SHA1).
ID zadania skanowania, które wykryło zagrożenie.
Informacje do autoryzacji certyfikatów, którymi zostały podpisane pliki: odcisk palca certyfikatu, algorytm wyliczenia sumy kontrolnej, klucz publiczny i numer seryjny certyfikatu, nazwa wystawcy certyfikatu, wynik sprawdzenia certyfikatu oraz ID bazy danych certyfikatu.
Informacje o wersji systemu operacyjnego (OS) zainstalowanego na komputerze i zainstalowanych pakietach aktualizacyjnych, szybkości transmisji bitów, rewizji i ustawieniach trybu działania systemu operacyjnego oraz wersji i sumach kontrolnych (MD5, SHA2-256, SHA1) pliku jądra systemu operacyjnego.
Informacje o wycofaniu szkodliwych działań: dane dotyczące pliku, którego aktywność została wycofana (nazwa pliku, pełna ścieżka dostępu do pliku, jego rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1)), dane dotyczące pomyślnych i niepomyślnych działań mających na celu usunięcie, zmianę nazwy i skopiowanie plików oraz przywrócenie wartości w rejestrze (nazwy kluczy rejestru i ich wartości) oraz informacje o plikach systemowych zmodyfikowanych przez szkodliwe oprogramowanie, przed i po wycofaniu działań.
Informacje o emulacji pliku wykonywalnego: rozmiar pliku i jego sumy kontrolne (MD5, SHA2-256, SHA1), wersja komponentu emulacji, szczegółowość emulacji, wektor charakterystyki bloków logicznych i funkcji w blokach logicznych uzyskanych podczas emulacji oraz dane ze struktury nagłówka PE pliku wykonywalnego.
Informacje o dacie zainstalowania i aktywacji oprogramowania na komputerze: typ zainstalowanej licencji i jej okres ważności, ID partnera, u którego licencja została zakupiona, numer seryjny licencji, typ instalacji oprogramowania na komputerze (nowa instalacja, aktualizacja itd.), wskaźnik pomyślnej instalacji lub liczba błędów instalacji, unikatowy ID instalacji oprogramowania na komputerze, typ i ID aplikacji, za pomocą której dokonano aktualizacji, oraz ID zadania aktualizacji.
Informacje o załadowanych modułach oprogramowania: nazwa, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1) pliku modułu, pełna ścieżka dostępu do niego oraz kod szablonu ścieżki dostępu, ustawienia podpisu cyfrowego pliku modułu, data i godzina utworzenia podpisu, nazwa podmiotu i organizacji, która podpisała plik modułu, ID procesu, w którym moduł został załadowany, nazwa dostawcy modułu oraz numer sekwencyjny modułu w kolejce ładowania.
Informacje o plikach pobranych przez użytkownika: adresy URL i adresy IP, z których pliki zostały pobrane, oraz strony do pobrania, ID protokołu pobierania i numer portu połączenia, wskaźnik szkodliwej aktywności adresów, atrybuty i rozmiar pliku oraz jego sumy kontrolne (MD5, SHA2-256, SHA1), informacje o procesie, który pobrał plik (sumy kontrolne (MD5, SHA2-256, SHA1), data i godzina utworzenia i łączenia, wskaźnik automatycznego uruchomienia, atrybuty, nazwy narzędzi pakujących, informacje o podpisie, wskaźnik pliku wykonywalnego, ID formatu, entropia), nazwa pliku, ścieżka dostępu do pliku na komputerze, podpis cyfrowy pliku i informacje o podpisie, adres URL, w którym nastąpiło wykrycie, liczba skryptów na stronie, która okazała się podejrzana lub szkodliwa, informacje o zakończonych żądaniach http i reakcje na nie.
Informacje o uruchomionych aplikacjach i ich modułach: dane dotyczące procesów uruchomionych w systemie (ID procesu (PID), nazwa procesu, szczegóły konta, z poziomu którego proces został uruchomiony, oraz aplikacja i polecenie, które uruchomiły proces, a także wskaźnik pokazujący, czy aplikacja lub proces są zaufane, pełna ścieżka dostępu do plików procesu i wiersza poleceń, poziom integralności procesu, opis produktu, do którego należy proces (nazwa produktu i szczegóły wydawcy), oraz informacje o aktualnie używanych podpisach cyfrowych i informacje niezbędne do ich zweryfikowania lub wskazania braku podpisu cyfrowego pliku), a także informacje o modułach załadowanych do procesów (nazwa, rozmiar, typ, data utworzenia, atrybuty, sumy kontrolne (MD5, SHA2-256, SHA1) i ścieżka dostępu), informacje o nagłówku pliku PE i nazwa narzędzia pakującego (jeśli plik został spakowany).
Informacje o zestawie wszystkich zainstalowanych aktualizacji oraz o zestawie ostatnio zainstalowanych aktualizacji i/lub zdalnych aktualizacjach, typ zdarzenia, które spowodowało wysłanie informacji o aktualizacji, ilość czasu, jaka upłynęła od zainstalowania ostatniej aktualizacji oraz informacje o antywirusowych bazach danych, które zostały załadowane podczas przesyłania informacji.
Informacje o ostatnim niepomyślnym ponownym uruchomieniu systemu operacyjnego: liczba niepomyślnych ponownych uruchomień od zainstalowania systemu operacyjnego, dane dotyczące zrzutu systemu (kod błędu oraz parametry, nazwa, wersja i suma kontrolna (CRC32) modułu, który spowodował błąd w działaniu systemu operacyjnego, adres błędu jako przesunięcie w module oraz sumy kontrolne (MD5, SHA2-256, SHA1) zrzutu systemu).
Informacje o oprogramowaniu Posiadacza praw: pełna wersja, typ, lokalizacja i stan działania używanego oprogramowania, wersje zainstalowanych komponentów oprogramowania i ich stan działania, dane dotyczące zainstalowanych aktualizacji oprogramowania, wartość pliku TARGET oraz wersja użytego protokołu do nawiązywania połączenia z usługami Posiadacza praw.
Informacje o przeskanowanych obiektach: przydzielona grupa zaufania, do której lub z której obiekt został przeniesiony, przyczyna przeniesienia pliku do danej kategorii, ID kategorii, informacje o źródle kategorii i wersje bazy danych kategorii, wskaźnik pokazujący, czy plik posiada zaufany certyfikat, nazwa twórcy pliku, wersja pliku oraz nazwa i wersja aplikacji, do której należy plik.
Informacje o przeskanowanych plikach i adresach URL: sumy kontrolne przeskanowanego pliku (MD5, SHA2-256, SHA1) oraz wzorce pliku (MD5), rozmiar wzorca, typ wykrytego zagrożenia i jego nazwa zgodna z klasyfikacją Posiadacza praw, ID antywirusowych baz danych, adres URL, którego reputacja została zażądana, a także adres URL strony, z której użytkownik został przekierowany do przeskanowanego adresu URL, ID protokołu połączenia i numer użytego portu.
Informacje o procesie, który wykonał atak na autoochronę oprogramowania: nazwa i rozmiar pliku procesu, jego sumy kontrolne (MD5, SHA2-256, SHA1), pełna ścieżka dostępu do pliku i kod szablonu ścieżki dostępu, data i godzina utworzenia i łączenia pliku procesu, wskaźnik pliku wykonywalnego, atrybuty pliku procesu, informacje o certyfikacie, którym plik procesu został podpisany, kod konta użytego do uruchomienia procesu, ID działań, które zostały wykonane do uzyskania dostępu do procesu, typ zasobu, za pomocą którego wykonano działanie (proces, plik, obiekt rejestru, wyszukiwanie okna za pomocą funkcji FindWindow), nazwa zasobu, za pomocą którego wykonano działanie, wskaźnik pomyślnej operacji, stan pliku procesu i jego sygnatura w KSN.
Informacje o działaniu składników ochrony: pełne wersje komponentów, kod zdarzenia, które przepełniło kolejkę zdarzeń oraz liczba tych zdarzeń, totalna liczba przepełnień kolejki zdarzeń, informacje o pliku procesie, który zainicjował zdarzenie (nazwa pliku i ścieżka dostępu do niego na komputerze, kod szablonu ścieżki dostępu, sumy kontrolne (MD5, SHA2-256, SHA1) procesu skojarzonego z plikiem, wersja pliku), ID przechwycenia zakończonego zdarzenia, pełna wersja filtru przechwytywania, ID typu przechwyconego zdarzenia, rozmiar kolejki zdarzeń oraz liczba zdarzeń pomiędzy pierwszym zdarzeniem w kolejce a bieżącym zdarzeniem, liczba zaległych zdarzeń w kolejce, informacje o procesie, który zainicjował bieżące zdarzenie (nazwa pliku procesu i ścieżka dostępu do niego na komputerze, kod szablonu ścieżki dostępu, sumy kontrolne (MD5, SHA2-256, SHA1) procesu), czas przetworzenia zdarzenia, maksymalny dozwolony czas przetworzenia zdarzenia oraz wartość prawdopodobieństwa przesłania danych.
Informacje o działaniu oprogramowania na komputerze: dane dotyczące użycia procesora, dane dotyczące użycia pamięci (Bajty prywatne, Pula niestronicowana, Pula stronicowana), liczba aktywnych wątków w procesie oprogramowania i oczekujące wątki, a także czas działania oprogramowania przed wystąpieniem błędu.
Informacje o wynikach kategoryzacji żądanych zasobów internetowych zawierających przeskanowany adres URL i adres IP hosta, wersja komponentu oprogramowania, który przeprowadził kategoryzację, metoda kategoryzacji i zestaw kategorii określonych dla zasobu internetowego.
Informacje o atakach sieciowych: adresy IP atakującego komputera (IPv4 i IPv6), numer portu komputera będącego celem ataku sieciowego, ID protokołu pakietu IP, w którym atak został zarejestrowany, cel ataku (nazwa firmy, strona internetowa), flaga odpowiedzi na atak, ważony poziom ataku i wartość poziomu zaufania.
Informacje o połączeniach sieciowych: wersja i sumy kontrolne (MD5, SHA2-256, SHA1) pliku procesu, który otworzył port, ścieżka dostępu do pliku procesu i jego podpis cyfrowy, lokalne i zdalne adresy IP, numery lokalnych i zdalnych portów połączenia, stan połączenia i czas otwarcia portu.
Informacje o zdarzeniach w dziennikach systemu: czas wystąpienia zdarzenia, nazwa dziennika, w którym zdarzenie zostało wykryte, typ i kategoria zdarzenia oraz nazwa źródła zdarzenia i jego opis.
Informacje o stanie ochrony antywirusowej komputera: wersje, data i godzina publikacji używanych antywirusowych baz danych, dane statystyczne dotyczące aktualizacji i połączeń z usługami Posiadacza praw oraz ID zadania i ID komponentu oprogramowania, który przeprowadził skanowanie.
Informacje o aplikacjach firm trzecich, które spowodowały błąd: ich nazwy, wersje i lokalizacje, kod błędu i informacje o nim z dziennika systemu aplikacji, adres wystąpienia błędu i stos pamięci aplikacji firm trzecich, wskaźnik błędu w komponencie oprogramowania, czas działania aplikacji firmy trzeciej przed wystąpieniem błędu, sumy kontrolne (MD5, SHA2-256, SHA1) obrazu procesu aplikacji, w której wystąpił błąd, ścieżka dostępu do tego obrazu procesu aplikacji oraz kod szablonu ścieżki dostępu, informacje z dziennika systemu operacyjnego z opisem błędu skojarzonego z aplikacją, informacje o module aplikacji, w którym wystąpił błąd (ID błędu, adres błędu jako przesunięcie w module, nazwa i wersja modułu, ID awarii aplikacji we wtyczce Posiadacza praw i stos pamięci awarii, a także czas działania aplikacji przed wystąpieniem błędu).
Informacje o awariach oprogramowania: data i godzina utworzenia zrzutu, jego typ, nazwa procesu skojarzonego ze zrzutem, wersja i godzina wysłania statystyk ze zrzutem, typ zdarzenia, które spowodowało awarię oprogramowania (niespodziewana awaria zasilania, awaria aplikacji innego Posiadacza praw, błędy przetwarzania przechwycenia), a także data i godzina niespodziewanej awarii zasilania.
Informacje o atakach związanych z fałszowaniem zasobów sieciowych, a także adresy DNS i adresy IP (IPv4 lub IPv6) odwiedzonych stron internetowych.
Informacje o użytych certyfikatach cyfrowych wymaganych do zweryfikowania ich autentyczności: sumy kontrolne (SHA256) certyfikatu, którym został podpisany przeskanowany obiekt, a także publiczny klucz certyfikatu.
Informacje o wykrytych lukach: ID luki w bazie danych luk, klasa zagrożenia luki oraz stan wykrycia.
Informacje o sprzęcie zainstalowanym na komputerze: typ, nazwa, model i wersja oprogramowania firmware, specyfikacje wbudowanych i podłączonych urządzeń oraz unikatowy ID komputera, na którym jest zainstalowane oprogramowanie.
Informacje o oprogramowaniu zainstalowanym na komputerze: nazwa oprogramowania i jego twórcy, użyte klucze rejestru i ich wartości, informacje o plikach zainstalowanego oprogramowania (sumy kontrolne (MD5, SHA2-256, SHA1), nazwa, ścieżka dostępu do pliku na komputerze, rozmiar, wersja i podpis cyfrowy), informacje o obiektach jądra, sterowniki, usługi, rozszerzenia Microsoft Internet Explorer, rozszerzenia systemu drukowania, rozszerzenia Eksploratora Windows, elementy Aktywnego Instalatora, aplety panelu sterowania, wpisy pliku hosts i rejestru systemu oraz wersje przeglądarek i klientów poczty.
Informacje o wszystkich potencjalnie szkodliwych obiektach i aktywnościach: nazwa wykrytego obiektu i pełna ścieżka dostępu do obiektu na komputerze, sumy kontrolne przetworzonych plików (MD5, SHA2-256, SHA1), data i godzina wykrycia, nazwy i rozmiary zainfekowanych plików i ścieżki dostępu do tych plików, kod szablonu ścieżki dostępu, wskaźnik określający, czy obiekt znajduje się w kontenerze, nazwy narzędzi pakujących (jeśli plik został spakowany), kod typu pliku, ID formatu pliku, lista działań wykonanych przez szkodliwe oprogramowanie oraz decyzja podjęta przez oprogramowanie i reakcja użytkownika, ID antywirusowych baz danych, które zostały użyte do podjęcia decyzji, nazwa wykrytego zagrożenia zgodna z klasyfikacją Posiadacza praw, poziom zagrożenia, stan wykrycia i metoda wykrycia, powód włączenia do analizowanego kontekstu i numer sekwencyjny pliku w kontekście, sumy kontrolne (MD5, SHA2-256, SHA1), nazwa i atrybuty pliku wykonywalnego aplikacji, poprzez którą przesłana została zainfekowana wiadomość lub odnośnik, zdepersonalizowane adresy IP (IPv4 i IPv6) hosta zablokowanego obiektu, entropia pliku, wskaźnik automatycznego uruchomienia pliku, godzina pierwszego wykrycia pliku w systemie, liczba uruchomień pliku od ostatniego wysłania statystyk, informacje o nazwie, sumy kontrolne (MD5, SHA2-256, SHA1) oraz rozmiar klienta poczty, poprzez którego otrzymano szkodliwy obiekt, ID zadania oprogramowania, które przeprowadziło skanowanie, wskaźnik pokazujący, czy podpis lub reputacja pliku zostały sprawdzone, wynik przetworzenia pliku, suma kontrolna (MD5) wzorca zebranego dla obiektu, rozmiar wzorca w bajtach i specyfikacje techniczne zastosowanych technologii wykrywania.
Pliki wykonywalne i pliki niewykonywalne w całości lub częściowo.
Liczba zrzutów oprogramowania i zrzutów systemu (BSOD) od momentu zainstalowania oprogramowania i od momentu ostatniej aktualizacji, ID i wersja modułu oprogramowania, w którym wystąpiły problemy z działaniem, stos pamięci w procesie oprogramowania oraz informacje o antywirusowych bazach danych, gdy wystąpiły problemy z działaniem.
Opis klas repozytoriów WMI i instancje klas.
Raporty dotyczące aktywności aplikacji.
Pakiety danych w ruchu sieciowym.
Uczestnictwo sektorów w procesie ładowania systemu operacyjnego.
Informacje serwisowe o działaniu oprogramowania: wersja kompilatora, wskaźnik szkodliwej aktywności przeskanowanego obiektu, wersja zestawu przesłanych statystyk, informacje o dostępności i ważności danych statystycznych, ID warunku generowania przesłanych statystyk oraz wskaźnik określający, czy oprogramowanie działa w trybie interaktywnym.