«Доктор Веб», Центральный офис в России


Глава 4. Дополнительные функции



Pdf просмотр
страница5/5
Дата04.11.2016
Размер2.8 Kb.
Просмотров977
Скачиваний0
1   2   3   4   5
Глава 4. Дополнительные функции
Наж мите на кнопку
Настройки соед инения.
Откроется окно настройки параметров подключения к серверу централизованной защиты.
Рис. 37. Окно настройки параметров под ключения
Укаж ите
IP адрес сервера централизованной антивирусной защиты.
Укаж ите порт, использующийся для подключения к серверу.
Укаж ите публичный ключ сервера с помощью стандартного окна выбора файла.
6. Если вы хотите подключиться к другому серверу централизованной защиты:
Наж мите на кнопку Настройки соед инения. В
появившемся окне задайте новые параметры подключения аналогично пункту 5 и наж мите OK
для изменения настроек.
Для подтвердения новых настроек,
повторно откройте окно настройки параметров подключения.
В появившемся окне наж мите "ОК". После этого новые параметры соединения вступят в силу.
Пож алуйста, обратите внимание, что для изменения параметров подключения потребуется ввести пароль: в общем случае предполагается, что для su - это пароль администратора (
root
), а для sudo - пользовательский пароль (при настроенном профиле для sudo
). Однако в

Руководство пользователя
86
Глава 4. Дополнительные функции
некоторых операционных системах на основе GNU/Linux возмож ны другие варианты: например, использование для sudo пароля root
Рис. 38. Окно выбора способа авторизации
В реж име централизованной защиты некоторые настройки
Антивируса Dr.Web д ля Linux
могут быть изменены или заблокированы в
соответствии с
политикой безопасности компании или списком оплаченных услуг.
Ключевой файл для работы в таком реж име получается автоматически с сервера централизованной защиты, и персональный лицензионный ключ пользователя не используется.
4.10.2 Создание учетной записи на сервере
централизованной защиты
Взаимодействие
Антивируса Dr.Web д ля Linux
с сервером централизованной защиты осуществляется с
помощью компонента
Dr.Web Control Agent
(
Агент
). В процессе настройки необходимые изменения вносятся в
конфигурационный файл
Агента
автоматически.
В соответствии с политикой подключения новых станций подключить рабочую станцию серверу централизованной защиты мож но двумя способами:
создав учетную запись на сервере автоматически;
создав учетную запись на сервере вручную.

Руководство пользователя
87
Глава 4. Дополнительные функции
Автоматическое создание учетной записи
При первом запуске в реж име централизованной защиты
Агент
запрашивает регистрационные данные
(идентификатор станции и пароль) у сервера.
Если на сервере централизованной защиты установлен реж им "Ручное под твержд ение д оступа", то от администратора потребуется подтвердить регистрацию новой станции через веб-интерфейс сервера.
После первого подключения
Агент
записывает хэш идентификатора станции и пароля пользователя в специальном файле (по умолчанию
/var/drweb/
agent/pwd
). Ключом шифрования является имя хоста,
на котором установлен
Агент
В дальнейшем данные из этого файла используются для подключения
Антивируса Dr.Web д ля Linux
к серверу централизованной защиты.
Удаление файла с паролем приведет к повторному запросу регистрационных данных у
сервера централизованной защиты при следующем запуске
Антивируса Dr.Web д ля Linux
Создание учетной записи на сервере вручную
Создаем учетную запись на сервере с указанием идентификатора станции и пароля.
В окне настроек параметров подключения к серверу централизованной защиты
Антивируса Dr.Web д ля Linux
вводим логин (идентификатор станции) и пароль.

Руководство пользователя
88
Глава 4. Дополнительные функции
Рис. 39. Окно настройки параметров под ключения
Хэш идентификатора станции и пароля пользователя
Агент
записывает в специальный файл (по умолчанию
/
var/drweb/agent/pwd
). Ключом шифрования является имя хоста, на котором установлен
Агент
В дальнейшем данные из этого файла используются для подключения
Антивируса Dr.Web д ля Linux
к серверу централизованной защиты.
Удаление файла с паролем приведет к повторному запросу регистрационных данных у
сервера централизованной защиты при следующем запуске
Антивируса Dr.Web д ля Linux

Руководство пользователя
89
Глава 4. Дополнительные функции
4.10.3 Управление настройками компонентов
через веб-интерфейс сервера
Подключения к
антивирусной сети,
работающей под управлением
Dr.Web Enterprise Security Suite
, позволяет централизованно настраивать антивирусные пакеты на рабочих станциях:
Настраивать конфигурационные параметры антивирусных средств;
Настраивать расписание запуска заданий на сканирование;
Запускать отдельные задания на рабочих станциях,
независимо от настроек расписания;
Запускать процесс обновления рабочих станций, в том числе после ошибки обновления со сбросом состояния ошибки.
Каж дый раз при запуске
Антивируса
Dr.Web д ля Linux
Агент
запрашивает и
получает конфигурацию антивирусных компонентов программного комплекса
Dr.Web д ля Linux
, а такж е резидентного антивирусного модуля
Dr.Web SpIDer
Guard
от сервера централизованной защиты. Таким образом,
через веб-интерфейс сервера централизованной защиты мож но управлять настройкой конфигурации этих компонентов.
Обратите внимание, что
Ант ивирус
Dr.Web д ля Linux
в терминологии
Dr.Web
Enterprise
Security
Suite
обозначается как
Dr.Web Сканер д ля Linux
Если изменение настроек компонентов
Dr.Web Scanner
и
Dr.
Web SpIDer Guard
не запрещено администратором, то любые изменения, сделанные через интерфейс
Dr.Web д ля Linux
,
будут автоматически сохранены на сервере централизованной защиты.
Изменения в конфигурацию рабочей станции мож но вносить даж е тогда, когда она временно недоступна для
Сервера
. Эти изменения будут приняты рабочей станцией, как только ее связь с
Сервером
восстановится.

Руководство пользователя
90
Глава 4. Дополнительные функции
4.10.4 Настройка режима автономной
работы
При необходимости
Антивирус Dr.Web д ля Linux
мож ет быть отключен от сети, защищенной корпоративным решением
Dr.
Web® Enterprise Suite
. Для этого требуется перейти в реж им автономной работы антивируса.
Настройка реж има автономной работы
1. Обратитесь к администратору антивирусной сети компании за разрешением отключиться от сервера централизованной защиты
(соответствующие права долж ны быть предоставлены пользователю через веб- интерфейс сервера).
2. В меню Инструменты выберите пункт Настройки.
3. В левой части окна настроек выберите раздел Режим.
Рис. 40. Окно настройки режима централизованной
защиты
4. Чтобы перейти в реж им автономной работы антивируса,
снимите флаж ок
Использовать
сервер
централизованной защиты.
5. При включении реж има автономной работы возобновляется доступ ко всем функциональным

Руководство пользователя
91
Глава 4. Дополнительные функции
возмож ностям
Антивируса Dr.Web д ля Linux
включая настройку, ручное проведение обновлений и управление компонентами
Сканер
и
SpIDer Guard
Пож алуйста, обратите внимание, что для работы в автономном реж име требуется действительный персональный ключевой файл
Ключ,
полученный автоматически с сервера централизованной защиты, в данном реж име использоваться не мож ет.
При необходимости получите или обновите персональный ключевой файл с помощью
Менедж ера лицензий
4.10.5 Особенности настройки компонентов
В процессе настройки параметров подключения к серверу централизованной защиты вносятся изменения в
конфигурационные файлы таких компонентов как
Dr.Web
Monitor
(
Монитор
)
и
Dr.Web
Agent
(
Агент
).
Соответствующие файлы monitor.conf и agent.conf хранятся в директории
/etc/drweb/
Для
Dr.Web Monitor
:
В секции
[Monitor]
конфигурационного файла изменяется значение параметра
RunAppList
: к списку модулей,
запускаемых
Монитором
,
добавляется модуль
Агента
(значение
AGENT
).
Для
Dr.Web Agent
:
В секции
[EnterpriseMode]
конфигурационного файла изменяется значение параметра
UseEnterpriseMode
(указывается
Yes
), и значения параметров
ServerHost
и
ServerPort
(указываются имя хоста сервера централизованной защиты и номер порта).
Соответственно, при переключении Антивируса
Dr.Web д ля
Linux

обратно в
автономный реж им работы мож ет понадобиться вручную исправить значения этих параметров,
например, вернув им значения по умолчанию (
RunAppList =
AGENT
или не задано,
UseEnterpriseMode
=
No
,

Руководство пользователя
92
Глава 4. Дополнительные функции
ServerHost = 127.0.0.1
,
ServerPort = 2193
).
Чтобы совсем отключить
Монитор
, необходимо в файле
/
etc/drweb/drweb-monitor.enable изменить значение переменной
ENABLE
с
1
на
0

Руководство пользователя
93
Глава 5. Параметры команд ной строки
Глава 5. Параметры командной
строки
Компоненты
Сканер
,
SpIDer Guard
и
Dr.Web д ля Linux
могут быть настроены с помощью параметров командной строки. Эти параметры отделяются от указания пути пробелом и начинаются с символа «-» (дефис). Полный список параметров командной строки мож но получить, запустив соответствующий компонент
(
drweb
,
drweb-spider и
drweb-cc
)
с параметром
-h или
--help
5.1 Параметры Антивируса Dr.Web
для Linux
Парамет р
Описание
-a,
--agent
=
{путь}
Указать путь к Агенту (с префиксом "local:" либо "unix:").
-e, --es
Включить режим централизованной защиты.
-c,
--conf
=
{файл}
Указать путь к конфигурационному файлу.
-d,
--debug

=
{Errors
|
Alerts | Info
|
Verbose
|
Debug}
Настроить уровень подробности вывода отчета о работе компонента (возможные значения:
Errors, Alerts, Info, Verbose, Debug).
-v, --version
Вывести номер версии компонента.

Руководство пользователя
94
Глава 5. Параметры команд ной строки
Парамет р
Описание
-s,
--scan
{путь1 путь2}
Если пути для сканирования заданы, то будут просканированы указанные директории, в противном случае будут просканированы директории, которые пользователь задал в расписании
. Если расписание не задано, то процесс сканирования запустится и сразу же завершится (за отсутствием объекта проверки)
-g, --guard
Запустить
Dr.Web SpIDer Guard
-t, --tray
Свернуть программу в трей.
-f, --fork
Запустить
Ант ивирус Dr.Web д ля Linux
в фоновом режиме.
-h, --help
Вывести справочную информацию по программе.
5.2 Параметры SpIDer Guard
Полный список параметров командной строки для
SpIDerGuard
мож но получить, запустив программу drweb-spider с
параметрами
--help или
-h
Парамет р
Описание
-c,
--conf
=
{путь к
файлу}
Указать путь к конфигурационному файлу.
-r, --restart
Перезапустить
SpIDer Guard
, если он уже запущен.
-s, --stdout
Не переходить в режим демона и продолжать выводить отчет о работе на стандартный вывод.
-d, --debug
=
{уровень}
Настроить уровень подробности вывода отчета о работе компонента. Значения параметра указываются в числовом виде и берутся из интервала [0...10], где: 0 - quiet, 2 - error, 4 - alert, 6 - info, 8 - verbose, 10 - debug.

Руководство пользователя
95
Глава 5. Параметры команд ной строки
Парамет р
Описание
-i, --idle
SpIDer Guard
не будет осуществлять проверку файлов.
-v, --version
Вывести номер версии компонента.
-h, --help
Вывести справочную информацию по программе.
5.3 Параметры Сканера
Полный список параметров командной строки для
Сканера
«Доктор Веб»
мож но получить, запустив программу drweb с
параметрами
-?
,
-h или
-help
Основные параметры
Консольного
сканера
мож но сгруппировать следующим образом:
параметры области проверки
;
параметры диагностики
;
параметры действий
;
параметры интерфейса
Параметры области проверки
Эти параметры указывают, где следует проводить проверку на вирусы:
Парамет р
Описание
{путь} или
[disk://]
{путь к
файлу устройства}
Задает пути для сканирования. В одном параметре может быть задано несколько путей.
Если в параметрах запуска путь задан с префиксом:
disk://<путь к файлу устройства>, то будет проверен загрузочный сектор соответствующего устройства и
при необходимости произведено его лечение.

Руководство пользователя
96
Глава 5. Параметры команд ной строки
Парамет р
Описание
-@[+] {
файл}
Задает проверку объектов, перечисленных в указанном файле.
Символ
«+»
(плюс)
предписывает не удалять файл со списком объектов по окончании проверки. Этот файл может содержать пути к
периодически проверяемым директориям или просто список подлежащих регулярной проверке файлов.
--
Указывает, что список объектов для сканирования следует считать из стандартного потока ввода (STDIN).
-sd
Задает рекурсивный поиск и проверку файлов во вложенных папках.
-fl
Указывает следовать символическим ссылкам как для файлов, так и для папок. Cсылки,
приводящие к «зацикливанию», игнорируются.
-mask
Игнорировать маски имен файлов.
Параметры диагностики
Эти параметры определяют, какие типы объектов и каким образом долж ны проверяться на вирусы:
Парамет р
Описание
-al
Указывает, что по заданным путям необходимо проверять все файлы вне зависимости от их расширения и внутреннего формата. Путь для проверки задается с помощью параметра -path.
Этот параметр противоположен по действию параметру -ex.
-ex
Указывает, что по заданным путям необходимо проверять только файлы заданного типа
(разрешения).
Разрешения указываются в
конфигурационном файле (задается параметром
-ini) в переменной FileTypes. По умолчанию осуществляется проверка файлов со следующими расширениями: EXE, COM, DLL, SYS,
VXD, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD,
386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*,

Руководство пользователя
97
Глава 5. Параметры команд ной строки
Парамет р
Описание
INF, PP?, OBJ, LIB, PIF, HLP, MD?, INI, MBR, IMG,
CSC, CPL, MBP, SH, SHB, SHS, SHT*, CHM, REG,
XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF,
MPP, OCX, VS*, DVB, CPY, BMP, RPM, ISO, DEB,
AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB, LHA,
LZH, BZ2, MSG, EML, 7Z, CPIO.
Путь для проверки задается с помощью параметра -path.
Этот параметр противоположен по действию параметру -al.
-ar[d|m|r][n]
Задает проверку файлов в архивах (ARJ, CAB,
GZIP, RAR, TAR, ZIP и др.). Под архивами в данном случае понимаются не только собственно архивы (например, вида *.tar), но и их сжатые формы (например, сжатые TAR–
архивы вида *.tar.bz2 и *.tbz).
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения архива с вредоносными или подозрительными файлами,
производится только информирование пользователя. Если параметр дополняется модификатором d, m или
r, то применяются соответствующие действия для устранения обнаруженной угрозы.
-cn[d|m|r][n]
Задает проверку файлов в контейнерах (HTML,
RTF, PowerPoint).
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения контейнера с вредоносными или подозрительными объектами,
производится только информирование пользователя. Если параметр дополняется модификатором d, m или
r, то применяются соответствующие действия для устранения обнаруженной угрозы.
-ml[d|m|r][n]
Задает проверку файлов почтовых программ.
Если параметр указан без дополнительных модификаторов d, m или r, то в случае обнаружения файла с вредоносными или подозрительными элементами,
производится только информирование пользователя. Если

Руководство пользователя
98
Глава 5. Параметры команд ной строки
Парамет р
Описание
параметр дополняется модификатором d, m или
r, то применяются соответствующие действия для устранения обнаруженной угрозы.
-upn
проверка исполняемых файлов, упакованных
LZEXE, DIET, PKLITE, EXEPACK без вывода имен утилит упаковки.
-ha
Задает использование эвристического анализа для поиска неизвестных угроз.
Для некоторых параметров доступны также следующие дополнительные модификаторы:
d – использовать удаление объекта для устранения угрозы;
m – использовать перемещение объекта в
Карант ин
для устранения угрозы;
r – использовать переименование объекта для устранения угрозы (первый символ расширения заменяется на символ «#»);
n – не указывать в отчете типы архиваторов, контейнеров,
почтовых файлов или упаковщиков.
Подробнее действия описаны в
приложении
Устранение компьютерных угроз
При обнаружении вредоносных элементов в составных объектах
(архивах, контейнерах, упакованных или почтовых файлах),
указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.

Руководство пользователя
99
Глава 5. Параметры команд ной строки
Параметры действия
Эти параметры определяют, какие действия долж ны быть выполнены в отношении зараж енных (или подозрительных)
объектов:
Парамет р
Описание
-cu[d|m|r]
Задает действие для инфицированных файлов и загрузочных секторов дисков. Если параметр указан без дополнительных модификаторов, то производится лечение излечимых объектов и удаление неизлечимых файлов (если другое не задано параметром
-ic).
Дополнительные модификаторы позволяют задать иное действие взамен лечения, но оно применяется только для инфицированных файлов.
Действие для неизлечимых файлов в таком случае должно быть задано параметром -ic.
-ic[d|m|r]
Задает действие для неизлечимых файлов. Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
-sp[d|m|r]
Задает действие для подозрительных файлов.
Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
-adw[d|m|r|i]
Задает действие для файлов, содержащих рекламные программы. Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
-dls[d|m|r|i]
Задает действие для файлов, содержащих программы дозвона. Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
-jok[d|m|r|i]
Задает действие для файлов, содержащих программы-шутки. Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.

Руководство пользователя
100
Глава 5. Параметры команд ной строки
Парамет р
Описание
-rsk[d|m|r|i]
Задает действие для файлов, содержащих потенциально опасные программы.
Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
-hck[d|m|r|i]
Задает действие для файлов, содержащих программы, используемые для взлома. Если параметр указан без дополнительных модификаторов,
то производится только информировании об угрозе.
Дополнительные модификаторы задают действие, необходимое для устранения угрозы:
d – удаление файла;
m – перемещение файла в
Карант ин
;
r – переименование файла (первый символ расширения заменяется на символ «#»);
i – игнорирование (доступно только для незначительных угроз, например, рекламных программ); при использовании этого модификатора объект пропускается без каких-либо действий и оповещение сообщение об угрозе не выводится.
Подробнее действия описаны в
приложении
Устранение компьютерных угроз
При обнаружении вредоносных элементов в составных объектах
(архивах, контейнерах, упакованных или почтовых файлах),
указанное действие применяется ко всему составному объекту целиком, а не только к вредоносному элементу.
Параметры интерфейса
Эти параметры определяют условия вывода результатов работы
Консольного сканера
:
Парамет р
Описание
-v, -version,
--version
Задает вывод информации о версии продукта и версии антивирусного ядра и завершение работы
Консольного сканера

Руководство пользователя
101
Глава 5. Параметры команд ной строки
Парамет р
Описание
-ki
Задает вывод информации о лицензии и ее владельце (только в кодировке UTF8).
-go
Задает пакетный режим работы
Консольного
сканера
. Все вопросы,
подразумевающие ожидание ответа от пользователя,
пропускаются; решения, требующие выбора,
принимаются автоматически.
Этот режим полезно использовать для автоматической проверки файлов, например, при ежедневной или еженедельной проверке жесткого диска.
-ot
Переключает вывод информации на стандартный вывод (stdout).
-oq
Отключает вывод информации на экран.
-ok
Задает вывод полного списка сканируемых объектов, сопровождая безопасные объекты пометкой Ok.
-log
=[+]
{путь к файлу}
Включает протоколирование работы
Консольного сканера
в указанном файле. При отсутствии имени файла отчет записываться на будет. Символ «+» (плюс) предписывает не перезаписывать файл отчета, а добавлять новую информацию.
-ini
= {путь к файлу}
Задает использование указанного конфигурационного файла.
По умолчанию конфигурационный файл не входит в состав
Консольного сканера
-lng
= {путь к файлу}
Задает использование указанного альтернативного языкового файла.
По умолчанию используется английский язык.
-a
=
{адрес
Агента}
Запустить
Сканер
в режиме центральной защиты.
-ni
Отключает использование конфигурационного файла для настройки
Консольного сканера
Настройка сканирования в данном случае будет осуществляться только с
использованием параметров из командной строки.
-ns
Запрещает возможность прерывания проверки,

Руководство пользователя
102
Глава 5. Параметры команд ной строки
Парамет р
Описание
в том числе при получении сигнала остановки процесса (SIGINT).
--
only-key
При запуске от
Агент а
будет получен только ключевой файл.
Некоторые из параметров отменяют соответствующее им действие, если оканчиваются символом «-» (дефис). К ним относятся следующие параметры:
-ar -cu -ha -ic -fl -ml -ok -sd -sp
Например, при запуске
Сканера
командой вида:
$ drweb -path <путь> -ha- проверка будет производиться без эвристического анализа файлов, который обычно по умолчанию включен.
Для параметров
-cu, -ic и
-sp
«отрицательная» форма отменяет выполнение любых действий, указанных в их описании. Это означает, что информация о зараж енных и подозрительных объектах будет фиксироваться в отчете, но никаких действий под устранению представляемых ими угроз предприниматься не будет.
Для параметров
-al и
-ex
«отрицательная» форма не предусмотрена, однако задание одного из них отменяет действие другого.
Если не производились действия по перенастройке программы,
то по умолчанию (то есть без отдельного указания параметров)
Сканер
запускается с параметрами:
-ar -ha -fl- -ml -sd
Этот набор параметров по умолчанию (включающий проверку архивов и упакованных файлов, файлов почтовых программ,
рекурсивный поиск, эвристический анализ и т.д.) достаточно целесообразен для целей диагностики и мож ет использоваться в большинстве типичных случаев. Если какой-либо из

Руководство пользователя
103
Глава 5. Параметры команд ной строки
параметров по умолчанию не нуж ен в конкретной ситуации, его мож но отключить, указав после него символ «-» (дефис), как это было показано выше на примере параметра - ha
(эвристический анализ).
Следует добавить, что отключение проверки архивированных и упакованных файлов резко сниж ает уровень антивирусной защиты,
т.к.
именно в
виде архивов
(часто самораспаковывающихся) распространяются файловые вирусы в виде почтовых влож ений. Документы прикладных программ,
потенциально подверж енные зараж ению макровирусами (Word,
Excel и др.), такж е обычно пересылаются по электронной почте в архивированном и упакованном виде.
При запуске
Сканера
с параметрами по умолчанию не осуществляется лечение зараж енных файлов.
Не предусмотрены такж е действия в отношении неизлечимых файлов и подозрительных файлов. Все эти действия требуют указания дополнительных параметров командной строки - параметров действия.
Наборы параметров действия могут различаться в каж дом конкретном случае,
однако обычно представляются целесообразными следующие:
cu - лечение зараж енных файлов и системных областей,
без удаления,
перемещения или переименования зараж енных файлов;
icd - удаление неизлечимых файлов;
spr - переименование подозрительных файлов.
spm - перемещение подозрительных файлов;
Запуск
Сканера
с параметром лечения cu означает, что программа предпримет попытку восстановить состояние зараж енного объекта. Это возмож но только тогда, когда обнаруж ен известный вирус, причем необходимые инструкции по излечению имеются в вирусных базах, однако и в этих случаях попытка излечения мож ет не быть успешной,
например, если зараж енный файл уж е серьезно повреж ден.
Если при проверке архивов в их составе были обнаруж ены

Руководство пользователя
104
Глава 5. Параметры команд ной строки
зараж енные файлы, лечение последних, как и удаление,
перемещение или переименование, не производится. Для уничтож ения вирусов в таких объектах архивы долж ны быть вручную распакованы соответствующими программными средствами, ж елательно, в отдельную директорию, которая и будет указана как аргумент при повторном запуске
Сканера
При запуске с параметром удаления icd программа уничтож ит зараж енный файл на диске. Этот параметр целесообразен для неизлечимых (необратимо повреж денных вирусом) файлов.
Параметр переименования spr вызывает замену расширения имени файла на некое установленное (по умолчанию «
*.#??
»,
т.е. первый символ расширения заменяется символом «
#
»).
Этот параметр целесообразно применять для файлов других ОС
(например, DOS/Windows), выявленных при эвристическом анализе как подозрительные.
Переименование сделает невозмож ным случайный запуск исполняемых модулей в этих системах, загрузку документов Word или Excel без дальнейшей проверки и таким образом предотвратит зараж ение возмож ным вирусом и дальнейшее его распространение.
Параметр перемещения spm переместит зараж енный (или подозрительный)
файл в
предназначенную для этого директорию карантина.

Руководство пользователя
105
Приложения
Приложения
Приложение А. Виды компьютерных
угроз
Под термином «угроза» в данной классификации следует понимать любое программное средство,
косвенно или напрямую способное нанести ущерб компьютеру, сети,
информации или правам пользователя (то есть вредоносные и прочие неж елательные программы). В более широком смысле термин «угроза» мож ет означать любую потенциальную опасность для компьютера или сети (то есть ее уязвимость,
которая мож ет быть использована для проведения хакерских атак).
Все типы программ, описанные ниж е, потенциально обладают способностью подвергнуть опасности данные пользователя или их конфиденциальность. Программы, которые не скрывают своего присутствия в системе (например, некоторые программы для рассылки спама или анализаторы трафика), обычно не принято причислять к компьютерным угрозам, хотя при определенных обстоятельствах они могут нанести вред пользователю.
В продуктах и документации компании
«Доктор Веб»
угрозы принято разделять на два типа в соответствии с уровнем опасности:
значительные угрозы – классические компьютерные угрозы, которые сами по себе способны выполнять различные деструктивные и незаконные действия в системе (удаление и краж а важ ной информации,
нарушение работы сети и т.д.). Этот тип компьютерных угроз состоит из программ, которые традиционно называют вредоносными (вирусы, черви и троянские программы);

Руководство пользователя
106
Приложения
незначительные угрозы – компьютерные угрозы,
которые считаются менее опасными по сравнению со значительными угрозами, но могут быть использованы третьими лицами для совершения вредоносных действий.
Помимо этого, само присутствие незначительных угроз в системе является несомненным свидетельством низкого уровня ее защищенности. Специалисты в области информационной безопасности иногда называют этот тип компьютерных угроз «серым» программным обеспечением или потенциально неж елательными программами. К
незначительным угрозам относятся рекламные программы,
программы дозвона,
программы-шутки,
потенциально опасные программы и программы взлома.
Значительные угрозы
Компьютерные вирусы
Данный тип компьютерных угроз характеризуется способностью внедрять свой код в исполняемый код других программ. Такое внедрение называется
инфицированием. В большинстве случаев инфицированный файл сам становится носителем вируса, а внедренный код не обязательно полностью соответствует оригиналу. Большая часть вирусов создается для повреж дения или уничтож ения данных.
В компании
«Доктор Веб»
вирусы делят по типу файлов,
которые они инфицируют:
файловые вирусы инфицируют файлы операционной системы (обычно, исполняемые файлы и динамические библиотеки)
и активизируются при обращении к
зараж енному файлу;
макро-вирусы
инфицируют документы,
которые используют программы Microsoft® Office (и другие программы, которые используют макросы, написанные,
например, на языке Visual Basic). Макросы – это встроенные программы, написанные на полноценном языке программирования, которые могут запускаться при определенных условиях (например, в Microsoft® Word макросы могут запускаться при открытии, закрытии или сохранении документа);

Руководство пользователя
107
Приложения
скрипт-вирусы пишутся на языках сценариев (скриптов)
и в большинстве случаев зараж ают другие файлы сценариев (например, служ ебные файлы операционной системы). Они могут инфицировать такж е другие типы файлов, которые поддерж ивают исполнение сценариев,
пользуясь уязвимыми сценариями в веб-прилож ениях;
загрузочные вирусы зараж ают загрузочные сектора дисков и разделов, а такж е главные загрузочные сектора ж естких дисков. Они занимают очень мало памяти и остаются готовыми к выполнению своих функций до тех пор, пока не будет произведена выгрузка, перезагрузка или завершение работы системы.
Большинство вирусов обладает определенными защитными механизмами против обнаруж ения. Методы защиты от обнаруж ения постоянно улучшаются,
поэтому для антивирусных программ разрабатываются новые способы преодоления этой защиты. Вирусы мож но разделить по принципу защиты от обнаруж ения:
шифрованные вирусы шифруют свой код при каж дом новом зараж ении, что затрудняет его обнаруж ения в файле, памяти или загрузочном секторе. Каж дый экземпляр такого вируса содерж ит только короткий общий фрагмент (процедуру расшифровки), который мож но выбрать в качестве сигнатуры;
полиморфные вирусы используют помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каж дом новом экземпляре вируса, что ведет к отсутствию у такого вируса байтовых сигнатур;
стелс-вирусы
(вирусы-невидимки)
предпринимают специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараж енных объектах. Такой вирус снимает перед зараж ением объекта его характеристики, а затем передает старые данные при запросе операционной системы или программы, ищущей измененные файлы.
Вирусы такж е мож но классифицировать по языку, на котором они написаны
(большинство пишутся на ассемблере,
высокоуровневых языках программирования, языках сценариев и т.д.) и по пораж аемым операционным системам.

Руководство пользователя
108
Приложения
Компьютерные черви
В последнее время черви стали гораздо более распространены,
чем вирусы и прочие вредоносные программы. Как и вирусы,
такие программы способны создавать свои копии, но при этом они не зараж ают другие объекты. Червь проникает на компьютер из сети (чаще всего как влож ение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютеры. Для начала распространения черви могут использовать как действия пользователя, так и автоматический реж им выбора и атаки компьютера.
Черви не обязательно целиком состоят из одного файла (тела червя). У многих червей есть так называемая инфекционная часть (шелл-код), которая загруж ается в оперативную память компьютера и «догруж ает» по сети непосредственно само тело червя в виде исполняемого файла. Пока в системе нет тела червя, от него мож но избавиться перезагрузкой компьютера
(при которой происходит сброс оперативной памяти). Если ж е в системе оказывается тело червя, то справиться с ним мож ет только антивирус.
За счет интенсивного распространения черви способны вывести из строя целые сети, даж е если они не несут никакой полезной нагрузки (не наносят прямой вред системе).
В компании
«Доктор Веб»
червей делят по способу (среде)
распространения:
сетевые
черви
распространяются посредством различных сетевых протоколов и протоколов обмена файлами;
почтовые
черви
распространяются посредством почтовых протоколов (POP3, SMTP и т.д.);
чат-черви распространяются, используя популярные программы для пересылки мгновенных сообщений (ICQ,
IM, IRC и т.д.).

Руководство пользователя
109
Приложения
Троянские программы
Этот тип вредоносных программ не способен к
саморепликации. Троянские программы подменяют какую-либо из часто запускаемых программ и выполняют ее функции (или имитируют исполнение этих функций),
одновременно производя какие-либо вредоносные действия (повреж дение и удаление данных, пересылка конфиденциальной информации и т.д.),
либо делая возмож ным несанкционированное использование компьютера злоумышленником, например, для нанесения вреда третьим лицам.
Эти программы обладают схож ими с вирусом маскировочными и вредоносными функциями и даж е могут быть модулем вируса,
но, как правило, троянские программы распространяются как отдельные исполняемые файлы (выкладываются на файловых сервера,
записываются на носители информации или пересылаются в виде влож ений в сообщениях электронной почты), которые запускаются либо самим пользователем, либо определенным процессом системы.
Классифицировать троянские программы очень непросто, во- первых, потому что они зачастую распространяются вирусами и червями, во-вторых, вредоносные действия, которые могут выполнять другие типы угроз, принято приписывать только троянским программам. Ниж е приведен список некоторых типов троянских программ, которые в компании
«Доктор Веб»
выделяют в отдельные классы:
бэкд оры – это троянские программы, которые позволяют получать привилегированный доступ к системе в обход существующего механизма предоставления доступа и защиты. Бэкдоры не инфицируют файлы; они прописывают себя в реестре, модифицируя ключи;
руткиты предназначены для перехвата системных функций операционной системы с целью сокрытия своего присутствия в системе. Кроме того, руткит мож ет маскировать процессы других программ, различные ключи реестра, папки, файлы. Руткит распространяется как самостоятельная программа или как дополнительный компонент в составе другой вредоносной программы. По принципу своей работы руткиты условно разделяют на две

Руководство пользователя
110
Приложения
группы: руткиты, работающие в реж име пользователя
(перехват функций библиотек пользовательского реж има)
(User Mode Rootkits (UMR)), и руткиты, работающие в реж име ядра (перехват функций на уровне системного ядра, что значительно услож няет обнаруж ение и обезвреж ивание) (Kernel Mode Rootkits (KMR));
клавиатурные перехватчики (кейлоггеры) используются для сбора данных, которые пользователь вводит при помощи клавиатуры. Целью таких действия является краж а личной информации (например, сетевых паролей,
логинов, номеров банковских карт и т.д.);
кликеры переопеделяют ссылки при наж атии на них и таким образом перенаправляют пользователей на определенные (возмож но, вредоносные) сайты. Обычно пользователь перенаправляется с целью увеличения рекламного трафика веб-сайтов или для организации распределенных атак отказа в обслуж ивании (DDoS-атак);
прокси-трояны
предоставляют злоумышленнику анонимный выход в сеть Интернет через компьютер ж ертвы.
Кроме перечисленных выше, троянские программы могут выполнять и другие вредоносные действия,
например,
изменять стартовую страницу в веб-браузере или удалять определенные файлы.
Однако такие действия могут выполняться и угрозами других типов (например, вирусами и червями).
Незначительные угрозы
Программы взлома
Программы взлома созданы с целью помочь взломщику.
Наиболее распространенным видом подобных программ являются сканеры портов, которые позволяют обнаруж ивать уязвимости в меж сетевых экранах (фаерволах) и других компонентах,
обеспечивающих безопасность компьютера.
Кроме хакеров, такими инструментами могут пользоваться администраторы для проверки надеж ности своих сетей. Иногда к программам взлома относят программы, использующие методы социальной инж енерии (элементы социотехники).

Руководство пользователя
111
Приложения
Рекламные программы
Чаще всего под этим термином понимают программный код,
встроенный в
различное бесплатное программное обеспечение, при использовании которого пользователю принудительно показывается реклама. Но иногда такой код мож ет скрытно распространяться посредством других вредоносных программ и демонстрировать рекламу, например в веб-браузерах. Зачастую рекламные программы работают на основании данных, собранных шпионскими программами.
Программы-шутки
Это тип вредоносных программ, которые, как и рекламные программы, не наносят прямого вреда системе. Чаще всего они генерируют сообщения о несуществующих ошибках и угрож ают действиями, которые могут привести к повреж дению данных.
Их основной функцией является запугивание пользователя,
либо навязчивое его раздраж ение.
Программы дозвона
Это специальные компьютерные программы, разработанные для сканирования некоего диапазона телефонных номеров для нахож дения такого, на который ответит модем. В дальнейшем злоумышленники используют найденные номера для накручивания оплаты за телефон или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным служ бам.
Потенциально опасные программы
Эти программы не создавались для нанесения вреда, но в силу своих особенностей могут представлять угрозу для безопасности системы. К таким программам относятся не только те, которые могут случайно повредить или удалить данные, но и те, которые могут использоваться хакерами или другими программами для нанесения вреда системе. К
потенциально опасным программам мож но отнести различные программы удаленного общения и администрирования, FTP- сервера и т.д.

Руководство пользователя
112
Приложения
Подозрительные объекты
К подозрительным объектам относятся любые потенциальные угрозы, обнаруж енные при помощи эвристического анализа.
Такие объекты могут являться любым типов компьютерных угроз (возмож но, даж е неизвестным для специалистов по информационной безопасности), а могут оказаться безопасными в случае лож ного срабатывания. Подозрительные объекты следует отправлять на анализ специалистам
Вирусной
лаборатории компании «Доктор Веб»

Руководство пользователя
113
Приложения
Приложение Б. Устранение
компьютерных угроз
Существует множ ество методов обнаруж ения и устранения компьютерных угроз. Многие из них объединены в продуктах
Dr.Web
с их гибкими и удобными настройками для обеспечения надеж ной всесторонней защиты компьютеров и сетей.
Методы обнаружения
Поиск по контрольным суммам сигнатур
Данный метод является разновидностью сигнатурного анализа.
Сигнатура – это непрерывная конечная последовательность байтов,
являющаяся уникальной для определенной компьютерной угрозы. Если в коде проверяемой программы встречается сигнатура из антивирусной базы, то фиксируется факт обнаруж ения компьютерной угрозы.
Поиск по контрольным суммам сигнатур подразумевает сравнение контрольных сумм, а не самих сигнатур, что позволяет значительно сократить размер антивирусных баз при сохранении надеж ности традиционного метода сигнатурного анализа.
Эмуляция исполнения
Метод эмуляции исполнения программного кода используется для обнаруж ения полиморфных и шифрованных вирусов, когда использование поиска по контрольным суммам сигнатур неприменимо или значительно услож нено из-за невозмож ности построения надеж ных сигнатур. Метод состоит в имитации исполнения анализируемого кода при помощи эмулятора
программной модели процессора
(а такж е,
отчасти,
компьютера и операционной системы). Эмулятор оперирует с защищенной областью памяти (буфером эмуляции). При этом инструкции не передаются на центральный процессор для реального исполнения. Если код, обрабатываемый эмулятором,

Руководство пользователя
114
Приложения
зараж ен вирусом, то результатом его эмуляции станет расшифрованное тело вируса, которое далее легко поддается определению методом поиска по контрольным суммам сигнатур.
Эвристический анализ
Эвристический анализ используется для обнаруж ения новых,
ранее неизвестных угроз, информации о которых нет в антивирусных базах. Принцип эвристического анализа основан на определении,
присутствуют ли у
объекта часто встречающиеся признаки (характерные особенности) угроз.
Каж дому признаку при этом сопоставляется некоторое число,
называемое его весом, которое характеризует важ ность (или серьезность)
этого признака.
Вес мож ет быть как полож ительным,
если признак указывает на наличие вредоносного кода, так и отрицательным, если признак не свойственен компьютерным угрозам. Если сумма весов всех обнаруж енных в объекте признаков превышает определенное значение, то эвристический анализатор выдает заключение о том, что анализируемый объект мож ет представлять угрозу, и определяет его как подозрительный.
Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор мож ет допускать ошибки первого рода (пропуск неизвестной угрозы) и второго рода (лож ное срабатывание).
Origins Tracing™
Origins Tracing™
– это уникальный несигнатурный алгоритм обнаруж ения компьютерных угроз,
разработанный специалистами компании
«Доктор Веб»
и используемых только в продуктах
Dr.Web
. Дополняя традиционные методы сигнатурного и эвристического анализа,
этот алгоритм значительно увеличивает вероятность обнаруж ения неизвестных угроз. К названиям угроз, обнаруж енных при помощи
Origins Tracing
, добавляется постфикс .Origin.

Руководство пользователя
115
Приложения
Действия
В продуктах
Dr.Web
реализована возмож ность применять определенные действия к обнаруж енным объектам для обезвреж ивания компьютерных угроз. Пользователь мож ет оставить автоматически применяемые к определенным типам угроз действия, заданные по умолчанию, изменить их или выбирать нуж ное действия для каж дого обнаруж енного объекта отдельно. Ниж е приведен список доступных действий:
Лечение – это действие, применимое только к
значительным угрозам (вирусам, червям и троянским программам). Оно подразумевает удаление вредоносного кода из инфицированных объектов и, по возмож ности,
восстановление их структуры и работоспособности.
Иногда объект состоит только из вредоносного кода и не содерж ит полезной информации
(как,
например,
троянские программы или функциональные копии компьютерных червей), и в таком случае под лечением понимается удаление самого объекта целиком. Не все зараж енные файлы мож но вылечить, но алгоритмы лечения постоянно развиваются;
Карантин (перемещать в Карантин) – это действие, при котором обнаруж енный объект помещается в
специальную папку, изолированную от остальной системы.
Данное действие мож но применять в случаях, когда лечение невозмож но, а такж е для подозрительных объектов. Подобные объекты рекомендуется посылать на анализ в
Вирусную лабораторию компании «Доктор
Веб»
;
Уд аление является наиболее эффективным способом устранения компьютерных угроз любых типов.
Применение данного действия подразумевает полное удаление объекта, представляющего угрозу (или его содерж имого). При этом удаление мож ет иногда применяться к объектам, для которых выбрано действие
Лечение. Подобное «лечение удалением» производится,
если файл целиком состоит из вредоносного кода и не содерж ит никакой полезной информации (например, под лечением компьютерного червя подразумевается удаление всех его функциональных копий);

Руководство пользователя
116
Приложения
Переименование

это действие,
при котором расширение имени файла изменяется в соответствии с некоторым заданным шаблоном (по умолчанию первый символ расширения заменяется символом «
#
»); это действие целесообразно применять для файлов других операционных систем (например, MS-DOS® или семейства
Microsoft® Windows®), выявленных при эвристическом анализе как подозрительные. Переименование сделает невозмож ным случайный запуск исполняемых модулей в этих системах, загрузку документов Word или Excel без дальнейшей проверки и таким образом предотвратит зараж ение возмож ным вирусом и дальнейшее его распространение;
Игнорирование
(Пропускать)

это действие,
применимое только к
незначительным угрозам
(рекламные программы, программы дозвона, программы- шутки, потенциально опасные программы и программы взлома), при котором ни действий для устранения обнаруж енной угрозы, ни оповещения пользователя не производится;
Информирование
означает,
что к
объекту не применяется никакое действие, но информация об обнаруж енной угрозе все равно отображ ается в отчетной таблице результатов сканирования.

Руководство пользователя
117
Приложения
Приложение В. Техническая
поддержка
Страница служ бы технической поддерж ки компании
«Доктор
Веб»
находится по адресу http://support.drweb.com/
При возникновении проблем с установкой или работой продуктов компании, преж де чем обращаться за помощью в отдел технической поддерж ки, рекомендуется попробовать найти решение одним из следующих способов:
ознакомиться с последними версиями описаний и руководств по адресу http://download.drweb.com/
;
прочитать раздел часто задаваемых вопросов по адресу http://support.drweb.com/
;
попытаться найти ответ в
базе знаний Dr.Web
по адресу http://wiki.drweb.com/
;
посетить
форумы Dr.Web
по адресу http://forum.drweb.
com/
Если после этого вам не удалось решить проблему, то вы мож ете заполнить веб-форму вопроса в соответствующей секции раздела http://support.drweb.com/
Найти ближ айшее к вам представительство компании
«Доктор
Веб»
и всю информацию, необходимую пользователю, вы мож ете по адресу http://company.drweb.com/contacts/moscow

© 2011 «Доктор Веб»

Document Outline

  • Условные обозначения и сокращения
  • Глава 1. Введение
    • 1.1 Об Антивирусе Dr.Web для Linux
  • Глава 2. Установка и удаление Антивируса Dr.Web для Linux
    • 2.1 Системные требования
    • 2.2 Совместимость с дистрибутивами Linux
    • 2.3 Расположение файлов пакета
    • 2.4 Установка Dr.Web для Linux
      • 2.4.1 Пользовательский интерфейс графического инсталлятора
      • 2.4.2 Использование консольного инсталлятора
    • 2.5 Удаление Dr.Web для Linux
      • 2.5.1 Пользовательский интерфейс графического деинсталлятора
      • 2.5.2 Использование консольного деинсталлятора
    • 2.6 Установка из нативных пакетов
    • 2.7 Получение ключевого файла
  • Глава 3. Начало работы с Антивирусом Dr.Web для Linux
    • 3.1 Запуск и завершение работы антивируса
    • 3.2 Обновление антивируса
    • 3.3 Постоянная антивирусная защита
    • 3.4 Операционная система с SELinux
    • 3.5 Проверка системы по требованию
      • 3.5.1 Обезвреживание угроз
    • 3.6 Получение справки
  • Глава 4. Дополнительные функции
    • 4.1 Просмотр вирусной статистики
    • 4.2 Управление Карантином
    • 4.3 Задание расписаний
    • 4.4 Настройка автоматических действий
    • 4.5 Исключение файлов из проверки
    • 4.6 Настройка уведомлений
    • 4.7 Одновременное использование Dr.Web для Linux несколькими пользователями
    • 4.8 Настройка режима работы
    • 4.9 Управление лицензиями
      • 4.9.1 Ключевой файл
      • 4.9.2 Получение и продление лицензии
    • 4.10 Централизованная антивирусная защита
      • 4.10.1 Настройка режима централизованной защиты
      • 4.10.2 Создание учетной записи на сервере централизованной защиты
      • 4.10.3 Управление настройками компонентов через веб-интерфейс сервера
      • 4.10.4 Настройка режима автономной работы
      • 4.10.5 Особенности настройки компонентов
  • Глава 5. Параметры командной строки
    • 5.1 Параметры Антивируса Dr.Web для Linux
    • 5.2 Параметры SpIDer Guard
    • 5.3 Параметры Сканера
  • Приложения
    • Приложение А. Виды компьютерных угроз
    • Приложение Б. Устранение компьютерных угроз
    • Приложение В. Техническая поддержка

Каталог: pub -> drweb -> unix -> doc
pub -> Доклад муниципальное образовательное
pub -> Публичный доклад. 2013 год Общая характеристика образовательного учреждения. Место расположения
pub -> Публичный доклад муниципального общеобразовательного учреждения средней общеобразовательной школы №13
doc -> Руководство пользователя Dr. Web, Центральный офис в России 125124 Россия, Москва 3-я улица Ямского поля, вл. 2, корп. 12А
doc -> Доктор Веб, Центральный офис в России
drweb -> Руководство пользователя 29. 12. 2015 «Доктор Веб», 2015. Все права защищены
drweb -> Руководство пользователя для Android «Доктор Веб»


Поделитесь с Вашими друзьями:
1   2   3   4   5


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал