Drindex-of.es/Hacking/Anti-Virus Scanners/drweb-500-win-ru.pdf · Приложение d. Вредоносные программы и способы их обезвреживания

Руководство пользователя

Dr.WEB®

для Windows

Версия 5.0.1

© 2009 ООО "Доктор Веб". Все права защищены

ТОВАРНЫЕ ЗНАКИ

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ

ООО "Доктор Веб" Dr.Web® для WindowsРуководство пользователя02.02.2009.

Материалы, приведенные в данном документе, являютсясобственностью ООО "Доктор Веб" и могут бытьиспользованы исключительно для личных целейприобретателя продукта. Ни какая часть данного документане может быть скопирована, размещена на сетевом ресурсеили передана по каналам связи и в средствах массовойинформации или использована любым другим образомкроме использования для личных целей без ссылки наисточник.

Dr.Web, SpIDer Mail, SpIDer Guard, CureIt! и логотипы Dr.WEBи Dr.WEB INSIDE являются зарегистрированными товарнымизнаками ООО "Доктор Веб". Иные зарегистрированныетоварные знаки, логотипы и наименования компаний,упомянутые в данном документе, являются собственностьюих владельцев.

Ни при каких обстоятельствах ООО "Доктор Веб" и егопоставщики не несут ответственности за ошибки и/илиупущения, допущенные в данном документе, и понесенные всвязи с ними убытки приобретателя продукта (прямые иликосвенные, включая упущенную выгоду).

ООО "Доктор Веб" Центральный офис в России125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Веб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информацию о региональных представительствах и офисах Выможете найти на официальном сайте компании.

ООО "Доктор Веб"

Мы благодарны пользователям за поддержкурешений семейства Dr.Web!

ООО "Доктор Веб" - российский разработчик средствинформационной безопасности.

Компания предлагает эффективные антивирусные иантиспам-решения как для государственныхорганизаций и крупных компаний, так и для частных пользователей.

Антивирусные продукты ООО "Доктор Веб"разрабатываются с 1992 года и неизменно демонстрируют превосходные результаты детектирования вредоносных программ и соответствуют мировым стандартам безопасности.

Сертификаты и награды, а также обширная географияпользователей свидетельствуют об исключительномдоверии к продуктам компании.


4

Содержание

7Глава 1. Введение

10О чем эта документация

11Используемые обозначения и сокращения

13Системные требования

15Лицензионный ключевой файл

19Глава 2. Установка Dr.Web для Windows

21Установка на ПК под управлением Microsoft®Windows® 2000(SP4)/XP/2003/Vista/2008

21Первая установка Dr.Web для Windows

27Обновление Dr.Web для Windows

28Повторная установка и удаление программногокомплекса

30Установка на ПК под управлением Microsoft®Windows® 95/98/NT(SP6a)/Me

30Первая установка Dr.Web для Windows

35Повторная установка и удаление программногокомплекса

37Получение ключевого файла

40Глава 3. Приступая к работе

40Состав и функции установленных компонентов

44Модуль управления SpIDer Agent

46Менеджер лицензий

47Сканер для Windows

47Общие сведения

48Запуск Сканера


5

52Действия при обнаружении вирусов

55Настройка параметров программы

60Сканирование в режиме командной строки

63SpIDer Guard для Windows


64Управление сторожем SpIDer Guard

67Настройка режима запуска SpIDer Guard

69Основные настройки сторожа

76SpIDer Mail для рабочих станций Windows


78Управление почтовым сторожем SpIDer Mail

79Основные настройки почтового сторожа

88SpIDer Gate Dr.Web


89Управление SpIDer Gate

90Настройка SpIDer Gate

93Модуль Родительского контроля


94Настройка параметров модуля

97Планировщик для Windows

101Задания на сканирование и обновление

104Глава 4. Автоматическое обновление

104Принцип работы модуля автоматическогообновления

107Запуск модуля автоматического обновления

109Приложения


6

109Приложение A. Различия между Dr.Web дляWindows и Dr.Web для Windows Server

111Приложение B. Дополнительные параметрыкомандной строки

111Параметры командной строки для Сканеров

117Параметры командной строки для модуляавтоматического обновления

120Коды возврата

122Приложение C. Настраиваемые параметрыкомпонентов Dr.Web

123Параметры Windows-версий Сканера, сторожа,Планировщика и модуля автоматического обновления

137Параметры SpIDer Mail для рабочих станций Windows

142Приложение D. Вредоносные программы испособы их обезвреживания.

142 Классификация вредоносных программ и другихкомпьютерных угроз

149Действия, применяемые к вредоносным программам

151Приложение E. Принципы именования вирусов

157Приложение F. Защита корпоративной сетис помощью Dr.Web® Enterprise Suite

163Приложение G. Dr.Web® AV-Desk дляпровайдеров интернет-услуг.


7Введение

Глава 1. Введение

Dr.Web® для Windows представляет собой мощноеантивирусное средство, регулярно показывающее лучшиерезультаты в использовании и при независимом тестировании.Важной особенностью комплекса является его модульнаяархитектура. Антивирус использует программное ядро и вирусныебазы, общие для всех компонентов и различных сред. В настоящеевремя, наряду с Dr.Web® для Windows, поставляются версииантивируса для MS-DOS®, IBM® OS/2®, Novell® NetWare®, атакже ряда Unix®-подобных систем (например, Linux® иFreeBSD®).

Программный комплекс поставляется в двух вариантах:

Dr.Web® для Windows (Dr.Web для рабочих станций);

Dr.Web® для Windows Server (Dr.Web для серверов).

Всюду, где не указано иное, описание в равной степени относитсяк обоим вариантам. В этих случаях будет употреблятьсясокращенное обозначение Dr.Web.

Компоненты и конфигурационные файлы Dr.Web для серверовразработаны специально для осуществления эффективнойантивирусной защиты файлового сервера, с учетом его высокойзагруженности, круглосуточной работы и нежелательностичастого вмешательства пользователя (администратора сервера).

Dr.Web использует удобную и эффективную процедуруобновления вирусных баз и обновления версий программногообеспечения через Интернет.

Dr.Web способен также обнаруживать и удалять с компьютераразличные нежелательные программы (рекламные программы,программы дозвона, программы-шутки, потенциально опасныепрограммы, программы взлома). Для обнаружения нежелательныхпрограмм и действий над содержащими их файлами применяютсястандартные средства антивирусных компонентов Dr.Web.


8Введение

Dr.Web® для Windows в зависимости от типа лицензии можетвключать в себя следующие компоненты:

Dr.Web Сканер для Windows – антивирусный сканер сграфическим интерфейсом. Программа запускается позапросу пользователя или по расписанию и производитантивирусную проверку компьютера. Существует такжеверсия программы с интерфейсом командной строки (Dr.Web Консольный сканер для Windows);

SpIDer Guard® для Windows – антивирусный сторож,(называемый также монитором). Программа постояннонаходится в оперативной памяти, осуществляя проверкуфайлов "на лету", а также обнаруживая проявлениявирусной активности;

SpIDer Mail® для рабочих станций Windows –почтовый антивирусный сторож. Программа перехватываетобращения любых почтовых клиентов компьютера кпочтовым серверам по протоколам POP3/SMTP/IMAP4/NNTP(под IMAP4 имеется в виду IMAPv4rev1), обнаруживает иобезвреживает почтовые вирусы до получения писемпочтовым клиентом с сервера или до отправки письма напочтовый сервер. В том случае, если система Dr. Webработает с лицензией на программный пакет "Dr.WebSecurity Space", почтовый сторож также можетосуществлять проверку корреспонденции на спам спомощью спам-фильтра Vade Retro. Компонент SpIDer Mailне входит в состав Dr.Web для Windows Server;

SpIDer Gate – антивирусный HTTP-сторож. При настройкахпо умолчанию SpIDer Gate автоматически проверяетвходящий и исходящий HTTP-трафик и блокирует передачуобъектов, содержащих вредоносные программы. Компонентне входит в состав Dr.Web для Windows Server.

Родительский контроль. С помощью данного компонентаосуществляется ограничение доступа пользователя кресурсам, содержащимся как локально, на самом ПК, так и всети. Компонент не входит в состав Dr.Web для WindowsServer.

Dr.Web Модуль автоматического обновления –позволяет зарегистрированным пользователям получатьобновления вирусных баз и других файлов комплекса, а


9Введение

также производит их автоматическую установку;незарегистрированным пользователям дает возможностьзарегистрироваться или получить демонстрационный ключ.Кроме того, с помощью модуля автоматического обновлениязарегистрированные пользователи могут продлить срокдействия лицензии (при наличии серийного номерапродления). Незарегистрированным пользователям модульавтоматического обновления дает возможностьзарегистрироваться, а также получить лицензионный (приналичии серийного номера) или демонстрационный ключ(см. п. Получение ключевого файла).

SpIDer Agent – модуль управления, с помощью которогоосуществляется запуск и настройка компонентовАнтивируса.

В состав Dr.Web для Windows входят также Планировщикзаданий для Windows 95/98/Me, сканер для среды DOS и рядвспомогательных программ.

Для организации централизованного управления антивируснойзащитой в масштабе предприятия поставляется специальноесредство – Dr.Web® Enterprise Suite. Подробнее об этомпрограммном комплексе см. Приложение F.

Для провайдеров интернет-услуг защиту их клиентов от вирусов испама обеспечивает Dr.Web® AV-Desk. Подробнее о данномпрограммном комплексе см. Приложение G.


10Введение

О чем эта документация

Настоящее руководство пользователя содержит необходимыесведения по установке и эффективному использованиюантивирусного программного комплекса Dr.Web® для Windows.

Подробное описание всех элементов графического интерфейсасодержится в справочной системе комплекса, доступной длязапуска из любого компонента программы.

Настоящее руководство содержит подробное описание процессаустановки Dr.Web, а также начальные рекомендации по егоиспользованию для решения наиболее типичных проблем,связанных с вирусными угрозами. В основном рассматриваютсянаиболее стандартные режимы работы компонентов комплекса(настройки по умолчанию).

В Приложениях содержится подробная справочная информация понастройке антивирусного комплекса, предназначенная дляопытных пользователей.


11Введение

Используемые обозначения исокращения

В данном руководстве используются следующие обозначения:

Обозначение Комментарий

Полужирноеначертание

Названия элементов графического интерфейса ипримеры ввода, который необходимо выполнить вточности так, как он приведен в справке.

Зеленое иполужирноеначертание

Наименования продуктов ООО "Доктор Веб" илиих компонентов.

Зеленое и подчеркнутоеначертание

Ссылки на страницы справки и веб-сайты.

Моноширинныйшрифт

Примеры кода, ввода для командной строки иинформации, выводимой пользователюприложением.

Курсив Термины и замещающий текст (приводится вместоинформации, которую необходимо ввестипользователю). В случае примеров ввода команднойстроки курсив указывает на значения параметров.

ЗАГЛАВНЫЕБУКВЫ

Названия клавиш клавиатуры.

Знак плюса Указывает на одновременность нажатия клавишклавиатуры. Например, запись ALT+F1 обозначает,что необходимо нажать клавишу F1, удерживаянажатой клавишу ALT.

Важное замечание или предупреждение опотенциально опасных или чреватых ошибкамиситуациях.

В тексте руководства будут употребляться без расшифровкиследующие сокращения:


12Введение

GUI – графический пользовательский интерфейс (GraphicalUser Interface), GUI-версия программы – версия,использующая средства GUI,

ПК – персональный компьютер,

ОС – операционная система.


13Введение

Системные требования

Для установки Dr.Web для Windows, в зависимости от составакомпонентов, требуется до 55 Мбайт на жестком диске.

Сканер (GUI-версия и консольная версия для Windows) и сторожSpIDer Guard работают на ПК под управлением Microsoft®Windows® 95/98/Me или Windows® NT(SP6a)/2000(SP4)/XP/2003/Vista/2008.

SpIDer Mail работает на ПК под управлением Microsoft® Windows® 95/98/Me или Microsoft® Windows® NT(SP6a)/2000(SP4)/XP/Vista.

SpIDer Gate и модуль Родительского контроля работают наПК под управлением Microsoft® Windows® 2000/XP/Vista.

SpIDer Agent работает на ПК под управлением Microsoft®Windows® 2000/XP/2003/Vista/2008.

SpIDer Guard работает только в 32-разрядныхсистемах.

Работа всех компонентов под управлением Microsoft®Windows 95 возможна только, начиная с версииMicrosoft® Windows® 95 OSR2 (v.4.00.950B). Такжеможет потребоваться загрузить с сайта Microsoft иустановить обновления ряда системных компонентов.Программный комплекс сообщит вам, принеобходимости, их наименования и URL.

Сканер для DOS работает под управлением MS-DOS® или врежиме командной строки Windows.

Минимальные требования к конфигурации ПК совпадают стаковыми для соответствующих ОС, однако корректная работа SpIDer Guard возможна только при наличии не менее 32 Мбоперативной памяти, установленной на компьютере. ПК должен


14Введение

полностью поддерживать систему команд процессора i80386.

Следует установить все рекомендуемыепроизводителем ОС критические обновления. Еслиподдержка ОС производителем прекращена,рекомендуется перейти на более современнуюверсию системы.

Перед установкой Dr.Web следует удалить с компьютера другиеантивирусные пакеты для предотвращения возможнойнесовместимости их резидентных компонентов.


15Введение

Лицензионный ключевой файл

Права пользователя на использование антивируса регулируютсяпри помощи специального файла, называемого ключевым файлом.

В ключевом файле содержится, в частности, следующаяинформация:

перечень компонентов, которые разрешено использоватьданному пользователю;

период, в течение которого разрешено использованиеантивируса;

другие ограничения (в частности, количество компьютеров,на которых разрешено использовать антивирус).

Ключевой файл имеет расширение .key и при работе программ

по умолчанию должен находиться в каталоге установки (см. Первая установка антивируса Dr.Web для рабочих станций).

Ключевой файл имеет формат, защищенный отредактирования. Редактирование файла делает егонедействительным. Поэтому не следует открыватьключевой файл в текстовых редакторах во избежаниеего случайной порчи.

Существует два типа ключевых файлов:

Лицензионный ключевой файл, который приобретаетсявместе с программным комплексом Dr.Web и позволяет какпользоваться Антивирусом так и получать техническуюподдержку. Параметры этого ключевого файла,регулирующие права пользователя, установлены всоответствии с пользовательским договором. В такой файлтакже заносится информация о пользователе и продавцеантивируса.


16Введение

Демонстрационный ключевой файл, который используетсядля ознакомления с Антивирусом. Такой ключевой файлобеспечивает полную функциональность основныхантивирусных компонентов, но имеет ограниченный срокдействия.

Ключевой файл может поставляться в виде файла c расширением .key или в виде ZIP-архива, содержащего этот файл, а также в

виде файла специального формата с расширением .dwz,

используемого для распространения дополнений к пакету.

Пользователь может получить ключевой файл одним изследующих способов:

в процессе регистрации продукта на сайте ООО "ДокторВеб". На основании введенного пользователемрегистрационного серийного номера, полученного отпродавца, формируется соответствующий лицензионныйключевой файл. При отсутствии серийного номерапользователь при регистрации может получить толькодемонстрационный ключевой файл. Сформированныйключевой файл высылается по электронной почте, а такжеможет быть загружен со страницы регистрации;

через сеть Интернет на завершающей стадии процессаустановки (см. Первая установка антивируса Dr.Web длярабочих станций) или при первом обновлении программногокомплекса при помощи модуля автоматического обновления(см. Глава 4. Автоматическое обновление). Модульпроизводит регистрацию программного комплекса на сайте ООО "Доктор Веб", получает и устанавливаетсформированный при регистрации ключ. Данный методможно использовать только для варианта Dr.Web длярабочих станций;

вместе с дистрибутивом продукта, если ключ входит в составдистрибутива при его комплектации;

по электронной почте в виде файла с расширением .dwz. Вэтом случае для установки ключевого файла следуетдважды щелкнуть по значку файла, присоединенного кписьму;

на отдельном носителе в виде файла с расширением .key. Вэтом случае файл необходимо скопировать в каталог


17Введение

установки Dr.Web;

в виде ZIP-архива, содержащего файл с расширением .key. Вэтом случае необходимо извлечь файл при помощиархиватора данного формата (например, WinZip или Pkunzip)и скопировать его в каталог установки Dr.Web.

Рекомендуется сохранять лицензионный ключевой файл доистечения срока его действия. При переустановке антивируса илив случае установки на несколько компьютеров повторнаярегистрация серийного номера не требуется. Используйтеключевой файл, полученный при первой регистрации.

Повторная регистрация может потребоваться в случае утратыключевого файла. При повторной регистрации укажите те жеперсональные данные, введенные при первой регистрации; можноввести только другой адрес электронной почты – в таком случаелицензионный ключевой файл будет выслан по новому адресу.

Количество запросов на получение ключевого файла ограничено –регистрация с одним и тем же серийным номером допускается неболее 25 раз. Если это число превышено, ключевой файл не будетвыслан. В этом случае обратитесь в службу техническойподдержки (в запросе следует подробно описать ситуацию,указать персональные данные, введенные при регистрации, исерийный номер). Ключевой файл будет выслан вам службойтехнической поддержки по электронной почте.

http://support.drweb.com/request/

http://support.drweb.com/request/


18Введение

Операционные системы семейства Microsoft®Windows®, начиная с Windows® XP, поддерживаютформат сжатия файлов ZIP, для извлечениясодержимого архивов данного формата сторонниепрограммы не требуются.

При отсутствии действительного ключевого файла(лицензионного или демонстрационного) активностьвсех компонентов блокируется. Единственноеразрешенное в такой ситуации действие – запускмодуля автоматического обновления с цельюрегистрации и получения ключевого файла (толькодля варианта Dr.Web для рабочих станций).

Начиная с антивируса версии 4.33, ключевые файлыдля приложений Dr.Web для рабочих станций иDr.Web для серверов различаются. Прииспользовании ключевого файла от другого вариантаантивируса некоторые компоненты, в частности,сторож SpIDer Guard для Windows NT/2000/XP/2003/Vista, работать не будут.


19Установка антивируса Dr.Web для Windows

Глава 2. Установка Dr.Web дляWindows

Перед установкой комплекса настоятельно рекомендуется:

установить все критические обновления, выпущенныекомпанией Microsoft для вашей версии ОС (их можнозагрузить и установить с сайта обновлений компании http://windowsupdate.microsoft.com);

проверить при помощи системных средств файловуюсистему и устранить обнаруженные дефекты;

закрыть активные приложения.

Перед установкой Dr.Web следует удалить с компьютерадругие антивирусные пакеты для предотвращениявозможной несовместимости их резидентныхкомпонентов.

Установочный комплект поставляется в виде фирменного дискаили отдельного исполняемого файла размером около 50 МБ.

Чтобы запустить установку, воспользуйтесь одним из следующихметодов:

в случае поставки в виде единого исполняемого файлазапустите на исполнение этот файл;

в случае поставки на фирменном диске, если дляпривода включен режим автозапуска диска, процедураустановки запустится автоматически. Если режимавтозапуска отключен, запустите на выполнение файлautorun.exe, расположенный на диске с дистрибутивом.Откроется окно, содержащее меню автозапуска.Нажмите на кнопку Установить.

Следуйте указаниям программы установки, основные действиякоторой описываются ниже. Чтобы вернуться к предыдущему шагупрограммы установки, на любом этапе установки (до начала



копирования файлов на компьютер) нажмите кнопку Назад. Дляперехода на следующий шаг программы нажмите кнопку Далее.Для того чтобы прервать установку, нажмите кнопку Отмена.

Процедура установки и состав устанавливаемых компонентов Dr.Web для Windows различается зависимости от операционнойсистемы, установленной на вашем компьютере.

Установка Dr.Web на компьютер, работающий под управлениемMicrosoft® Windows® 2000(SP4)/XP/2003/Vista/2008,рассматриваются в следующих разделах:

Первая установка Dr.Web для Windows

Обновление текущей версии Антивируса до версии 5.0

Повторная установка и удаление Dr.Web

Установка на компьютер, работающий под управлением Microsoft®Windows® 95/98/NT(SP6a)/Me рассматривается в следующихразделах:


Повторная установка и удаление Dr.Web



Установка на ПК под управлениемMicrosoft® Windows®2000(SP4)/XP/2003/Vista/2008


Для установки Dr.Web для Windows необходимы праваАдминистратора.

1. Выберите язык установки (этот выбор не влияет на наборязыков, который будет поддерживать установленныйпрограммный комплекс).

2. На следующем шаге вам будет предложено ознакомиться слицензионным соглашением. Для продолжения установкиего необходимо принять.

3. Программа установки предупредит вас о возможнойнесовместимости Dr.Web для Windows и иныхантивирусов, установленных на вашем компьютере, ипредложит удалить их с ПК. Если на вашем компьютереустановлены другие антивирусы, рекомендуется нажать накнопку Отмена и прервать установку, удалить илидезактивировать эти антивирусы и после этого начатьустановку заново.



Для продолжения установите флажок Я подтверждаю,что на компьютере нет других антивирусныхпрограмм и нажмите на кнопку Далее.

4. На следующем шаге программа установки откроет окно спредупреждением о том, что для работы программынеобходим ключевой файл (лицензионный илидемонстрационный). Если у вас есть ключевой файл и оннаходится на жестком диске или сменном носителе,нажмите на кнопку Обзор и выберите этот файл встандартном окне открытия файла. Если ключевого файланет, но вы готовы его получить в процессе установки,выберите Получить файл в процессе установки. Впротивном случае выберите Не использовать ключевойфайл и нажмите кнопку Далее.



Используйте только ключевой файл варианта Dr.Webдля рабочих станций. Ключевой файл должен иметьрасширение .key. Если файл находится в архиве,

необходимо извлечь его соответствующим архиватором.

5. Программа предложит вам выбрать вид установки. Установка по умолчанию предполагает установку всехкомпонентов, английского и русского языков интерфейса, атакже всех вспомогательных программ, причем этапыустановки до шага 10 будут проведены автоматически. Пользовательская установка предназначена дляопытных пользователей. В процессе пользовательскойустановки вам будет предложено самостоятельно выбратьустанавливаемые компоненты, настройки прокси-сервера инекоторые дополнительные параметры установки.



Выберите необходимый вид установки и нажмите кнопку Далее.

6. Если вы выбрали режим установки по умолчанию, топерейдите к описанию шага 10. При Пользовательскойустановке откроется окно выбора устанавливаемыхкомпонентов. Сделайте свой выбор и нажмите кнопкуДалее.

7. Откроется окно создания ярлыков для запуска Dr.Web для



Windows. Укажите необходимые пункты и нажмитекнопку Далее.

8. Откроется окно настроек прокси-сервера. Если для выходав Интернет вы используете прокси-сервер, выберитенеобходимые настройки в группе Настройки прокси-сервера. Если прокси-сервер не используется, снимитефлажок Я пользуюсь прокси-сервером для выхода вИнтернет. Нажмите кнопку Далее.

9. На следующем шаге вам будет предложено выбратьдополнительные параметры установки. Установите флажок Загрузить обновления во время установки чтобы впроцессе установки были загружены актуальные вирусныебазы.



Установите флажок Провести проверку системы послеустановки программы для проведения полной проверкифайловой системы компьютера после установки Dr.Webдля Windows.

10. Откроется информационное окно с сообщением оготовности к установке. Нажмите кнопку Установить,чтобы запустить процесс копирования файлов или кнопку Назад, чтобы изменить параметры установки Dr.Web дляWindows.

11. Если на шаге 4 вы выбрали Получить ключевой файл впроцессе установки, то модуль автоматическогообновления запустит процедуру регистрации пользователя.Для получения ключевого файла необходимо наличиеподключения компьютера к сети Интернет.

12. После получения ключевого файла, если на шаге 9 былустановлен флажок Загрузить обновления во времяустановки, будет выполнен процесс обновления вирусныхбаз, не требующий вмешательства пользователя.

13. По завершении установки, если в состав компонентоввходит GUI-версия Сканера, программа установкизапустит Сканер, который произведет сканированиеоперативной памяти компьютера и файлов автозапуска. Вслучае обнаружения инфицированных файлов выберите



необходимые действия для этих объектов. Послезавершения проверки выключите Сканер.

Известна проблема несовместимости Cканера спрограммой WindowBlinds, позволяющей настраиватьэлементы графического интерфейса операционныхсистем семейства Windows. Для корректной работыантивируса необходимо отключить возможностьизменения интерфейса Dr.Web в настройках программыWindowBlinds, добавив файл drweb32.exe в список

исключаемых программ.

14. Выполните перезагрузку компьютера, необходимую длязавершения процесса установки.

Обновление Dr.Web для Windows

Обновление уже установленных компонентов программногокомплекса Dr.Web для Windows версии 5.0 производитсясредствами модуля автоматического обновления.

С помощью программы установки производится изменение составаустановленных компонентов, а также обновление программногокомплекса до текущей версии.

Обязательно сохраните действующий ключевой файлвне папки с установленным Антивирусом Dr.Web,перед проведением процедуры обновления до версии5.0.

1. Для того чтобы обновить ранее установленный АнтивирусDr.Web для Windows версии 4.44 до версии 5.0запустите программу установки.

2. Следуйте указаниям программы, описанным в предыдущемразделе.

3. На шаге 4 укажите путь к ранее сохраненному ключевомуфайлу.



4. Завершите установку программы следуя дальнейшимуказаниям.

Повторная установка и удалениепрограммного комплекса

Для того чтобы изменить, исправить или удалить ранееустановленную программу Dr.Web для Windows запуститепроцедуру установки Dr.Web для Windows.

После выбора языка работы программы установки, откроетсяследующее диалоговое окно:

a

В этом окне:

чтобы изменить состав устанавливаемых компонентов,выберите вариант Изменить и в окне Выборкомпонентов задайте нужный набор модулей. Дальнейшийход установки полностью аналогичен обычной установкеприложения, начиная с данного окна.



чтобы удалить все установленные компоненты, выберитепункт Удалить. В процессе удаления Dr.Web дляWindows потребуется отключить модуль самозащиты.Введите код, изображенный на картинке в открывшемсяокне, чтобы отключить защиту файлов программногокомплекса. Для завершения процедуры удаленияперезагрузите компьютер по просьбе программы.

Запустить процедуру изменения или удаления программногокомплекса можно также воспользовавшись средствами утилиты Установка и удаление программ операционной системыWindows.



Установка на ПК под управлениемMicrosoft® Windows®95/98/NT(SP6a)/Me


Для установки антивируса на ПК, работающий подуправлением Microsoft® Windows® NT, необходимыправа Администратора.

1. Выберите язык установки (этот выбор не влияет на наборязыков, который будет поддерживать установленныйпрограммный комплекс).

2. При необходимости, программа установки предупредит вас овозможной несовместимости Dr.Web для Windows и иныхантивирусов, установленных на вашем компьютере, ипредложит удалить их с ПК.

Если на вашем компьютере установлены другие антивирусы,рекомендуется нажать на кнопку Отмена и прервать



установку, удалить или дезактивировать эти антивирусы ипосле этого продолжить установку. Для продолженияустановки установите флаг Да, на компьютере неустановлено других антивирусных программ инажмите на кнопку Далее.

3. Программа установки проверяет ваш компьютер и в случаеобнаружения известных ей антивирусов выдает такжедополнительное предупреждение.

Чтобы прекратить установку, нажмите кнопку Да. Вы сможетеповторить установку после удаления или дезактивацииобнаруженного антивируса. Чтобы продолжить бездезактивации стороннего антивируса, нажмите кнопку Нет.

Далеко не все антивирусы могут быть обнаруженыпрограммой установки. Продолжать установку приналичии на компьютере иных антивирусов можно,только если в их составе отсутствуют активныерезидентные модули (сторожи) и программы обработкипочтового трафика.

4. На следующем шаге вам будет предложено ознакомиться слицензионным соглашением. Для продолжения установкиего необходимо принять.

5. На следующем шаге программа установки откроет окно спредупреждением о том, что для работы программынеобходим ключевой файл (лицензионный илидемонстрационный). Если у вас есть ключевой файл и оннаходится на жестком диске или сменном носителе, нажмитена кнопку Обзор и выберите этот файл в стандартном окнеоткрытия файла. Если ключевого файла нет, нажмитекнопку Далее. Ключевой файл можно будет получитьпозднее в процессе установки.



Используйте только ключевой файл варианта Dr.Webдля рабочих станций. Ключевой файл должен иметьрасширение .key. Если файл находится в архиве,

необходимо извлечь его соответствующим архиватором.

6. Программа предложит вам выбрать вид установки. Быстрыйвариант установки предполагает установку всехантивирусных компонентов, английского и русского языковинтерфейса, а также всех вспомогательных программ,причем этапы установки до шага 12 будут проведеныавтоматически. Во время быстрой установки такженекоторые процессы (обновление, экспресс-проверкасистемы) будут запущены без подтверждения ипредупреждения. Выберите Да, если хотите продолжитьбыструю установку, или Нет, если хотите самостоятельновыбрать параметры установки. Нажмите кнопку Далее.

7. Если вы выбрали режим быстрой установки, то перейдите кшагу 11. Если вы отказались от быстрой установки, то воткрывшемся окне выберите каталог установкипрограммного комплекса и нажмите на кнопку Далее.

8. На следующем шаге откроется окно Выбор компонентов.Установите флажки напротив тех компонентов, которые вы



хотите установить, и снимите флажки у компонентов,которые вы устанавливать не хотите. Сделав выбор,нажмите кнопку Далее.

9. На следующем шаге вам будет предложено выбрать папку вподменю Программы главного меню операционнойсистемы Windows (вызывается по нажатию кнопки Пуск). Вданную папку будут помещены ярлыки установленныхкомпонентов, файлов справки, файлов отчета покомпонентам, а также ярлык UnInstall Dr.Web,позволяющий запустить процесс удаления Dr.Web дляWindows с вашего компьютера. По умолчанию программаустановки создает папку Dr.Web. Рекомендуетсяиспользовать этот вариант.

10. На следующем шаге откроется информационное окно Начало копирования файлов. Ознакомьтесь со спискомкомпонентов для установки и, если он вас устраивает,нажмите кнопку Далее.



11. Далее откроется окно Настройки прокси-сервера. Есливы используете прокси-сервер для выхода в Интернет,заполните поля Адрес, Имя и Пароль и нажмите кнопкуДа. Если прокси-сервер не используется, нажмите кнопкуНет.

12. Далее, если у вас имеется ключевой файл и вы указали егона шаге 6, откроется окно обновления вирусных баз.Подробнее о вирусных базах и их обновлении смотрите вглаве Автоматическое обновление. Чтобы произвестиобновление вирусных баз, нажмите кнопку Да. Запуститсямодуль автоматического обновления.

Если ключевой файл отсутствует, модуль автоматическогообновления оповестит вас об этом и попытается получитьего через Интернет при помощи процедуры регистрациипользователя.

После получения ключевого файла будет выполнен процессобновления вирусных баз, не требующий вмешательствапользователя.

13. По завершении установки, если в состав компонентоввходит GUI-версия Сканера, программа произведетсканирование оперативной памяти компьютера и файловавтозапуска и предложит вам произвести более подробное



сканирование компьютера.

Известна проблема несовместимости Cканера спрограммой WindowBlinds, позволяющей настраиватьэлементы графического интерфейса операционныхсистем семейства Windows. Для корректной работыантивируса необходимо отключить возможностьизменения интерфейса Dr.Web в настройках программыWindowBlinds, добавив файл drweb32.exe в список

исключаемых программ.

14. Если вы установили антивирусный сторож SpIDer Guardили SpIDer Mail, программа предложит выполнитьперезагрузку компьютера, необходимую для завершенияпроцесса установки этих компонентов.

Программа установки по умолчанию не толькоустанавливает компонент Планировщик дляWindows, но и создает для него расписание,включающее ежечасный автоматический запускобновления программного комплекса и задание наантивирусное сканирование (отключенное).

Повторная установка и удалениепрограммного комплекса

Для того чтобы изменить, исправить или удалить ранееустановленную программу Dr.Web для Windows запуститепроцедуру установки Dr.Web.

Откроется диалоговое окно, позволяющее выбрать режим работыпрограммы установки.



В этом окне:

чтобы изменить состав устанавливаемых компонентов,выберите вариант Изменить и в окне Выборкомпонентов задайте нужный набор модулей. Дальнейшийход установки полностью аналогичен обычной установкеприложения, начиная с данного окна.

чтобы заново установить те же компоненты, которые быливыбраны ранее (например, при необходимости исправлениядефектных файлов), выберите вариант Исправить.Дальнейшая установка не требует вмешательствапользователя.

чтобы удалить все установленные компоненты, выберитепункт Удалить.

Вышеописанное окно может быть вызвано также средствамиутилиты Установка и удаление программ, доступной изПанели управления операционной системы Windows.



Получение ключевого файла

1. На первом шаге процедуры получения ключевого файла вамбудет предложено выбрать: получить демонстрационныйили лицензионный ключевой файл (подробно о ключевомфайле см. Лицензионный ключевой файл). Если у васимеется регистрационный серийный номер, выданный вампри приобретении антивируса, выберите вариант Получитьлицензионный ключевой файл. Если вы устанавливаетепрограмму с ознакомительными целями, выберитеПолучить демонстрационный ключевой файл иперейдите к шагу 4.

2. В открывшемся окне введите серийный номер и нажмитекнопку Далее.

3. Если на предыдущем шаге вы ввели серийный номерпродления, то откроется окно для ввода данныхпредыдущих регистраций. Укажите в полях окна серийныйномер либо лицензионный ключ предыдущей регистрации.Нажмите кнопку Далее.



4. В окне ввода персональных данных, необходимых дляполучения ключевого файла, заполните все поля и нажмитекнопку Далее.

5. В окне Подтверждение регистрационных данныхпроверьте правильность ввода. Если все данные введеныверно, нажмите кнопку Далее.



6. Запускается процедура загрузки и установки ключевогофайла. Протокол ее работы отображается винформационном окне. Если получение ключевого файлазавершилось успешно, в информационном окне выводитсясоответствующее сообщения и указывается путь размещенияполученного ключевого файла. В противном случаевыводится сообщение об ошибке.



Глава 3. Приступая к работе

Состав и функции установленныхкомпонентов

Программа установки по умолчанию устанавливает на компьютерследующие компоненты антивирусной защиты:

при установке программного комплекса для рабочихстанций, в зависимости от типа лицензии - Сканер длясреды Windows (с GUI-интерфейсом и консольную версию) идля среды DOS, сторож SpIDer Guard, почтовый сторожSpIDer Mail, антивирусный HTTP-сторож SpIDer Gate,модуль Родительского контроля а также модульуправления SpIDer Agent. На компьютеры, работающиепод управлением Microsoft® Windows® 95/98/Me такжеустанавливается Планировщик;

при установке программного комплекса для серверов - Сканер для среды Windows (с GUI-интерфейсом иконсольную версию), сторож SpIDer Guard, а также модульуправления компонентами SpIDer Agent.

В обязательном порядке устанавливается модуль автоматическогообновления и ряд дополнительных утилит.

На компьютеры, работающие под управлениемMicrosoft® Windows® 95/98/NT4(SP6a)/Me установкаSpIDer Gate, модуля Родительского контроля, а такжеSpIDer Agent не производится.

Компоненты антивирусной защиты используют общие вирусныебазы и единые алгоритмы обнаружения и обезвреживания вирусовв проверяемых объектах. Однако методика выбора объектов дляпроверки существенно различается, что позволяет использоватьэти компоненты для организации существенно разных,



взаимодополняющих стратегий защиты ПК.

Так, Сканер для Windows проверяет (по команде пользователяили команде, данной Планировщиком) определенные файлы(все файлы, выбранные логические диски, каталоги и т. д.). Приэтом по умолчанию проверяется также оперативная память и всефайлы автозапуска. Так как время запуска задания выбираетсяпользователем, можно не опасаться нехватки вычислительныхресурсов для других важных процессов.

Сканер для DOS может производить тщательную проверкудисков даже в случае отсутствия или неработоспособностиоперационной системы Windows. В сочетании с загрузкой ПК сзащищенного от записи диска его использование позволяетобеспечить самый высокий уровень обнаружения вирусов вфайлах.

Сторож SpIDer Guard постоянно находится в памяти ПК иперехватывает обращения к объектам файловой системы.Программа проверяет на наличие вирусов только открываемыефайлы (при настройках по умолчанию – все открываемые файлына сменных дисках и открываемые на запись файлы на жесткихдисках). Благодаря менее детализированному способу проверкипрограмма практически не создает помех другим процессам на ПК,однако, за счет некоторого (незначительного) снижениянадежности обнаружения вирусов.

Достоинством программы является непрерывный, в течение всеговремени работы ПК, контроль вирусной ситуации. Кроме того,некоторые вирусы могут быть обнаружены только сторожем поспецифичным для них действиям.

Почтовый сторож SpIDer Mail также постоянно находится впамяти. Программа перехватывает все обращения почтовыхклиентов вашего ПК к почтовым серверам по протоколам POP3/SMTP/ IMAP4/NNTP и проверяет входящую (и исходящую) почту доее приема (или отправки) почтовым клиентом. SpIDer Mailориентирован на проверку всего текущего почтового трафика,проходящего через компьютер, в результате чего проверкапочтовых ящиков становится более эффективной и менеересурсоемкой. В частности, могут отслеживаться попытки



массовой рассылки почтовыми червями своих копий по адреснойкниге пользователя с помощью собственных реализаций почтовыхклиентов, которые могут быть встроены в функционал вирусов.Это также позволяет отключить проверку почтовых файлов в SpIDer Guard, что значительно снижает потребление ресурсовкомпьютера.

Антивирусный HTTP-сторож SpIDer Gate при настройках поумолчанию автоматически проверяет входящий и исходящийHTTP-трафик и блокирует передачу объектов, содержащихвредоносные программы. Через протокол HTTP работают веб-обозреватели (браузеры), менеджеры загрузки и многие другиеприложения, обменивающиеся данными с веб-серверами, т.е.работающие с сетью Интернет. При базовых настройках SpIDerGate блокирует любую передачу объектов, содержащихвредоносные программ. Программа постоянно находится воперативной памяти компьютера и автоматически перезапускаетсяпри загрузке Windows.

С помощью модуля Родительского контроля осуществляетсяограничение доступа пользователя к ресурсам, содержащимся каклокально, на самом ПК, так и в сети. Ограничение доступа кресурсам локальной файловой системы позволяет сохранитьцелостность важных файлов и защитить их от заражениявирусами, а также сохранит необходимую конфиденциальностьданных. Существует возможность защиты, как отдельных файлов,так и папок целиком, расположенных как на локальных дисках,так и на внешних носителях информации. Также можно наложитьполный запрет на просмотр информации со всех внешнихносителей. Контроль доступа к интернет-ресурсам позволяет, какоградить пользователя от просмотров нежелательных веб-сайтов(сайтов, посвященных насилию, азартным играм и т.п.) так иразрешить пользователю доступ только к тем сайтам, которыеопределены настройками модуля Родительского контроля.

Для организации эффективной антивирусной защиты можнорекомендовать следующую схему использования компонентов Dr.Web:

произвести сканирование всей файловой системы ПК спредусмотренными по умолчанию (максимальными)настройками подробности сканирования;



сохранить режим автоматического запуска и остальныенастройки системного сторожа по умолчанию;

осуществлять полную проверку почты при помощипочтового сторожа;

осуществлять проверку всего HTTP-трафика при помощи SpIDer Gate;

периодически, по мере обновления вирусных баз, повторятьполное сканирование ПК (не реже раза в неделю);

в случае временного отключения сторожа, если в за этотпериод ПК подключался к Интернету или производиласьзагрузка файлов со сменного носителя, провести полноесканирование немедленно.

Антивирусная защита может быть эффективной толькопри условии своевременного (желательно, ежечасного)получения обновлений вирусных баз и других файловкомплекса (см. Глава 4. Автоматическое обновление).

Использование компонентов Dr.Web подробнее описано вследующих разделах.



Модуль управления SpIDer Agent

Данный компонент не устанавливается на ПК,работающий под управлением Microsoft® Windows®95/98/Me.

После установки программного комплекса в область уведомлений

Windows добавляется значок SpIDer Agent .

При наведении курсора мыши на значок появляется всплывающаяподсказка с информацией о запущенных компонентах, а такжедатой последнего обновления антивируса и количеством записей ввирусных базах. Также, в соответствии с настройками (см. ниже)see below, над значком SpIDer Agent могут появлятьсяразличные подсказки-уведомления.

С помощью контекстного меню значка модуля управленияосуществляется запуск и настройка компонентов Dr.Web дляWindows.

Пункт О программе открывает окно с информацией о версииАнтивируса.

Пункт Зарегистрировать лицензию запускает процедурурегистрации пользователя для получения ключевого файла ссервера компании ООО "Доктор Веб".



Пункт Мой Dr.Web открывает вашу персональную страницу насайте компании ООО "Доктор Веб". На данной странице высможете получить информацию о вашей лицензии (срок действия,серийный номер), продлить срок ее действия, задать вопросслужбе поддержки и многое другое.

Пункт Справка открывает файл справки Антивируса.

Пункты SpIDer Guard, SpIDer Mail, SpIDer Gate,Родительский контроль, Обновление и Сканер открываютдоступ к настройкам и управлению соответствующих компонентов.

Пункт Отключить/Включить Самозащиту позволяетотключить/включить защиту файлов, веток реестра и запущенныхпроцессов Dr.Web от повреждений и удаления.

Пункт Инструменты открывает меню, содержащее доступ кМенеджеру лицензий (см.Менеджер лицензий) а такженастройкам самого SpIDer Agent.

В окне настроек SpIDer Agent производится выбор языкаинтерфейса Dr.Web для Windows.

Также в этом окне производится настройка типов подсказок-уведомлений, появляющиеся в виде всплывающего окна надзначком SpIDer Agent в области уведомлений Windows.Компоненты, перечисленные в окне настроек, посылаютуведомления в случае срабатывания соответствующей защиты.Также уведомление может появляться при каждом обновлениивирусных баз.



Менеджер лицензий

Менеджер лицензий в доступном виде отображает информацию,содержащуюся в имеющихся у вас ключевых файлах Dr.Web дляWindows.

Для того чтобы добавить в список ключевой файл нажмите на

кнопку .

Для того чтобы удалить ключевой файл из списка нажмите на

кнопку .

В группе Компоненты выделены те компоненты, с которымисогласно лицензии работает Антивирус.

Пункт Лицензионное соглашение открывает файл с текстомлицензии.

Кнопка Зарегистрировать лицензию запускает процедурурегистрации пользователя для получения ключевого файла ссервера компании ООО "Доктор Веб".



Сканер для Windows

Общие сведения

По умолчанию Сканер производит антивирусное сканированиевсех файлов с использованием как вирусных баз, так иэвристического анализатора (алгоритма, позволяющего с большойвероятностью обнаруживать неизвестные программе вирусы наоснове общих принципов их создания). Исполняемые файлы,упакованные специальными упаковщиками, при проверкераспаковываются, проверяются файлы в архивах всех основныхраспространенных типов (ZIP, ARJ, LHA, RAR и многих других),файловых контейнерах (PowerPoint, RTF и других), а также файлыв составе писем в почтовых ящиках почтовых программ (форматписем должен соответствовать RFC822).

Версия Dr.Web для рабочих станций в случае обнаруженияизвестного вируса или при подозрении на зараженность объектавирусом по умолчанию выводит пользователю сообщения об этомв специальном поле отчета в нижней части главного окна(рис. 16). Dr.Web для серверов по умолчанию предпринимаетавтоматические действия по предотвращению вирусной угрозы,см. Настраиваемые параметры программы.



Запуск Сканера

Сканер устанавливается как обычное приложение Windows изапускается по команде пользователя (или по команде Планировщика, см. Планировщик для Windows).

Запуск Сканера

При работе под управлением Microsoft® Windows® Vista® рекомендуется запускать сканер от именипользователя, обладающего правами администратора. Впротивном случае те файлы и папки, к которымнепривилегированный пользователь не имеет доступа (втом числе и системные папки) не будут подвергнутыпроверке.

1. Для запуска Сканера используйте одно из следующихсредств:

значок Сканера на Рабочем столе;



пункт Сканер контекстного меню значка SpIDer Agent(см. Модуль управления SpIDer Agent);

пункт меню Сканер Dr.Web в папке Dr.Web Главногоменю ОС Windows (открывается по кнопке Пуск);

специальную команду операционной системы Windows(подробнее см. п. Сканирование в режиме команднойстроки).

Чтобы запустить Сканер с настройками по умолчанию дляпроверки какого-либо файла или каталога, воспользуйтесьодним из следующих способов:

выберите в контекстном меню значка файла иликаталога (на Рабочем столе или в Проводникеоперационной системы Windows) пункт Проверить Dr.Web;

перетащите значок файла или каталога на значок илиоткрытое Главное окно Сканера.

2. После запуска программы открывается ее главное окно.

Если вы запустили Сканер на проверку файла иликаталога, то после этого начинается сканированиевыбранного объекта начнется немедленно. В противномслучае, при настройках по умолчанию, немедленно после



запуска программы производится антивирусноесканирование оперативной памяти и файлов автозапускаWindows. Сканирование остальных объектов файловойсистемы производится по запросу пользователя.

3. На выбор предоставляется три возможных режимапроверки: Быстрая, Полная и Выборочно. Вцентральной части окна в зависимости от выбранногорежима отображается информация о проверяемыхобъектах, либо файловая система, представленная в видеиерархического дерева (в случае выборочной проверки).

Во время быстрой проверки проверяются:

оперативная память,

загрузочные секторы всех дисков,

объекты автозапуска,

корневой каталог загрузочного диска,

корневой каталог диска установки Windows,

системный каталог Windows,

папка Мои Документы,

временный каталог системы,

временный каталог пользователя.

В режиме полной проверки производится полноесканирование всех жестких дисков и сменных носителей(включая загрузочные секторы).

В режиме выборочной проверки пользователюпредоставляет возможность выбирать любые файлы и папкидля антивирусной проверки.

4. Если вы выбрали выборочный режим проверки, виерархическом списке выберите объекты для проверки. Вслучае полной или быстрой проверки выбирать объекты нетребуется. На рисунке изображена ситуация, в которойвыбран для сканирования весь логический диск C и одна изпапок на диске Е.



По умолчанию наряду с выбранными объектами такжебудут проверяться подкаталоги всех выбранныхкаталогов и логических дисков, а также загрузочныесекторы всех логических дисков, на которых выбран хотябы один каталог или файл, а также главные загрузочныесекторы соответствующих физических дисков.

5. Для того чтобы приступить к сканированию, нажмите на

кнопку Пуск в правой части главного окна.

В случае запуска Сканера на портативном компьютере,работающем от батареи, появится предупреждение,информирующее вас об оставшемся заряде батареи. Выможете отключить проверку режима питания вашегоноутбука на вкладке Общие окна настроек Сканера.Подробнее об изменении остальных настроек программысм. Настраиваемые параметры программы.



6. После начала сканирования в правой части окна

становятся доступными кнопки Пауза и Стоп .На любом этапе проверки вы можете сделать следующее:

Чтобы чтобы приостановить проверку, нажмите кнопку

Пауза . Для того чтобы возобновить проверку

после паузы, снова нажмите кнопку Старт .

Чтобы полностью остановить проверку, нажмите кнопку

Стоп .

Действия при обнаружении вирусов

По умолчанию Dr.Web для рабочих станций лишьинформирует пользователя обо всех зараженных иподозрительных объектах. Вы можете использовать программудля того, чтобы попытаться восстановить функциональностьзараженного объекта (вылечить его), а при невозможности –чтобы ликвидировать исходящую от него угрозу (удалитьобъект).

1. Выберите один или несколько зараженных объектов. Выможете указать действие сразу для всех или несколькихобъектов в списке отчета. Чтобы выделить все объекты,нажмите на кнопку Выделить все.

Для выделения объектов в списке отчета вы можетеиспользоваться следующие клавиши и комбинации клавиш:

INSERT – выделить объект с перемещением курсора наследующую позицию;

CTRL+A – выделить все;

клавиша умножения (*) на цифровой клавиатуре –отменить выделение.

2. Щелкните правой клавишей мыши по одной из выбранныхстрок отчета. В открывшемся контекстном меню выберите



действие, которое вы хотите предпринять. Также выможете воспользоваться одной из соответствующихкнопок, расположенных непосредственно под полемотчета.

3. При выборе варианта Вылечить необходимо такжевыбрать действие, которое будет предпринято в случаеневозможности лечения.

Переименование производится путем замены расширенияфайла, по умолчанию первый символ расширениязаменяется на символ #.

Перемещение производится в каталог, заданный внастройках программы, по умолчанию это подкаталогкаталога установки программы с названием infected.!!!.

Существую следующие ограничения на возможныедействия:

лечение подозрительных объектов невозможно;

перемещение, переименование или удаление объектов,не являющихся файлами (загрузочных секторов),невозможно;



любые действия для отдельных файлов внутри архивов,контейнеров или в составе писем невозможны -действие в таких случае применяется только ко всемуобъекту целиком.

Подозрительные файлы, перемещенные в карантин,рекомендуется передавать для дальнейшего анализав антивирусную лабораторию ООО "Доктор Веб",используя специальную форму на веб-сайте http://vms.drweb.com/sendvirus/.

По умолчанию при выборе действия Удалить дляфайловых архивов, контейнеров или почтовыхящиков программа выдает предупреждение овозможной потере данных.

4. После выполнения выбранного вами действия антивирусдобавляет в колонку Действие поля отчета сообщение орезультате операции.

В некоторых случаях, выбранное вами действие не можетбыть выполнено немедленно. В этом случае в поле отчета Сканера в колонке Действие появляется запись Будетизлечен после рестарта, Будет удален послерестарта и т. п. в зависимости от выбранного действия.Указанное действие будет реально выполнено только послеперезагрузки компьютера, т. е. это будет отложенноедействие. Поэтому при обнаружении таких объектоврекомендуется провести перезагрузку системы сразу послеокончания сканирования. При необходимости вы можетенастроить автоматическую перезагрузку ОС для завершениялечения (см. Настраиваемые параметры программы).

Подробный отчет о работе программы сохраняется в виде файлаотчета. По умолчанию он размещается в следующих папках:

в операционных системах Microsoft Windows 95, MicrosoftWindows 98 и Microsoft Windows Me - в папке установкипрограммы;

http://vms.drweb.com/sendvirus/.

http://vms.drweb.com/sendvirus/.



в операционных системах Microsoft Windows NT, MicrosoftWindows 2000, Windows XP, Microsoft Windows Server 2003 иWindows Vista - в подпапке DoctorWeb, расположенной впапке профиля пользователя %USERPROFILE% и

именуется drweb32w.log.

Просмотр отчетов

Чтобы просмотреть отчеты компонентов антивирусного комплекса,выберите подпапку Отчеты в папке Dr.Web, расположенной вподменю Программы главного меню операционной системыWindows (доступно по нажатию кнопки Пуск).

Настройка параметров программы

При работе под управлением Microsoft® Windows® Vista® рекомендуется запускать сканер от именипользователя, обладающим правами администратора.В противном случае пользовательские настройки небудут сохранены при выходе из системы.

Настройки программы по умолчанию являютсяоптимальными для большинства применений, их неследует изменять без необходимости.

Для того чтобы изменить настройки программы:

1. Выберите в главном меню программы пункт Настройки,после чего в открывшемся подменю выберите пункт Изменить настройки. Откроется окно настроек,содержащее несколько вкладок.



2. Внесите необходимые изменения. При необходимостинажимайте на кнопку Применить перед переходом надругую вкладку.

3. Для более подробной информации о настройках,задаваемых на каждой вкладке, воспользуйтесь кнопкой Справка. Для большинства настроек, задаваемых навкладках окна, имеется также отдельная подсказка,вызываемая при помощи щелчка правой клавишей мышипо соответствующему элементу интерфейса.

4. По окончании редактирования настроек нажмите накнопку ОК для сохранения внесенных изменений или накнопку Отмена для отказа от них.

Ниже описываются часто используемые случаи изменениянастроек по умолчанию.

Настройки по умолчанию Dr.Web для рабочих станцийявляются оптимальными для режима, в котором сканированиепроизводится по запросу пользователя. Программа производитнаиболее полное и подробное сканирование выбранных объектов,информируя пользователя обо всех зараженных илиподозрительных объектах и предоставляя ему назначать действияпрограммы по отношению к ним. Исключением являются объекты,содержащие программы-шутки, потенциально опасные программы



и программы взлома: по умолчанию они игнорируются.

Однако когда сканирование производится без участияпользователя, оптимальны настройки, обеспечивающие автоматическую реакцию программы на обнаружениезараженных объектов.

Dr.Web для серверов по умолчанию автоматическипредпринимает действия по предотвращению вирусной угрозы.

Для того чтобы настроить реакцию программы наобнаружение зараженных объектов:

1. Перейдите в окне настроек на вкладку Действия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта.

Оптимальным для автоматического режима являетсязначение Вылечить. Именно это значение установленопо умолчанию в версии Dr.Web для серверов.

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимого



объекта. Это действие аналогично рассмотренному впредыдущем пункте, с той разницей, что вариант Вылечить отсутствует.

В большинстве случаев оптимальным является вариант Переместить. Именно это значение установлено поумолчанию в версии Dr.Web для серверов.

4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружениеподозрительного объекта (полностью аналогичнопредыдущему пункту).

При использовании Dr.Web для рабочих станцийрекомендуется сохранить настройку Информировать.При использовании Dr.Web для сервероврекомендуется сохранить используемое по умолчаниюзначение Переместить.

5. Аналогично настраивается реакция программы наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.

6. Аналогично настраиваются автоматические действияпрограммы при обнаружении вирусов или подозрительногокода в файловых архивах, контейнерах и почтовых ящиках.Действия по отношению к вышеуказанным объектамвыполняются над всем объектом, а не только надзараженной его частью. В Dr.Web для рабочих станцийпо умолчанию во всех этих случаях предусмотреноинформирование. В Dr.Web для серверов по умолчаниюво всех этих случаях предусмотрено перемещение.

7. Снимите флаг Запрос подтверждения, чтобы программавыполняла предписанное действие без предварительногозапроса.

8. В случаях, когда в качестве реакции программы заданопереименование, программа по умолчанию заменяетпервый символ расширения имени файла на #. При

необходимости вы можете изменить маску переименования



расширения файла. Для этого введите нужное значениемаски переименования в поле ввода Переименоватьрасширение.

9. В случаях, когда в качестве реакции программы заданоперемещение, программа по умолчанию перемещает файлв подкаталог infected.!!! каталога установки

программы. При необходимости вы можете задать другоеимя каталога в поле ввода Путь для перемещения.

10. Для успешного завершения лечения некоторых зараженных(инфицированных) файлов требуется перезагрузкаоперационной системы. Параметры перезагрузки системывы можете настроить в окне Настройки лечения.Откройте это окно, нажав на кнопку Дополнительно,расположенную в правом нижнем углу вкладки.

На вкладке Отчет вы можете настроить параметры ведения файлаотчета.

Большинство параметров, заданных по умолчанию, следуетсохранить, однако по мере накопления опыта работы с отчетом выможете изменить степень детальности протоколирования событий(в отчет всегда включаются сведения о зараженных иподозрительных объектах; сведения о проверке упакованныхфайлов и архивов и сведения об успешной проверке остальных



файлов по умолчанию не включаются).

Вы можете предписать программе отображать в отчете сведения опроверке всех файлов, независимо от исхода – для этогоустановите флаг Проверяемые объекты (это значительноувеличит объем отчета).

Вы можете предписать программе отображать имена архиваторов(установите флаг Имена архиваторов) или упаковщиковисполняемых файлов (установите флаг Имена упаковщиков).

Вы можете отменить установленное по умолчанию ограничениемаксимального размера файла отчета (снимите флаг Предельный размер) или ввести собственное значение лимитадлины файла в поле ввода рядом с флагом.

Сканирование в режиме командной строки

Вы можете запускать программу Dr.Web Сканер для Windows врежиме командной строки. Такой способ позволяет задатьнастройки текущего сеанса сканирования и перечень сканируемыхобъектов в качестве параметров вызова. Именно в таком режимевозможен автоматический вызов Сканера по расписанию.

Синтаксис команды запуска следующий:

[<путь_к_программе>]drweb32w [<объекты>] [<ключи>]

Вместо программы Dr.Web Сканер для Windowsможет использоваться Dr.Web Консольный сканердля Windows. В этом случае вместо drweb32wнеобходимо набрать имя команды drwebwcl.

Аналогично вызывается Dr.Web Сканер для DOS(имя команды drweb386). При этом все имена

файлов и пути должны задаваться в формате,принятом в этой ОС (в частности, допускаются толькокороткие имена файлов). Данный компонент невключается в состав Dr.Web для серверов.



Список объектов сканирования может быть пуст или содержатьнесколько элементов, разделенных пробелами.

Наиболее распространенные варианты указания объектовсканирования приведены ниже:

* сканировать все жесткие диски;

C: – сканировать диск C:;

D:\games – сканировать файлы в каталоге;

C:\games\* – сканировать все файлы и подкаталоги

каталога C:\games.

Параметры – ключи командной строки, которые задают настройкипрограммы. При их отсутствии сканирование выполняется с ранеесохраненными настройками (или настройками по умолчанию, есливы не меняли их).

Каждый параметр этого типа начинается с символа /, ключи

разделяются пробелами.

Ниже приведено несколько наиболее часто используемых ключей.Полный их список содержится в Приложении B.

/cu – лечить инфицированные объекты.

/icm – перемещать неизлечимые файлы (в каталог по

умолчанию), /icr – переименовывать (по умолчанию).

/qu – закрыть окно Сканера по окончании сеанса.

/go – не выдавать никаких запросов.

Последние два параметра особенно полезны при автоматическомзапуске Сканера (например, по расписанию).



Консольная версия сканера для Windows поумолчанию использует те же настройки, что и GUI-версия Сканера. Параметры, заданные средствамиграфического интерфейса Сканера (см. п. Настройкапараметров программы), используются также присканировании в режиме командной строки, если иныезначения параметров не были заданы в виде ключей.Некоторые настройки Сканера могут задаваться тольков конфигурационном файле программы. Подробнее см. Приложение C.



SpIDer Guard для Windows


На компьютер устанавливается одна из двух версий сторожа, взависимости от используемой ОС:

SpIDer Guard для Windows 95/98/Me (далее краткоименуемый SpIDer Guard Me),

SpIDer Guard для Windows NT/2000/XP/2003/Vista/2008 (далее кратко именуемый SpIDer Guard XP).

По умолчанию сторож запускается автоматически при каждойзагрузке операционной системы, при этом запущенный сторож SpIDer Guard Me не может быть выгружен в течение текущегосеанса работы операционной системы (о выгрузке SpIDer GuardXP см. п. Настройка режима запуска SpIDer Guard). Принеобходимости приостановить на некоторое время работу сторожа(например, при выполнении критически чувствительного кзагрузке процессора задания в реальном масштабе времени) вслучае использования SpIDer Guard XP выберите в меню SpIDerGuard контекстного меню модуля управления пункт Отключить.В случае использования SpIDer Guard Me следует отменитьнастройку автоматического запуска сторожа (это действиеописывается ниже – см. п. Настройка режима запуска SpIDer Guard) и после этого перезагрузить компьютер.

При работе под управлением Microsoft® Windows® NT/2000/XP/2003/Vista®/2008 временное отключениемониторинга доступно только пользователю,обладающему правами администратора.

При настройках по умолчанию сторож "на лету" проверяет нажестком диске – только создаваемые или изменяемые файлы, насменных носителях и сетевых дисках – все открываемые файлы,при этом каждый файл проверяет аналогично Сканеру, однако сболее "мягкими" условиями проверки. Кроме того, сторож



постоянно отслеживает действия запущенных процессов,характерные для вирусов, и при их обнаружении блокируетпроцессы с выводом соответствующего сообщения пользователю.

По умолчанию, сторож в пакете Dr.Web для рабочих станций,как и Сканер, только информирует пользователя об обнаружениизараженных объектов и предлагает ему принять решение овозможных действиях. Dr.Web для серверов Windows в случаеобнаружения известного вируса или при подозрении назараженность объекта вирусом по умолчанию предпринимаетавтоматические действия по предотвращению вирусной угрозы.

При работе под управлением Microsoft® Windows® Vista® доступ к Панели управления и вкладкам настроекSpIDer Guard возможен только для пользователя,обладающего правами администратора.

Соответствующим изменением настроек вы можете задатьавтоматическую реакцию программы на вирусные события; в этомслучае работа сторожа будет происходить в автономном режиме.Пользователь сможет следить за ней с помощью окна статистики(об этом окне см. ниже) и файла отчета.

Управление сторожем SpIDer Guard

В меню SpIDer Guard контекстного меню значка модуляуправления (только для SpIDer Guard XP) сосредоточеныосновные средства настройки и управления сторожем.(Аналогичное контекстное меню для SpIDer Guard Meпоявляется над значком самого сторожа, расположенным вобласти уведомлений Windows).

Пункт Статистика открывает окно, содержащее сведения о



работе сторожа в течение текущего сеанса (количествопроверенных, зараженных и подозрительных объектов,предпринятые действия и др.).

Пункт Настройки открывает доступ к основной частинастраиваемых параметров программы (подробнее см. п. Основные настройки сторожа).

При работе под управлением ОС Windows® Vista®доступ к вкладкам настроек SpIDer Guard возможентолько для пользователя, обладающего правамиадминистратора.

Пункт Управление (только для SpIDer Guard XP) позволяетоткрыть окно Панели управления SpIDer Guard XP (доступнотолько пользователю, имеющему права администратора данногокомпьютера).

Пункт Отключить (только для SpIDer Guard XP) позволяетвременно отключить большинство функций программы (доступнотолько пользователю, имеющему права администратора данногокомпьютера).

При установке SpIDer Guard XP на Панели управления ОСWindows создается элемент Dr.Web Anti-virus, в которомсосредоточены настройки, специфичные для программы в среде Microsoft® Windows® . Эти настройки доступны толькопользователю, имеющему права администратора данногокомпьютера; в частности, он может разрешить отображениезначка сторожа в области уведомлений ОС Windows.

В случае использования SpIDer Guard XP при наведении курсорамыши на значок появляется всплывающая подсказка состатистикой SpIDer Guard, информацией о версиях модулейАнтивируса, датой последнего обновления антивируса иколичеством записей в вирусных базах. Также над значком, суказанной в настройках периодичностью, может появлятьсявсплывающая подсказка-предупреждение о произошедшихсобытиях. Настройка всплывающих подсказок производится навкладке настроек Напоминания.



Для того чтобы отображать значок SpIDer Guard XP вобласти уведомлений, администратору ПК следуетвыполнить следующие действия:

1. Воспользуйтесь одним из следующих способов, чтобыоткрыть окно элемента SpIDer Guard XP на Панелиуправления ОС Windows:

выберите в Главном меню ОС Windows (вызывается покнопке Пуск) пункт Панель управления (в некоторыхслучаях он находится в подменю Настройка). Воткрывшемся окне Панели управления ОС Windowsдважды щелкните по элементу Dr.Web Anti-virus;

или выберите пункт Управление в меню пунктаSpIDer Guard контекстного меню SpIDer Agent.

2. В открывшемся окне перейдите на вкладку Параметры(рис. 24).

3. Для того чтобы разрешить отображение значка сторожа,установите флаг Отображать значок SpIDer Guard вобласти уведомлений; для того чтобы запретитьотображение значка, снимите этот флаг.

4. Нажмите на кнопку ОК.



Настройка режима запуска SpIDer Guard

После установки Dr.Web, согласно стандартным настройкам,загрузка сторожа производится автоматически сразу после запускаоперационной системы. Если необходимо, вы можете отменитьрежим автоматической загрузки SpIDer Guard.

Для того чтобы отменить режим автоматическогозапуска SpIDer Guard XP:

1. Перейдите на вкладку Управление окна элементаПанели управления SpIDer Guard XP.



2. В группе кнопок выбора Режим загрузки выберитеРучной режим.


При последующих запусках программа не будет запускатьсяавтоматически. При необходимости ее можно будет запуститьвручную, для чего следует нажать в вышеописанном окне накнопку Загрузить. SpIDer Guard XP можно остановить нажатиемна кнопку Выгрузить.

Версия сторожа SpIDer Guard Me всегда устанавливается врежиме автозапуска, однако этот режим также можно отменить.

Для этого:

1. В контекстном меню значка сторожа в Панели задачвыберите пункт Настройки. Откроется окно настроекпрограммы на вкладке Проверка.



2. Удалите флаг Автозагрузка программы.


При последующей загрузке операционной системы сторож уже небудет запускаться автоматически.

Для того чтобы запустить сторож SpIDer Guard Me вручную,выберите в Главном меню ОС Windows (вызывается по кнопкеПуск) пункт Программы, далее выберите пункт Dr.Web, воткрывшемся подменю выберите пункт SpIDer Guard. Послезапуска сторожа он автоматически переводится снова вавтоматический режим запуска.

Основные настройки сторожа

Основные настраиваемые параметры обеих версий сторожасосредоточены на вкладках окна Настройки SpIDer Guard Me(см. ниже) и SpIDer Guard XP (рис.ниже). Для того чтобыполучить справку о параметрах, задаваемых на какой-либовкладке, перейдите на эту вкладку и нажмите на кнопку Справка.Более детальные сведения о каком-либо параметре можнополучить, щелкнув правой клавишей мыши по соответствующемуэлементу интерфейса.



По окончании редактирования настроек нажмите на кнопку ОК,чтобы сохранить изменения, или на кнопку Отмена, чтобыотказаться от внесенных изменений.

Ниже описываются некоторые наиболее часто изменяемыенастройки программы.

По умолчанию установлено сканирование на жестких дисках –только создаваемых или изменяемых файлов, на сменныхносителях и сетевых дисках – всех открываемых файлов.

В режиме расширенной защиты (доступен только в SpIDerGuard XP) сторож проверяет все файлы, проверка которыхпредусмотрена настройками программы, немедленно, а остальныеоткрывающиеся файлы помещает в очередь отложенной проверки(файлы, открывающиеся на чтение при режимах Оптимальный иСоздание и запись). При наличии свободных ресурсов ПК этифайлы также будут проверены сторожем. Режим расширеннойзащиты по умолчанию выключен.

Вы можете включить данный режим. Для этого на вкладке Проверка окна Настройки снимите флаг Запретить режимрасширенной защиты.



Некоторые внешние накопители (в частности,мобильные винчестеры с интерфейсом USB) могутпредставляться в системе как жесткие диски. Поэтомутакие устройства следует использовать с особойосторожностью, проверяя на вирусы приподключении к компьютеру с помощьюантивирусного Сканера.

Отказ от проверки архивов в условиях постояннойработы сторожа не ведет к проникновению вирусовна ПК, а лишь откладывает момент их обнаружения.При распаковке зараженного архива (открытиизараженного письма) будет сделана попытка записатьинфицированный объект на диск, при этом сторож егонеминуемо обнаружит.

При использовании Dr.Web для рабочих станций дляпредположительно излечимых вирусов, неизлечимых вирусов иподозрительных объектов по умолчанию предусмотрена реакцияпрограммы информировать пользователя, которому предлагаетсяпринять решение о дальнейших действиях. При этом сторож



открывает окно с запросом о дальнейших действиях.

Версия сторожа, включенная в состав Dr.Web для серверов, поумолчанию предпринимает действия по устранениюобнаруженных вирусных угроз автоматически (подробнее см.ниже).

При обнаружении объекты, содержащие программы-шутки,потенциально опасные программы и программы взлома, поумолчанию игнорируются.

При обнаружении объектов, содержащих рекламные программы ипрограммы дозвона, реакция сторожа по умолчаниюпредусмотрена разная: для серверов – перемещение, для рабочихстанций – информирование пользователя.

Состав доступных реакций зависит от типа вирусного события.

Реакции Лечить, Переименовать, Переместить и Удалитьаналогичны таким же реакциям Сканера.

При нажатии на кнопку Запретить зараженный файл помечаетсяоперационной системой как недоступный.

При нажатии на кнопку Выключить (только для SpIDer GuardMe) делается попытка корректного завершения работыоперационной системы.

Вы можете изменить настройки сторожа, с тем чтобы онавтоматически производил необходимые действия с зараженнымиобъектами, не обращаясь к пользователю.



Чтобы изменить настройки сторожа в случаеиспользования SpIDer Guard Me:

1. В окне Настройки SpIDer Guard перейдите на вкладкуДействия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта (рекомендуется установитьдействие Вылечить).

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимого объекта(рекомендуется установить действие Переместить).Дальнейшие действия с перемещенными файламирассмотрены в п. Действия при обнаружении вирусов.

4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружениеподозрительного объекта. Рекомендуется установитьдействие Игнорировать или Переместить.

5. Аналогично настраивается реакция программы наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.




Чтобы изменить настройки сторожа в случаеиспользования SpIDer Guard XP:

1. В окне Настройки SpIDer Guard перейдите на вкладкуДействия.

2. Выберите в иерархическом списке в левой части окна Зараженные объекты. В правой верхней части окнаотобразится реакция программы на обнаружение объекта,зараженного известным вирусом. Указывается действие,предписанное текущими настройками, и альтернативноедействие, которое будет предпринято, если предписаннуюреакцию осуществить не удалось. В следующем шагеописывается, как изменить настройки первого действия;настройки альтернативного действия описаны в шаге 5.

3. Для того чтобы загрузить настройки действий приобнаружении данного типа объектов по умолчанию,нажмите на кнопку По умолчанию.В версии для рабочих станций, по умолчаниюпредусмотрено информирование для всехинфицированных, подозрительных и вредоносных объектов(кроме объектов, содержащих программы-шутки,потенциально опасные программы и программы взлома,



которые игнорируются). В версии для серверовпредусмотрено лечение для инфицированных объектов,игнорирование – для объектов, содержащих программы-шутки, потенциально опасные программы и программывзлома, и перемещение – для объектов, содержащихрекламные программы и программы дозвона, а также дляподозрительных объектов и инфицированных составныхобъектов.

4. Выберите в выпадающем списке Первое действиепервичную реакцию программы на обнаружениеинфицированного объекта. Нажмите на кнопку Изменить,чтобы предписать программе в дальнейшем использоватьвыбранную вами реакцию.

5. В области Что делать, если действие не удалосьнаходятся настройки альтернативного действия, котороебудет предпринято, если предписанную реакциюосуществить не удалось. Эти настройки задаются отдельнодля следующих возможных вариантов первого действия: лечение, перемещение в карантин, переименование, удаление. Вы можете выбрать действие, которое будетпредпринято при неудаче первого действия, всоответствующих выпадающих списках.

6. Аналогично настраивается реакция программы наобнаружение подозрительных объектов, зараженныхфайловых архивов, почтовых архивов и контейнеров, атакже объектов, содержащих рекламные программы,программы дозвона, программы-шутки, потенциальноопасные программы и программы взлома.

7. При необходимости задайте имя каталога дляперемещаемых файлов и путь к нему в поле Папка длякарантина.

8. При необходимости задайте маску для переименованиярасширения файла при выполнении операциипереименования.


На вкладке Отчет вы можете настроить параметры ведения файлаотчета (аналогично одноименной настройке Сканера).



SpIDer Mail для рабочих станцийWindows

Данный компонент не включается в состав Dr.Web длясерверов.


Почтовый сторож SpIDer Mail для рабочих станций Windowsпо умолчанию включается в состав устанавливаемых компонентов,постоянно находится в памяти и автоматически запускается призагрузке ОС Windows.

По умолчанию программа автоматически перехватывает всеобращения любых почтовых программ вашего компьютера к POP3-серверам по порту 110, к SMTP-серверам по 25, к IMAP4-серверампо порту 143 и к NNTP-серверам по порту 119.

Антивирусный почтовый сторож получает все входящие письмавместо почтового клиента и подвергает их антивирусномусканированию с максимальной степенью подробности. Приотсутствии вирусов или подозрительных объектов письмапередаются почтовой программе "прозрачным" образом – так, какесли бы они поступили непосредственно с сервера. Аналогичнопроверяются исходящие письма до отправки на сервер.

Реакция программы на инфицированные и подозрительныевходящие письма, а также письма, не прошедшие проверку(например, с чрезмерно сложной структурой), по умолчаниюследующая (об изменении этих настроек см. п. Основныенастройки почтового сторожа):

зараженные вирусом письма не доставляются, почтовойпрограмме передается сообщение об уничтожении письма,серверу – сообщение о приеме письма (это действиеназывается удалением письма);



письма с подозрительными объектами перемещаются в видеотдельных файлов в специальный каталог карантина,почтовой программе посылается сообщение об этом (этодействие называется перемещением письма);

письма, не прошедшие проверку, пропускаются, как инезараженные;

все удаленные или перемещенные письма также удаляютсяс POP3- или IMAP4-сервера.

Инфицированные или подозрительные исходящие письма непередаются на сервер, пользователя оповещают об отказеотправить письмо (как правило, почтовая программа при этом егосохранит).

При наличии на компьютере неизвестного вируса,распространяющегося через электронную почту, программа можетопределять признаки типичного для таких вирусов"поведения" (массовые рассылки). По умолчанию эта возможностьвключена.

Почтовый сторож предоставляет возможность проверки входящихписем на спам с помощью спам-фильтра Vade Retro. Поумолчанию эта возможность включена. (О настройках работыспам-фильтра см. п. Основные настройки почтового сторожа).

Функция проверки писем на спам доступна только в томслучае, если система Dr.Web работает с лицензией напрограммный пакет "Dr.Web Security Space 5.0".

Настройки программы по умолчанию являются оптимальными дляначинающего пользователя, обеспечивая максимальный уровеньзащиты при наименьшем вмешательстве пользователя. При этом,однако, блокируется ряд возможностей почтовых программ(например, направление письма по многим адресам может бытьвоспринято как рассылка, полученный спам не распознается), атакже утрачивается возможность получения полезнойинформации из автоматически уничтоженных писем (изнезараженной текстовой части). Более опытные пользователимогут изменить параметры сканирования почты и настройки



реакции программы на события.

В ряде случаев автоматический перехват POP3-, SMTP-, IMAP4- иNNTP-соединений невозможен; в таком случае программапредоставляет возможность настроить перехват соединенийвручную.

Сторож SpIDer Guard и Сканер также могут обнаруживатьвирусы в почтовых ящиках некоторых форматов, однако почтовыйсторож SpIDer Mail имеет перед этими программами рядпреимуществ:

далеко не все форматы почтовых ящиков популярныхпрограмм поддерживаются сторожем и Сканером;напротив, при использовании почтового сторожазараженные письма даже не попадают в почтовые ящики;

SpIDer Guard по умолчанию не проверяет почтовые ящики,при включении этой возможности производительностьсистемы значительно снижается;

Сканер проверяет почтовые ящики, но только по запросупользователя или по расписанию, а не в момент полученияпочты, причем данное действие является чрезвычайнотрудоемким и занимает значительное время.

Таким образом, при настройках всех компонентов по умолчаниюпочтовый сторож SpIDer Mail первым обнаруживает и недопускает на компьютер вирусы и подозрительные объекты,распространяющиеся по электронной почте. Его работа являетсявесьма экономичной с точки зрения расхода вычислительныхресурсов; остальные компоненты могут не использоваться дляпроверки почтовых файлов.

Управление почтовым сторожем SpIDer Mail

Управление компонентом SpIDer Mail осуществляется припомощи меню пункта SpIDer Mail, расположенного в контекстномменю значка модуля управления SpIDer Agent (см. Модульуправления SpIDer Agent). (Аналогичное контекстное меню дляSpIDer Mail, установленный на ПК под управлением Microsoft®



Windows® 95/98/Me появляется над значком самого сторожа,расположенным в области уведомлений Windows).

При выборе пункта Настройки открывается окно настроеккомпонента (см. п. Основные настройки почтового сторожа).

При работе под управлением Microsoft® Windows®Vista® изменение настроек и языка интерфейсаSpIDer Mail доступно только для пользователя,обладающего правами администратора.

При выборе пункта Статистика открывается окно с информациейо работе программы в текущем сеансе (количество проверенных,зараженных, подозрительных объектов и предпринятые действия).

Выберите Отключить чтобы остановить работу сторожа. Длятого чтобы запустить SpIDer Mail выберите пункт Включить.

Основные настройки почтового сторожа

При необходимости вы можете изменить настройки почтовогосторожа. Для этого откройте окно настроек, как было указановыше (см. п.Управление почтовым сторожем SpIDer Mail).

При редактировании настроек пользуйтесь системой помощипрограммы (общая справка по каждой вкладке вызывается принажатии на кнопку Справка; имеется также контекстнаяподсказка для отдельных элементов интерфейса).

По окончании редактирования настроек нажмите на кнопку ОК.

Большинство настроек по умолчанию являются оптимальными вбольшинстве случаев. Ниже описываются параметры, для которыхчаще всего возникает необходимость в настройках, отличных от



заданных по умолчанию.

Почтовый сторож по умолчанию не осуществляет проверкувходящих писем на спам. Для того чтобы входящаякорреспонденция проверялась спам-фильтром, на вкладке Проверка установите флаг в поле Проверять на наличиеспама.

Функция проверки писем на спам доступна только в томслучае, если система Dr.Web работает с лицензией напрограммный пакет "Dr.Web Security Space 5.0".

Изменение настроек спам-фильтра осуществляется в окне Настройки проверки писем на наличие спама SpIDer Mail®.



Для того чтобы открыть это окно нажмите кнопку Расширенные,расположенную на вкладке Проверка непосредственно подполем Проверять на наличие спама.

Ко всем проверенным письмам будут добавлятьсязаголовки:

X-DrWeb-SpamState: Yes/No. Значение Yesпоказывает, что письму присвоен статус спам, No — письмо,

по мнению SpIDer Mail, спамом не является.

X-DrWeb-SpamVersion: version. version – версия

библиотеки спам-фильтра Vade Retro.

Установка флага в поле Добавлять префикс к полюSubject писем, содержащих спам указывает почтовомусторожу SpIDer Mail добавлять специальный префикс к темамписем, распознаваемых как спам. Этот префикс задается вполе, расположенном под флагом. Добавление префиксапоможет вам создать правила для фильтрации почтовыхсообщений, помеченных как спам, в тех почтовых клиентах(например MS Outlook Express), в которых невозможно настроить фильтры по заголовкам писем.



Если для получения почтовых сообщений вы используетепротоколы IMAP/NNTP – настройте вашу почтовуюпрограмму таким образом, чтобы письма загружались спочтового сервера сразу целиком, без предварительногопросмотра заголовков. Это необходимо для корректнойработы спам-фильтра.

Флаг, установленный в поле Разрешать текст на кириллицеуказывает спам-фильтру не причислять письма, написанные сустановленной кириллической кодировкой, к спаму безпредварительного анализа. Если флаг снят, то такие письма сбольшой вероятностью будут отмечены фильтром как спам.

Установка и снятие флага Разрешать текст на китайском/японском/корейском языках работает аналогично.

Поля Белый список и Черный список содержат "черные" и"белые" списки адресов отправителей почтовых сообщений.

Если адрес отправителя добавлен в "белый" список, письмоне подвергается анализу на содержание спама. Однако еслидоменное имя адресов получателя и отправителя письмасовпадают, и это доменное имя занесено в белый список сиспользованием знака "*", то письмо подвергается проверке

на спам.

Если адрес отправителя добавлен в "черный" список, письмубез дополнительного анализа присваивается статус спама.

Данные поля следует заполнять последовательно, разделяяразные почтовые адреса с помощью знака ";". Допускается

использование знака "*" вместо части адреса. (Например, запись

вида *@domain.org означает все адреса с доменным именем

domain.org).



Если какие-либо письма неправильно распознаютсяспам-фильтром, следует отправлять их на специальныепочтовые адреса, для анализа и повышения качестваработы фильтра. Письма, ошибочно оцененные как спам,отправляйте на адрес [email protected], а спам, нераспознанный системой - на адрес [email protected].Все сообщения следует пересылать только в видевложения (а не в теле письма).

По умолчанию почтовый сторож обнаруживает, наряду списьмами, содержащими инфицированные файлы, письма,содержащие другие разновидности нежелательных программ:

рекламные программы,

программы дозвона.

Почтовый сторож также может обнаруживать следующие видынежелательных программ:

потенциально опасные программы,

программы взлома,

программы-шутки.

Для того чтобы изменить состав обнаруживаемых нежелательныхпрограмм, на вкладке Проверка (см. выше) в поле Проверятьна установите флаги у наименований типов нежелательныхпрограмм, которые необходимо обнаруживать, и удалите флаги унаименований типов программ, которые не надо обнаруживать.

Реакция почтового сторожа на обнаружениенежелательных программ совпадает с реакцией наобнаружение инфицированных писем (см. ниже).

Настройки реакции программы на обнаружение вирусных объектовво входящей почте сосредоточены на вкладке Действия.

mailto:[email protected]

mailto:[email protected]



По умолчанию для инфицированных писем (содержащихизвестный программе вирусный код) предусмотрено удаление,т. е. отказ от получения письма (как правило, письмо такжеуничтожается на POP3/IMAP4-сервере). Опытные пользователимогут выбрать в списке Инфицированные письма реакцию Вкарантин. В этом случае письма будут помещаться вспециальный каталог (карантин) для дальнейшего исследования.

Пользователи, убежденные в том, что "подозрительные" письма,получаемые ими, на самом деле не содержат вирусов, могутвыбрать в списке Подозрительные письма реакциюПропускать.

Защиту от подозрительных писем можно отключатьтолько в том случае, когда ПК дополнительно защищенпостоянно загруженным сторожем SpIDer Guard.

Вы можете увеличить надежность антивирусной защиты посравнению с уровнем, предусмотренным по умолчанию, выбрав всписке Непроверенные письма пункт В карантин. Файлы сперемещенными письмами в этом случае рекомендуетсяпроверить Сканером.

Опытные пользователи могут также отказаться от режима, вкотором удаленные или перемещенные программой письма также



немедленно удаляются на POP3/IMAP4-сервере, удаляя такиеписьма вручную или с использованием более гибких настроекпочтовой программы. Для этого снимите флаг Удалятьмодифицированные письма на сервере.

По умолчанию сторож автоматически перехватывает почтовыйтрафик всех пользовательских приложений на вашем компьютере.Отключить проверку почтового трафика некоторых программ выможете на вкладке Исключаемые приложения. Для этогодобавьте необходимое приложение в список исключений.

Управление перехватом соединений с почтовыми серверамисосредоточено на вкладке Перехват.

По умолчанию, перехват производится автоматически. Списокперехватываемых адресов находится в дополнительном окне, дляоткрытия которого нажмите на кнопку Параметры.



По умолчанию, список автоматически перехватываемыхобращений включает все IP-адреса (задано при помощи символа *) и портов 143 (стандартный для IMAP4-протокола), 119(стандартный для NNTP-протокола), 110 (стандартный для POP3-протокола) и 25 (стандартный для SMTP-протокола).

Для того чтобы удалить какой-либо элемент из списка, выберитеего в списке и нажмите на кнопку Удалить.

Для того чтобы добавить какой-либо сервер или группу серверов всписок, введите его адрес (доменное имя или IP-адрес) в поле Адрес, а номер порта, к которому происходит обращение, в полеПорт, и нажмите на кнопку Добавить.

Адрес localhost не перехватывается при указании

символа *. Данный адрес при необходимости следует

указывать в списке перехвата в явном виде.

Если автоматический перехват невозможен (программа сообщаетоб этом, если флаг Проверять перехват соединений пристарте установлен), требуется задавать перехват вручную.

Для того, чтобы настроить перехват вручную:

1. В приведенном выше окне выбора способа перехвата (см. выше) выберите вариант Ручная настройка соединенийи нажмите на кнопку Параметры. Откроется окнонастройки соединений в ручном режиме.



2. Составьте список ресурсов (POP3/SMTP/IMAP4/NNTP-серверов), обращения к которым предполагаетсяперехватывать. Перенумеруйте их без пропусков, начиная счисла 7000. Эти номера далее будут именоваться портами SpIDer Mail.

3. Для каждого из ресурсов введите в поле Порт SpIDer Mailприсвоенный ему номер, в поле Адрес сервера – доменноеимя сервера, либо его IP-адрес, в поле Порт сервера –номер порта, к которому происходит обращение, и нажмитена кнопку Добавить.

4. Повторите эти действия для каждого ресурса.


В настройках почтового клиента вместо адреса и портаPOP3/SMTP/IMAP4/NNTP-сервера укажите адрес localhost:<порт_SpIDer_Mail>, где

<порт_SpIDer_Mail> – порт, назначенныйсоответствующему POP3/SMTP/IMAP4/NNTP-серверу.



SpIDer Gate Dr.Web


Данный компонент не включается в состав Dr.Webдля Windows Server.

SpIDer Gate - антивирусный HTTP-сторож. При настройках поумолчанию SpIDer Gate автоматически проверяет входящий иисходящий HTTP-трафик и блокирует передачу объектов,содержащих вредоносные программы. Через протокол HTTPработают веб-обозреватели (браузеры), менеджеры загрузки имногие другие приложения, обменивающиеся данными с веб-серверами, т.е. работающие с сетью Интернет.

С помощью изменения настроек SpIDer Gate (см. НастройкаSpIDer Gate) вы можете отключить проверку исходящего иливходящего трафика, а также сформировать список техприложений, HTTP-трафик которых будет проверяться в любомслучае и в полном объеме. Также существует возможностьисключения из проверки трафика отдельных приложений.

При базовых настройках SpIDer Gate блокирует любую передачуобъектов, содержащих вредоносные программ.

Программа постоянно находится в оперативной памятикомпьютера и автоматически перезапускается при загрузкеWindows. Вы можете изменить режим автоматического запускапрограммы, сняв соответствующий флажок.






SpIDer Gate - антивирусный HTTP-сторож. При настройках поумолчанию SpIDer Gate автоматически проверяет входящий иисходящий HTTP-трафик и блокирует передачу объектов,содержащих вредоносные программы. Через протокол HTTPработают веб-обозреватели (браузеры), менеджеры загрузки имногие другие приложения, обменивающиеся данными с веб-серверами, т.е. работающие с сетью Интернет.

С помощью изменения настроек SpIDer Gate (см. НастройкаSpIDer Gate) вы можете отключить проверку исходящего иливходящего трафика, а также сформировать список техприложений, HTTP-трафик которых будет проверяться в любомслучае и в полном объеме. Также существует возможностьисключения из проверки трафика отдельных приложений.

При базовых настройках SpIDer Gate блокирует любую передачуобъектов, содержащих вредоносные программ.

Программа постоянно находится в оперативной памятикомпьютера и автоматически перезапускается при загрузкеWindows. Вы можете изменить режим автоматического запускапрограммы, сняв соответствующий флажок.

Управление SpIDer Gate

Управление компонентом SpIDer Gate осуществляется припомощи меню пункта SpIDer Gate, расположенного вконтекстном меню значка модуля управления SpIDer Agent (см.



Модуль управления SpIDer Agent).

При выборе пункта Настройки откроется окно настроекпрограммы (см. Настройка SpIDer Gate).

Доступ к изменению настроек модуля защищен паролем.

При выборе пункта Статистика откроется окно с информацией оработе программы в текущем сеансе.

Пункт Отключить/Включить позволяет запустить/остановитьработу SpIDer Gate.

Настройка SpIDer Gate

Настройки программы по умолчанию являются оптимальными длябольшинства применений, их не следует изменять безнеобходимости.

При необходимости вы можете изменить настройкиHTTP-сторожа:

1. Выберите в меню SpIDer Gate (см. п.Управление SpIDer Gate)пункт Настройки. Откроется окно задания пароля

2. Введите ранее сохраненный пароль. Задание пароляпроизводится при вызове окна настроек модуля в первый раз.

Для того чтобы изменить пароль нажмите на кнопку ,расположенную в окне настроек.

3. Внесите необходимые изменения на вкладках настроек.

4. Для того чтобы получить информацию о настройках,



расположенных на вкладке, нажмите на кнопку .

5. Нажмите на кнопку Применить для немедленного сохранениявнесенных изменений.

6. По окончании редактирования настроек нажмите на кнопку OK.

По умолчанию SpIDer Gate проверяет трафик обоихнаправлений, входящий и исходящий. На вкладке Фильтрприложений производится настройка параметров проверкиHTTP-трафика.

SpIDer Gate производит проверку того HTTP-трафика, которыйпроходит через порты указанные в верхней части вкладки. Поумолчанию проверяются 80, 8080 и 3128 HTTP порты; данныепорты чаще всего используются приложениями для передачиинформации по протоколу HTTP. Если вы знаете, что какое-либоприложение, установленное на вашем компьютере, используетиной порт для HTTP-трафика, то добавьте данный порт в список Порты HTTP.

Добавьте в список Приложения, проверяемые по всемпортам те программы, сетевую активность которых следуетпроверять с особенной тщательностью. Такими программами



могут считаться веб-обозреватели, менеджеры загрузок, а такженовые установленные программы.

Добавьте в список Приложения, исключенные из проверките программы, сетевую активность которых SpIDer Gateконтролировать не должен. Исключать из проверки следуеттолько те приложения, действиям и защищенности которых выполностью доверяете.

Для того чтобы добавить приложение в список, нажмите на

кнопку и выберите приложение в стандартном окнеоперационной системы.

Для того чтобы удалить приложение из списка, выберите его в

этом списке и нажмите на кнопку .

Для того чтобы подробнее ознакомиться с какой-либо настройкой,задаваемой на этой вкладке, щелкните по соответствующемуфрагменту окна на рисунке.



Модуль Родительского контроля




С помощью модуля Родительского контроля осуществляетсяограничение доступа пользователя к ресурсам, содержащимся каклокально, на самом ПК, так и в сети.

Ограничение доступа к ресурсам локальной файловой системыпозволяет сохранить целостность важных файлов и защитить ихот заражения вирусами, а также сохранит необходимуюконфиденциальность данных. Существует возможность защиты,как отдельных файлов, так и папок целиком, расположенных какна локальных дисках, так и на внешних носителях информации.Также можно наложить полный запрет на просмотр информациисо всех внешних носителей.

Контроль доступа к интернет-ресурсам позволяет, как оградитьпользователя от просмотров нежелательных веб-сайтов (сайтов,посвященных насилию, азартным играм и т.п.) так и разрешитьпользователю доступ только к тем сайтам, которые определенынастройками модуля Родительского контроля.

Доступ к изменению настроек модуля Родительскогоконтроля защищен паролем.



Настройка параметров модуля

На вкладке Фильтр URL осуществляется настройка ограничениядоступа к ресурсам сети Интернет. Настройки вкладки Локальный доступ позволяют ограничить доступ как к ресурсамфайловой системы самого компьютера, так и ресурсам внешнихносителей.

Настройки программы по умолчанию являются оптимальными длябольшинства применений, их не следует изменять безнеобходимости.

Для того чтобы изменить настройки программы:

1. Выберите в контекстном меню модуля пункт Настройки.Откроется окно задания пароля.

2. Введите ранее сохраненный пароль. Задание пароляпроизводится при вызове настроек параметров модуля впервый раз. Для того чтобы изменить пароль нажмите на

кнопку , расположенную в окне настроек.

3. Внесите необходимые изменения на вкладках настроек.

4. Для того чтобы получить информацию о настройках,

расположенных на вкладке, нажмите на кнопку .

5. Нажмите на кнопку Применить для немедленногосохранения внесенных изменений.

6. По окончании редактирования настроек нажмите на кнопку OK.

Для того чтобы полностью ограничить доступ к сетиИнтернет установите флажок Локальная сеть навкладке настроек Локальный доступ.

Для того чтобы включить контроль доступа к веб-ресурсам:

1. Установите флажок Включить фильтр URL на вкладке



настроек Фильтр URL.

2. Внесите в список (см. ниже) Разрешенные адресадоменные адреса, доступ к которым разрешен всегда.

3. В группе Запрещенные адреса выберите группу адресов,доступ к которым будет заблокирован.

4. Для того чтобы ограничить доступ ко всем веб-ресурсам,кроме тех, что есть в списке Разрешенные адреса,выберите Все, кроме разрешенных адресов. Для тогочтобы включить фильтрацию веб-адресов на основетематических категорий или/и пользовательского спискавыберите Пользовательский список.

5. В списке Категории выберите категории блокируемых веб-сайтов.

6. В Пользовательский список (см. ниже) добавьтедоменные адреса, доступ к которым будет заблокирован.



Списки адресов веб-сайтов, относящихся ко всемтематическим категориям, регулярно обновляютсямодулем автоматического обновления вместе собновлением вирусных баз.

Для того чтобы создать список доменных адресов:

Введите в поле ввода доменное имя (часть доменногоимени).

Если вы хотите добавить в список определенный сайт,введите его полный адрес (прим.: www.example.com).Доступ ко всем ресурсам, расположенным на этом сайтебудет разрешен/запрещен.

Если вы хотите разрешить/запретить доступ к тем веб-сайтам, в адресе которых содержится определенныйтекст, введите в поле этот текст. (Прим.: example.Доступ к адресам example.com, example.test.com, test.com/example, test.example222.ru и т.п. будетзаблокирован/разрешен).

В том случае, когда введенная строка содержит символ".", данная строка будет рассматриваться как имя домена.Тогда все ресурсы, находящиеся на этом домене будутотфильтрованы. Если данная строка содержит и символ"/" (прим.: example.com/test), то та часть, что стоитслева от символа, будет считаться доменным именем, ачасти справа от символа - частью разрешенного/блокируемого на данном домене адреса (т.о. будутотфильтрованы такие адреса как example.com/test11,template.example.com/test22 и т.п.).

Нажмите на кнопку , расположенную справа. Адрес (частьадреса) будет добавлен в список, расположенный выше.

Введенная строка при добавлении в список может бытьпреобразована модулем к универсальному виду. (Прим.: http://www.example.com будет преобразована в www.example.com).

Для того чтобы удалить какой-либо ресурс из списка, выберите

его в этом списке и нажмите на кнопку .

http://www.example.com)

http://www.example.com





Планировщик для Windows

Данный компонент устанавливается на ПК, работающийпод управлением Microsoft® Windows® 95/98/Me. Дляуправления автоматическим запуском заданий наостальных операционных системах рекомендуетсяиспользовать Планировщик заданий (штатныйпланировщик ОС), в котором при установке Dr.Webавтоматически создаются задания на сканирование ПК иобновление программного комплекса.

В состав Dr.Web для Windows по умолчанию включаетсяутилита управления автоматическим запуском заданий – Планировщик для Windows. Эта программа являетсядополнительной, ее функции могут быть исполнены и другимипланировщиками заданий, привычными для вас. Однакорассматриваемая программа предназначена для управленияименно заданиями на сканирование и обновление антивирусногопрограммного комплекса и предоставляет дополнительныеудобства пользователю.

В контекстном меню значка сосредоточены основные средстванастройки и управления программы.

При выборе пункта Открыть открывается главное окноПланировщика (подробнее см. ниже).

Пункт Язык (Language) позволяет выбрать один изустановленных языков интерфейса программы.

Пункт Настройки повторяет одноименный пункт меню главногоокна и позволяет выполнить следующие действия:



отменить (восстановить) автозагрузку программы;

скрыть (показать) значок Планировщика в Панелизадач;

отменить (разрешить) ведение отчета.

По умолчанию программа постоянно загружена в память иактивна. Вы можете выгрузить ее из памяти, выбрав пункт меню Выгрузить.

Для того чтобы запустить Планировщик вручную:

1. Выберите в Главном меню ОС Windows (меню кнопкиПуск) пункт Программы.

2. В открывшемся меню выберите папку Dr.Web.

3. В открывшемся подменю выберите Планировщик.

Функции управления программой сосредоточены в ее главномокне. Для того чтобы открыть главное окно, дважды щелкните позначку программы в Панели задач или выберите в контекстномменю значка пункт Открыть.

Для того чтобы выгрузить программу из памяти, выберите в меню Файл пункт Выгрузить.

Для того чтобы отменить (восстановить) автозагрузку программы,в меню Настройки удалите (установите) пункт Автозагрузка



программы.

Для того чтобы скрыть (показать) значок Планировщика впанели задач, снимите (установите) флаг у пункта Показыватьзначок Планировщика в области уведомлений в менюНастройки.

Для того чтобы отменить (разрешить) ведение отчета, снимите(установите) флаг у пункта Вести файл отчета в менюНастройки.

Основные средства работы со списком заданий сосредоточены вменю Задание. Они полностью дублируются контекстным менюсписка заданий и кнопками в нижней части окна.

По умолчанию программа устанавливается со списком из двухзаданий:

ежечасное получение обновлений из Интернета, в режиме"критично" (подробнее см. ниже),

ежедневное, в 3 часа, сканирование с параметрами поумолчанию всех жестких дисков.

Второе задание имеет статус "заблокировано", запрещающий егофактическое выполнение.

Вы можете разблокировать задание, открыв его дляредактирования, как описано ниже.

Для того чтобы просмотреть и при необходимостиотредактировать задание:

1. Выполните одно из следующих действий:

дважды щелкните по строке задания;

выделив задание в списке, выберите в контекстномменю или в меню Задание пункт Изменить;

выделив задание в списке, нажмите на кнопку Изменить в нижней части окна.

Откроется окно редактирования задания.



2. Если задание заблокировано, вы можете разблокироватьего. Для этого установите флаг Разрешить. Параметрызадания станут доступными для редактирования.

Если вы не хотите, чтобы задание фактически выполнялось,но не хотите удалять его (например, планируетеиспользовать его позднее), вы аналогично можетезаблокировать активное задание.

3. При необходимости отредактируйте расписание запуска(при нажатии различных кнопок в поле Запуск вид окнабудет меняться).

4. Если хотите, чтобы задание выполнялось только приусловии наличия доступа в Интернет, установите флаг Запускать при интернет-соединении.

5. Если хотите, чтобы задание, время выполнения которогопропущено, было все же выполнено при первойвозможности, установите флаг Критично.

6. Если хотите, чтобы приложение по заданию Планировщика запускалось в свернутом виде, установитефлаг Запускать в свернутом виде.




Для того чтобы запустить задание немедленно, нажмите накнопку Запустить.

Опытные пользователи могут также редактировать параметры ипуть запускаемого задания.

Для того чтобы сформировать новое задание, в контекстном менюили в меню Задание выберите пункт Добавить или нажмите накнопку Добавить в нижней части главного окна. Откроется окноввода параметров нового задания, аналогичное рассмотренномувыше. Дальнейшие действия аналогичны действиям приредактировании задания.

Задания на сканирование иобновление

При установке Dr.Web на компьютер, работающий подуправлением Microsoft® Windows® NT(SP6a)/2000(SP4)/XP/2003/Vista/2008 в системном расписании (папка Назначенныезадания) автоматически создается задание на обновлениевирусных баз и других файлов пакета.

Для того чтобы просмотреть параметры этого задания, укажите вменю Программы на пункт Стандартные, далее выберитеСлужебные, далее выберите Назначенные задания.Откроется папка Назначенные задания. В этой папке дваждыщелкните по значку Automatic update of DrWeb. Откроетсяокно настройки задания.

На вкладке Задание указывается полное имя исполняемогофайла и параметры командной строки задания. Флаг Разрешенопредписывает выполнять настроенное задание (при снятом флагезадание сохраняется в папке, но не выполняется).



На вкладке Расписание задается расписание, в соответствии скоторым задание будет автоматически запускаться.



Нажмите на кнопку Дополнительно. Откроется окноДополнительные параметры расписания.

Вы также можете создавать собственные задания на обновление иантивирусное сканирование, а также удалять и редактироватьзадания. Подробнее о работе с системным расписанием см.справочную систему и документацию ОС Windows.



Глава 4. Автоматическоеобновление

Для современных компьютерных вирусов характерна огромнаяскорость распространения. В течение нескольких дней, а иногда ичасов, вновь появившийся вирус может заразить миллионыкомпьютеров по всему миру.

Разработчики антивирусного комплекса непрерывно пополняютвирусные базы новыми вирусными записями. После установкитаких дополнений антивирусный комплекс способен обнаруживатьновые вирусы, блокировать их распространение, а в ряде случаев – излечивать зараженные файлы.

Время от времени пополняются антивирусные алгоритмы,реализованные в виде исполняемых файлов и программныхбиблиотек комплекса. Благодаря опыту эксплуатации антивирусаисправляются обнаруженные в программах ошибки,совершенствуется система помощи и документация.

Для ускорения и облегчения получения и установки обновленийвирусных баз и других файлов служит специальный компонент –Dr.Web Модуль автоматического обновления для Windows.

Принцип работы модуляавтоматического обновления

Работа модуля обновления определяется структурой вирусных бази методикой обновления баз и комплекса в целом:

в состав программного комплекса входит основная вируснаябаза (файл drwebase.vdb) и ее расширения (файлы

drw50000.vdb и drw50001.vdb). Все вместе они

содержат вирусные записи, известные в момент выпускаданной версии программного комплекса (подробнее оверсии см. ниже);



раз в неделю выпускаются еженедельные дополнения –файлы с вирусными записями для обнаружения иобезвреживания вирусов, выявленных за время, прошедшеес выпуска предыдущего еженедельного обновления.Еженедельные дополнения представлены файлами,наименование которых выглядит так: drwXXXYY.vdb, где

XXX – номер текущей версии антивируса (без

разделительной точки), а YY – порядковый номер

еженедельного дополнения. Нумерация еженедельныхдополнений начинается с номера 02, т.е. первое дополнениебаз антивируса версии 5.0 названо drw50002.vdb;

по мере необходимости (обычно несколько раз в сутки)выпускаются горячие дополнения, содержащие вирусныезаписи для обнаружения и обезвреживания всех вирусов,выявленных после выхода последнего еженедельногодополнения. Эти дополнения выпускаются в виде файла сименем drwtoday.vdb. При получении очередного такого

файла предыдущий файл уничтожается. При установкеочередного еженедельного дополнения в него включаются,в частности, все вирусные записи из последнего файлагорячего дополнения, файл горячего дополнениязагружается с нулевым числом вирусных записей;

в состав программного комплекса входят дополнительныебазы вредоносных программ drwnasty.vdb и

drwrisky.vdb. Записи, предназначенные для

обнаружения рекламных программ и программ дозвона,включаются в состав вирусной базы drwnasty.vdb.

Записи для обнаружения программ-шуток, потенциальноопасных программ и программ несанкционированногодоступа включаются в состав вирусной базы drwrisky.vdb;

время от времени выпускаются кумулятивные дополнениябаз вредоносных программ. Горячие дополнения для этихбаз могут выпускаться значительно реже, чем для основнойвирусной базы;

также время от времени выпускаются файлы, содержащиеобновленные списки веб-сайтов, блокируемых модулемРодительского контроля;

независимо от дополнений вирусных баз, время от времени



выпускаются обновления прочих файлов;

время от времени выпускаются радикальные обновленияпрограмм антивирусной защиты. Данное действиеоформляется как издание новой версии антивируса. Приэтом все известные на данный момент вирусные записивключаются в состав новой главной вирусной базы. Приустановке новой версии удаляются старые вирусные базы.

Таким образом, например, после установки версии с номером 5.0 иполучения нескольких еженедельных обновлений структуравирусных баз будет следующей:

основная вирусная база drwebase.vdb,

расширения основной вирусной базы drw50000.vdb и

drw50001.vdb,

еженедельные дополнения (drw50002.vdb, drw50003.vdb и т. д.),

горячее дополнение drwtoday.vdb,

дополнительные базы вредоносных программ drwnasty.vdb и drwrisky.vdb,

кумулятивные дополнения баз вредоносных программ (dwn50001.vdb, dwn50002.vdb и т. д. и dwr50001.vdb, dwr50002.vdb и т. д.),

горячие дополнения баз вредоносных программ dwntoday.vdb и dwrtoday.vdb.

Для получения и установки дополнений вирусных баз иобновления в целом служит модуль автоматического обновления,описываемый ниже (см. п. Запуск модуля автоматическогообновления).



Для использования модуля автоматического обновлениянеобходимо иметь доступ в Интернет.

При работе с ОС Windows NT, ОС Windows 2000, ОСWindows XP, ОС Windows Vista обновление Dr.Webдолжно производиться при наличии у пользователяполномочий администратора.

Запуск модуля автоматическогообновления

Модуль автоматического обновления можнозапустить одним из следующих способов:

1. автоматически, по расписанию (см. п. Автоматическоесканирование и обновление),

2. в режиме командной строки вызовом исполняемого файла drwebupw.exe из каталога установки программы,

3. выбором пункта Обновление контекстного меню значкаSpIDer Agent;

4. нажатием на кнопку Обновить раскрывающегося менюФайл в главном в главном окне сканера;

При запуске модуля обновления программа проверяет наличиелицензионного ключевого файла в каталоге установки и при егоотсутствии пытается получить его через Интернет на сервере www.drweb.com (это действие рассмотрено в конце п. Получениеключевого файла). При отсутствии ключевого файлаавтоматическое обновление невозможно.

При наличии ключевого файла программа проверяет на сервере www.drweb.com, не является ли ключевой файл заблокированным(блокировка файла производится в случае его дискредитации,т. е. выявления фактов его незаконного распространения). Вслучае блокировки обновление не производится, компонентыпрограммного комплекса могут быть заблокированы;

http://www.drweb.com

http://www.drweb.com



пользователю выдается соответствующее сообщение.

В случае блокировки вашего ключевого файла свяжитесь сдилером, у которого вы приобрели антивирус.

После успешной проверки ключевого файла происходитобновление. Программа автоматически загружает всеобновленные файлы, соответствующие вашей версии антивируса,а если условия вашей подписки разрешают это, загружают новуюверсию программного комплекса (в случае ее выхода).

При обновлении исполняемых файлов и библиотекможет потребоваться перезагрузка ПК, о чемпользователю сообщается в соответствующеминформационном окне. Если изменения затрагивают саммодуль автоматического обновления, дополнительноможет потребоваться еще одна перезагрузка в ходеобновления.

Сканер может использовать обновленные базы приследующем после обновления запуске. Сторож иПочтовый сторож периодически проверяют состояниебаз и загружают обновленные базы автоматически.

При запуске модуля автоматического обновления Планировщиком или в режиме командной строки используютсяпараметры командной строки (см. Приложение B).



Приложения

Приложение A. Различия междуDr.Web для Windows и Dr.Webдля Windows Server

Состав компонентов и установка

В состав Dr.Web для серверов не включаютсяследующие компоненты:

Сканер для DOS,

почтовый сторож SpIDer Mail,

Планировщик для Windows.

Программа установки Dr.Web для серверов при режимеустановки с выбором компонентов (выборочная установка) непредлагает данные компоненты.

Настройки по умолчанию

Отличия настроек по умолчанию двух версий антивирусногокомплекса связаны с предполагаемым режимом использованияпрограммы: версия для серверов должна работать вавтоматическом режиме с периодическим контролем файловотчета, версия для рабочих станций управляется пользователем. Втабл. 2 сведены настройки по умолчанию, различающиеся длядвух версий антивируса. В первой колонке приводитсянаименование параметра с указанием компонента и наименованиепараметра конфигурационного файла, во второй колонке –значение параметра по умолчанию при использовании антивирусадля рабочих станций (словесное описание и значение параметра вконфигурационном файле), в третьей – те же сведения в случаеиспользования антивируса для серверов.



Таблица 2. Настройки по умолчанию двух версийантивирусного комплекса

Параметр Версиядлярабочихстанций

Версиядлясерверов

Сканер: действия с зараженными файламиInfectedFiles

ИнформироватьReport

ЛечитьCure

Сканер: действия с подозрительнымифайламиSuspiciousFiles


ПеремещатьMove

Сканер: действия с неизлечимыми файламиIncurableFiles



Сторож: действия с зараженными файламиInfectedFiles


ЛечитьCure

Сторож: действия с подозрительнымифайламиSuspiciousFiles



Сторож: действия с неизлечимыми файламиIncurableFiles



Сканер и сторож: действия синфицированными архивамиActionInfectedArchive



Сканер и сторож: действия синфицированными почтовыми файлами ActionInfectedMail



Сканер и сторож: записывать в отчет списокпросмотренных (неинфицированных)объектовLogScanned

НетNo

ДаYes

Размер файла отчета, КбайтMaxLogSize

512 8192



Приложение B. Дополнительныепараметры командной строки

Дополнительные параметры командной строки (ключи)используются для задания параметров программам, которыезапускаются открытием на выполнение исполняемого файла. Этоотносится к Сканерам всех версий (см. п. Сканирование врежиме командной строки) и к модулю автоматическогообновления (см. Глава 4. Автоматическое обновление). При этомключи могут задавать параметры, отсутствующие вконфигурационном файле, а для тех параметров, которые в немзаданы, имеют более высокий приоритет.

Ключи начинаются с символа / и, как и остальные параметрыкомандной строки, разделяются пробелами.

Далее перечислены отдельно параметры командной строки для Сканера и для модуля автоматического обновления. Если ключимеет модификации, они также приводятся.

Параметры перечислены в алфавитном порядке.

Параметры командной строки для Сканеров

/? – вывести на экран краткую справку о работе с

программой.

/@<имя_файла> или /@+<имя_файла> предписывает

произвести проверку объектов, которые перечислены вуказанном файле. Каждый объект задается в отдельнойстроке файла-списка. Это может быть либо полный путь суказанием имени файла, либо строка ?boot, означающая

проверку загрузочных секторов, а для GUI-версии Сканератакже имена файлов с маской и имена каталогов.Файл-список может быть подготовлен с помощью любоготекстового редактора вручную, а также автоматическиприкладными программами, использующими Сканер дляпроверки конкретных файлов. После окончания проверки



Сканер удаляет файл-список, если использована формаключа без символа +.

/AL – проверять все файлы на заданном устройстве или в

заданном каталоге независимо от расширения иливнутреннего формата.

/AR – проверять файлы, находящиеся внутри архивов. В

настоящее время обеспечивается проверка (без лечения)архивов, созданных архиваторами ARJ, ZIP, PKZIP, ALZIP,RAR, LHA, GZIP, TAR, BZIP2, 7-ZIP, ACE и др., а также MSCAB-архивов – Windows Cabinet Files и ISO-образовоптических дисков (CD и DVD). В указанном виде (/AR)

ключ задает информирование пользователя в случаеобнаружения архива, содержащего зараженные илиподозрительные файлы. Если ключ дополняетсямодификатором D, M, или R, производятся иные действия:

o /ARD – удалять;

o /ARM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /ARR – переименовывать (по умолчанию первая буква

расширения заменяется на символ #).

o Ключ может завершаться модификатором N, в таком

случае не будет выводиться имя программы-архиваторапосле имени архивного файла.

/CN –задать действие над контейнерами (HTML, RTF,

PowerPoint), содержащими зараженные или подозрительныеобъекты. В указанном виде (/CN) ключ задает

информирование пользователя в случае обнаружения такогоконтейнера. Если ключ дополняется модификатором D, M,

или R, производятся иные действия над контейнерами:

o /CND – удалять;

o /CNM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /CNR – переименовывать (по умолчанию первая буква


o Ключ может завершаться модификатором N, в таком

случае не будет распечатываться сообщение суказанием типа контейнера.



/CU – действия над инфицированными файлами и

загрузочными секторами дисков. Без дополнительныхпараметров D, M или R производится лечение излечимых

объектов и удаление неизлечимых файлов (если другое незадано параметром /IC). Иные действия выполняются

только над инфицированными файлами:

o /CUD – удалять;

o /CUM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /CUR – переименовывать (по умолчанию первая буква


/DA – проверять компьютер один раз в сутки. Дата

следующей проверки записывается в файл конфигурации,поэтому он должен быть доступен для создания ипоследующей перезаписи.

/EX – проверять файлы с расширениями, хранящимися в

конфигурационном файле, по умолчанию или принедоступности конфигурационного файла это расширенияEXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO,SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*,INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ,CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS,SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*, EML,NWS, SWF, MPP, TBB.

В случае если элемент списка проверяемых объектовсодержит явное указание расширения файла, хотя бы и сприменением специальных символов * и ?, будутпроверены все файлы, заданные в данном элементесписка, а не только подходящие под список расширений.

/FAST – предписывает произвести быстрое сканирование

системы (подробно о режиме быстрого сканирования см. п. Запуск Сканера).

/FN – загружать русские буквы в знакогенератор

видеоадаптера (только для Dr.Web для DOS).

/FULL – предписывает произвести полное сканирование

всех жестких дисков и сменных носителей (включая



загрузочные секторы).

/GO – пакетный режим работы программы. Все вопросы,

подразумевающие ожидание ответа от пользователя,пропускаются; решения, требующие выбора, принимаютсяавтоматически. Этот режим полезно использовать дляавтоматической проверки файлов, например, приежедневной (или еженедельной) проверке жесткого диска.

/HA – производить эвристический анализ файлов и поиск в

них неизвестных вирусов.

/ICR, /ICD или /ICM – действия с зараженными

файлами, вылечить которые невозможно: /ICR –

переименовывать, /ICD – удалять, /ICM – перемещать.

/INI:<путь> – использовать альтернативный

конфигурационный файл с указанным именем или путем.

/LNG:<имя_файла> или /LNG – использовать

альтернативный файл языковых ресурсов (.dwl файл) с

указанным именем или путем, а если путь не указан –встроенный (английский) язык.

/ML – проверять файлы, имеющие формат сообщений e-mail

(UUENCODE, XXENCODE, BINHEX и MIME). В указанном виде (/ML) ключ задает информирование пользователя в случае

обнаружения зараженного или подозрительного объекта впочтовом архиве. Если ключ дополняется модификатором D,

M, или R, производятся иные действия:

o /MLD - удалять;

o /MLM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /MLR – переименовывать (по умолчанию первая буква


o Кроме того, ключ может завершаться дополнительным

модификатором N (одновременно с этим могут быть

заданы и основные модификаторы). В таком случаеотключается вывод информации о почтовых файлах.

/MW – действия со всеми видами нежелательных программ.

В указанном виде (/MW) ключ задает информирование

пользователя. Если ключ дополняется модификатором D, M,



R или I, производятся иные действия:

o /MWD – удалять;

o /MWM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /MWR – переименовывать (по умолчанию первая буква

расширения заменяется на символ #);

o /MWI – игнорировать. Действия с отдельными видами

нежелательных программ определяются с помощьюключей /ADW, /DLS, /JOK, /RSK, /HCK.

/NI – не использовать параметры, записанные в

конфигурационном файле программы drweb32.ini.

/NR – не создавать файл отчета.

/NS – запретить возможность прерывания проверки

компьютера. После указания этого параметра пользовательне сможет прервать работу программы нажатием клавиши ESC.

/OK – выводить полный список сканируемых объектов,

сопровождая незараженные пометкой Ok.

/PF – запрашивать подтверждение на проверку следующей

дискеты.

/PR – выводить запрос подтверждения перед действием.

/QU – Сканер выполняет проверку указанных в командной

строке объектов (файлов, дисков, каталогов), после чегоавтоматически завершает работу (только для GUI-версии Сканера).

/RP<имя_файла> или /RP+<имя_файла> – записать отчет

о работе программы в файл, имя которого указано в ключе.При отсутствии имени записать в файл по умолчанию. Приналичии символа + файл дописывается, при отсутствии –

создается заново.

/SCP:<n> – задает приоритет выполнения сканирования.

<n> может принимать значения от 1 до 50 включительно.

/SD – проверять подкаталоги.

/SHELL – для GUI-версии Сканера. Отменяет показ

заставки, отключает проверку памяти и файловавтозагрузки. Этот режим позволяет использовать



GUI-версию Сканера вместо консольной для проверкитолько тех объектов, которые перечислены в параметрахкомандной строки.

/SO – включить звуковое сопровождение.

/SPR, /SPD или /SPM – действия с подозрительными

файлами:

o /SPR – переименовывать,

o /SPD – удалять,

o /SPM – перемещать.

/SS – по окончании работы сохранить режимы, заданные

при текущем запуске программы, в конфигурационномфайле.

/ST – задает скрытый режим работы GUI-версии Сканера.

Программа работает, не открывая никаких окон исамостоятельно завершаясь. Но если в процессесканирования были обнаружены вирусные объекты, позавершении работы будет открыто обычное окно Сканера.Такой режим работы Сканера предполагает, что списокпроверяемых объектов задается в командной строке.

/TB – выполнять проверку загрузочных секторов и главных

загрузочных секторов (MBR) жесткого диска.

/TM – выполнять поиск вирусов в оперативной памяти

(включая системную область ОС Windows, только для Сканеров для Windows).

/TS – выполнять поиск вирусов в файлах автозапуска (по

папке Автозагрузка, системным .ini файлам, реестру ОС

Windows). Используется только для Сканеров дляWindows.

/UPN – при проверке исполняемых файлов, упакованных

специальными программами-упаковщиками, не выводить вфайл отчета названия программ, использованных дляупаковки.

/WA – не завершать работу программы до нажатия на

любую клавишу, если обнаружены вирусы илиподозрительные объекты (только для консольных Сканеров).



Режимы, установленные по умолчанию (если отсутствует или неиспользуется конфигурационный файл) приведены в таблице 3.

Некоторые параметры допускают задание в конце символа "–". Втакой "отрицательной" форме параметр означает отменусоответствующего режима. Такая возможность может бытьполезна в случае, если этот режим включен по умолчанию или повыполненным ранее установкам в конфигурационном файле.Список параметров командной строки, допускающих"отрицательную" форму:/ADW /AR /CU /DLS /FN /HCK /JOK /HA /IC /ML /MW/OK /PF /PR /RSK /SD /SO /SP /SS/TB /TM /TS/WA.

Для параметров /CU, /IC и /SP "отрицательная" форма

отменяет выполнение любых действий, указанных в описании этихпараметров. Это означает, что в отчете будет фиксироватьсяинформация о зараженных и подозрительных объектах, ноникаких действий над этими объектами выполняться не будет.

Для параметров /INI и /RP "отрицательная" форма

записывается в виде /NI и /NR соответственно.

Для параметров /AL и /EX не предусмотрена "отрицательная"

форма, однако задание одного из них отменяет действие другого.

Если в командной строке встречаются нескольковзаимоисключающих параметров, то действует последний из них.

Параметры командной строки для модуляавтоматического обновления

При запуске модуля автоматического обновления из Планировщика или в режиме командной строки вы можетеввести следующие параметры командной строки:

/DBG – вести подробный отчет.

/DIR:<каталог> – переназначение каталога, в который

устанавливаются файлы обновления; по умолчанию это



каталог, из которого модуль обновления был запущен.

/INI:<путь> – использовать альтернативный

конфигурационный файл с указанным именем или путем.

/GO – пакетный режим работы, без диалоговых остановок.

/LNG:<имя_файла> – имя файла языковых ресурсов; если

не указано, использовать английский язык.

/NI – не использовать параметры, записанные

в конфигурационном файле программы drweb32.ini.

/NR – не создавать файл отчета.

/PASS:<пароль пользователя http-сервера> – пароль

пользователя сервера обновлений.

/PPASS:<пароль пользователя прокси> – пароль

пользователя проксисервера.

/PUSER:<имя пользователя прокси> – имя пользователя

прокси-сервера.

/PURL:<адрес прокси> – адрес проксисервера.

/QU – принудительно закрывать модуль обновления после

окончания сеанса обновления независимо от того, успешнооно прошло или нет. Успешность обновления можнопроверить по коду возврата программы drwebupw.exe(например, из bat-файла по значению переменной errorlevel: 0 – успешно, другие значения – неуспешно).

/REG – запуск модуля обновления в режиме регистрации и

получения регистрационного ключа.

/RP<имя_файла> или /RP+<имя_файла> – записать отчет

о работе программы в файл, имя которого указано в ключе.При отсутствии имени записать в файл по умолчанию. Приналичии символа «+» файл дописывается, при отсутствии –

создается заново.

/SO – включить звуковое сопровождение (только при

возникновении ошибки).

/ST – запускать модуль обновления в невидимом окне (

stealth mode).

/UA – загрузка всех файлов, заявленных в списке

обновления, независимо от используемой системы иустановленных компонентов. Режим предназначен для



получения полной локальной копии серверной областиобновления Dr.Web; этот режим нельзя использовать дляобновления антивируса, установленного на компьютере.

/UPM:<режим прокси> – режим использования

проксисервера; может принимать следующие значения:

o direct – не использовать прокси-сервер,

o ieproxy – использовать системные настройки,

o userproxy – использовать настройки, задаваемые

пользователем (на вкладке Обновление панелинастроек Dr.Web или ключами /PURL /PUSER/PPASS).

/URL:<url сервера обновления> – допускаются только

UNC-пути.

/URM:<режим> – режим перезагрузки после обновления;

может принимать следующие значения:

prompt – по окончании сеанса обновления в случае

необходимости перезагрузки выдавать запрос,

noprompt – в случае необходимости перезагружаться

без выдачи запроса,

force – перезагружать принудительно всегда

(независимо от того, требуется это для обновления илинет),

disable – запретить перезагрузку.

/UPD – обычное обновление; применяется в паре с

ключом /REG: в режиме регистрации дополнительно

запустить и собственно сеанс обновления.

/USER:<имя пользователя http-сервера> – имя

пользователя сервера обновлений.

/UVB – обновлять только вирусные базы и ядро

drweb32.dll (отменяет действие ключа /UA, если он

задан).

Режимы, установленные по умолчанию (если отсутствует или неиспользуется конфигурационный файл) приведены в таблице 3.

Параметр /SO допускает задание в конце символа "–". В такой



"отрицательной" форме параметр означает отменусоответствующего режима. Такая возможность может бытьполезна в случае, если этот режим включен по выполненнымранее установкам в конфигурационном файле.

Для параметров /INI и /RP "отрицательная" форма

записывается в виде /NI и /NR соответственно.

Если в командной строке встречаются нескольковзаимоисключающих параметров, то действует последний из них.

Коды возврата

Возможные значения кода возврата и соответствующие имсобытия следующие:

0 – OK, не обнаружено вирусов или подозрений на вирусы

1 – обнаружены известные вирусы

2 – обнаружены модификации известных вирусов

4 – обнаружены подозрительные на вирус объекты

8 – в архиве, контейнере или почтовом ящике обнаруженыизвестные вирусы

16 –

в архиве, контейнере или почтовом ящике обнаруженымодификации известных вирусов

32 –

в архиве, контейнере или почтовом ящике обнаруженыподозрительные на вирус объекты

64 –

успешно выполнено лечение хотя бы одного зараженноговирусом объекта

128–

выполнено удаление/переименование/перемещение хотя быодного зараженного файла

Результирующий код возврата, формируемый по завершению



проверки, равен сумме кодов тех событий, которые произошли вовремя проверки (и его слагаемые могут однозначно быть по немувосстановлены).

Например, код возврата 9 = 1 + 8 означает, что во времяпроверки обнаружены известные вирусы (вирус), в том числе вархиве; обезвреживание не проводилось; больше никаких"вирусных" событий не было.



Приложение C. Настраиваемыепараметры компонентов Dr.Web

Настраиваемые параметры компонентов программного комплексахранятся, главным образом, в конфигурационном файлепрограммы (файле drweb32.ini, расположенном в каталоге

установки). Этот файл имеет текстовый формат и разделяется насекции, соответствующие отдельным компонентам. Каждыйпараметр какого-либо компонента представляется всоответствующей секции строкой вида: <параметр> =<значение>.

Изменение значений параметров осуществляетсяодним из следующих способов:

средствами интерфейса соответствующих программ (Сканера, сторожа, почтового сторожа). Наиболееважные из таких настроек были приведены выше (см.пп. 3.2.3, 3.4.3 и 3.5.3);

заданием параметров командной строки при вызовепрограмм из режима командной строки или по расписанию(для Сканера различных версий). Подробнее об этойвозможности см. Приложение B.

непосредственным редактированием конфигурационногофайла в любом текстовом редакторе.

Непосредственное редактирование конфигурационногофайла может быть рекомендовано только опытнымпользователям. Использование этой возможности безясного понимания устройства антивирусногопрограммного комплекса может снизить качествозащиты и даже привести к полной неработоспособностинекоторых программ.

Перед редактированием конфигурационного файласледует деактивировать сторож и почтовый сторож, какуказано в соответствующих разделах.



Параметры Windows-версий Сканера,сторожа, Планировщика и модуляавтоматического обновления

В колонках таблицы 3 приведены следующие сведения длякаждого параметра:

наименование параметра,

наименования компонентов, использующих параметр,

наименование параметра в конфигурационном файле,

значения параметра,

ключи командной строки.

Наименование параметра указывается либо в соответствии синтерфейсом (в этом случае оно дается полужирным шрифтом),либо как условное наименование, если ему нет аналога винтерфейсе (тогда оно дается светлым шрифтом).

Следующие наименования компонентов, используемые в таблице,требуют пояснения:

"Сторож" – обе версии SpIDer Guard ("Сторож-XP" и "Сторож-Me"),

"Сканер" – обе версии Сканера ("Сканер-GUI" и "Сканер-консольный").

Если для отдельного режима нет соответствующего ему параметраконфигурационного файла, то значения параметра указаны вскобках и относятся к состоянию диалогового элементаинтерфейса или к заданному ключу командной строки.

Значения по умолчанию для Сканера, Планировщика и модуляавтоматического обновления выделены полужирным шрифтом,для сторожа – курсивом, для всех компонентов – полужирнымкурсивом.

Значения по умолчанию для Сканера и сторожа, включенных всостав Dr.Web для серверов Windows, в тех случаях, когда ониотличаются от значений по умолчанию параметров антивируса



для рабочих станций, подчеркиваются.

Ключи командной строки, соответствующие данному параметру,описываются сокращенно, без большинства модификаторов. Болееподробная информация о ключах приведена в Приложении B.

Таблица 3. Настраиваемые параметры Windows-версийСканера, сторожа и модуля автоматического обновления

Наименование параметра Компоненты

Параметрконф.файла

Значения

Ключи

Режим проверки "на лету" Сторож GuardMode SmartRunAndOpenCreateAndWriteобапоследних

Режим проверки Сканер,Сторож

ScanFiles AllByTypeByMasks

/AL/EX

Быстрая проверкасистемы

Сканер /FAST

Полная проверка системы Сканер /FULL

Приоритет выполнениясканирования, от 1 до 50

Сканер /SCP

Эвристический анализ Сканер,Сторож

HeuristicAnalysis

Yes /No

/HA

Контроль вируснойактивности

Сторож-Me

VirusActivityControl

Yes /No

Проверка загрузочнойдискеты

Сторож ScanBootOnShutDown

Yes /No

Защита системного ядра Сторож-Me

DisableIDTHook

Yes / No





Значения

Ключи

Запретить работу с сетью Сторож-Me

DisableNetworkScan

Yes /No

Не сканировать объекты влокальной сети

Сторож-XP (Вкл./Выкл.)

Не сканировать объектына съемных носителях


Проверять память Сканер,Сторож

TestMemory Yes /No

/TM

Проверять файлыавтозагрузки

Сканер,Сторож

TestStartup Yes /No

/TS

Проверять загрузочныесекторы

Сканер,Сторож-Me

TestBootSectors

Yes /No

/TB

Проверять подкаталоги Сканер ScanSubDirectories

Yes /No

/SD

Проверка несколькихдискет

Сканер PromptFloppy

Yes /No

/PF

Файлы в архивах Сканер,Сторож

CheckArchives

Yes /No

/AR

Упакованные файлы Сторож CheckPackedFiles

Yes /No

Почтовые файлы Сканер,Сторож

CheckEMailFiles

Yes /No

/ML

Макс. длина распакованногоиз архива файла,подлежащего проверке, Кбайт

Сторож-XP,Сканер-консольный

MaxFileSizeToExtract

(незадано)

Макс. коэффициент сжатияфайла в архиве

Сторож-XP,Сканер-консольный

MaxCompressionRatio

(незадано)





Значения

Ключи

Нижний порог срабатыванияпараметраMaxCompressionRatio, Кбайт

Сторож-XP,

Сканер-консольный

CompressionCheckThreshold

(незадано)

Список расширений Сканер,Сторож

FilesTypes (см.послетабл.)

Список масок Сканер,Сторож

UserMasks (см.послетабл.)

Список исключаемыхпутей


ExcludePaths

(пусто)

Список исключаемыхфайлов

Сканер,Сторож-Me

ExcludeFiles (пусто)

Разрешить использованиемасок

Сторож-XP AllowWildcards

Yes / No

Разрешить исключениефайлов без указания пути

Сторож-XP AllowRelativeFileNames

Yes / No

Проверять жесткие диски(при сканировании спараметром командной строки* и при нажатии на кнопкуВыделить диски)

Сканер ScanHDD Yes /No

Проверять дискеты (присканировании с параметромкомандной строки * и принажатии на кнопку Выделитьдиски)

Сканер ScanFDD Yes / No

Проверять компакт-диски(при сканировании спараметром командной строки* и при нажатии на кнопкуВыделить диски)

Сканер ScanCD Yes / No





Значения

Ключи

Проверять сетевые диски (присканировании с параметромкомандной строки * и принажатии на кнопку Выделитьдиски)

Сканер ScanNet Yes / No

Запрос подтверждения Сканер,Сторож-Me

PromptOnAction

Yes /No

/PR

Переименоватьрасширение


RenameFilesTo

#??

Имя каталога карантина Сканер,Сторож

MoveFilesTo infected.!!!

Список путей к вируснымбазам


VirusBase *.vdb

Флаг-файл для перезагрузкивирусных баз

Сторож UpdateFlags drwtoday.vdb

Выдавать всплывающееокно-уведомление

Сторож-XP Acknowledge

Yes /No

Путь к каталогу временныхфайлов компонента


TempPath %TMP%,%TEMP%,каталогустановки

Разрешить отключениесторожа

Сторож EnableSwitch

Yes / No

Режим загрузки сторожаXP-версии

Сторож-XP РучнойрежимАвтоматич.режим





Значения

Ключи

Сохранять состояние"Мониторинг отключен"после перезагрузки


Защищать файлконфигурации Dr.Web


Запретить режимрасширенной защиты

Сторож-XP DisableEnhancedProtection

Yes /No

Размер спискапроверенных файлов

Сторож-XP 100

Действия со всеми видаминежелательных программ

Сканер Информировать

/MW

Инфицированныеобъекты


InfectedFiles ReportCureDeleteRenameMoveLock(сторож)Shutdown(сторож)

/CU

Неизлечимые объекты Сканер,Сторож

IncurableFiles

ReportDeleteRenameMoveLock(сторож)Shutdown(сторож)

/IC





Значения

Ключи

Подозрительные объекты Сканер,Сторож

SuspiciousFiles

ReportDeleteRenameMoveLock(сторож)Ignore(сторож)Shutdown(сторож)

/SP

Инфицированные архивы Сканер,Сторож

ActionInfectedArchive


/AR





Значения

Ключи

Инфицированныепочтовые файлы


ActionInfectedMail


/ML

Рекламные программы Сканер,Сторож

ActionAdware

ReportDeleteRenameMoveIgnoreLock(сторож)Shutdown(сторож)

/ADW

Программы дозвона Сканер,Сторож

ActionDialers ReportDeleteRenameMoveIgnoreLock(сторож)Shutdown(сторож)

/DLS





Значения

Ключи

Программы-шутки Сканер,Сторож

ActionJokes ReportDeleteRenameMoveIgnoreLock(сторож)Shutdown(сторож)

/JOK

Потенциально опасныепрограммы


ActionRiskware


/RSK

Программы взлома Сканер,Сторож

ActionHacktools


/HCK





Значения

Ключи

Что делать, если неудалось переименование

Сторож-XP ActionIfRenameFailed

ReportDeleteRenameMoveLockShutdown

Что делать, если неудалось перемещение

Сторож-XP ActionIfMoveFailed


Что делать, если неудалось удаление

Сторож-XP ActionIfDeleteFailed


Что делать, если не удалосьинформирование

Сторож-XP ActionIfReportFailed


Разрешить удаление архивовбез запроса предупреждения


EnableDeleteArchiveAction

Yes / No

Обнаруженинфицированный объект(посылать уведомление)


Обнаружен неизлечимыйобъект (посылатьуведомление)






Значения

Ключи

Обнаруженподозрительный объект(посылать уведомление)


Уведомления по E-mail овирусных событиях


Уведомления в сети овирусных событиях


Вести файл отчета Сканер,Сторож,модульобновления

LogToFile Yes /No

/RP/NR

Вести файл отчета Планировщик

(Вкл./Выкл.)

Имя файла отчета СканерСторож-MeСторож-XP

LogFileName drweb32w.logspider.logspidernt.log

/RP

Имя файла отчета Модульобновления

drwebupw.log

/RP

Имя файла отчета Планировщик

drwebscd.log

Режим открытия отчета Сканер,Сторож,модульобновления

OverwriteLog

Yes / No

/RP

Кодировка отчета Сканер,Сторож,модульобновления

LogFormat ANSIOEM





Значения

Ключи

Проверяемые объекты вотчете


LogScanned Yes /No

/OK

Имена упаковщиков вотчете


LogPacked Yes /No

Имена архиваторов вотчете


LogArchived Yes /No

Статистика в отчете Сканер,Сторож

LogStatistics Yes /No

Предельный размер файлаотчета

Сканер,Сторож,модульобновления

LimitLog Yes / No

Предельный размерфайла отчета, Кбайт

Сканер,Сторож,модульобновления

MaxLogSize 5128192

Закрыть окно после сеанса Сканер,модульобновления

Yes / No

/QU

Ожидать нажатия на клавишу(после завершениясканирования в случаеобнаружения вирусов)

Сканер-консольный

WaitAfterScan

(Вкл./Выкл.)

/WA

Исполнять в пакетном режиме Сканер,модульобновления

(Вкл./Выкл.)

/GO

Запретить прерываниепользователем

Сканер (Вкл./Выкл.)

/NS

Проверять один раз в сутки Сканер (Вкл./Выкл.)

/DA





Значения

Ключи

Проверять только явнозаданные объекты

Сканер-GUI

(Вкл./Выкл.)

/SHELL

Не открывать окон (режимstealth)

Сканер-GUI

(Вкл./Выкл.)

/ST

Использовать альтернативныйконфиг. файл.Не использовать никакогоконфиг. файла

Сканер,модульобновления

(Вкл./Выкл.)

/INI/NI

Использовать собственныйфайл подкачки


UseDiskForSwap

Yes /No

Отображать индикаторработы (прогресс-индикатор)

Сканер ShowProgressBar

Yes /No

Звуки Сканер,Сторож,модульобновления

PlaySounds Yes / No

/SO

Опасность (звук) Сканер AlertWav alert.wav

Исцелен (звук) Сканер CuredWav cured.wav

Удален (звук) Сканер DeletedWav deleted.wav

Переименован (звук) Сканер RenamedWav

renamed.wav

Перемещен (звук) Сканер MovedWav moved.wav

Конец проверки (звук) Сканер FinishWav finish.wav

Ошибка (звук) Сканер,модульобновления

ErrorWav error.wav





Значения

Ключи

Автосохранение настроекпри выходе

Сканер AutoSaveSettings

Yes /No

/SS

Запретить изменениенастроек без перезагрузки

Сторож-Me

DisableHotReconfigure

Yes / No

Отображать значок SpIDerGuard в областиуведомлений


Показывать значокПланировщика в областиуведомлений

Планировщик

(Вкл./Выкл.)

Использовать настройкииз реестра

Сканер-GUI

(Вкл./Выкл.)

Приоритет проверки Сканер ScanPriority 2550

Язык (Language) Сканер,Сторож,модульобновления

LngFileName ru-drweb.dwl

/LNG

Режим прокси Сканер-GUI(настройки модуляобновления)

UpdateProxyMode

directieproxyuserproxy

/UPM

Обновлять только вирусныебазы и ядро drweb32.dll

модульобновления

UpdateVirusBasesOnly

Yes / No

/UVB

Загрузка всех файлов,заявленных в спискеобновления


UpdateAllFiles

Yes / No

/UA





Значения

Ключи

Режим перезагрузки приобновлении


UpdateRebootMode

promptnopromptforcedisable

/URM

Вести подробный отчет модульобновления

(Вкл./Выкл.)

/DBG

Список расширений файлов (значение параметра FilesTypesконфигурационного файла) по умолчанию содержит следующиерасширения: EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG,BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*, JS*,INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ, CAB,HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS, SHT*, MSG,CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*, EML, NWS, SWF, MPP,TBB.

Список выбранных масок (значение параметра UserMasksконфигурационного файла) по умолчанию состоит из значений,получаемых добавлением знака * и точки перед расширением из

списка расширений файлов (например, "*.exe").

Параметры SpIDer Mail для рабочих станцийWindows

Параметры SpIDer Mail для рабочих станций Windowsописываются в отдельной таблице 4. Таблица оформлена попринципам, аналогичным принципам оформления таблицы 3. Всписке допустимых значений параметра значения по умолчаниюдля почтового сторожа выделены курсивом.



Таблица 4. Настраиваемые параметры почтового сторожа

Наименование параметра Параметрконф. файла

Значения Ключ

Использовать альтернативныйконфигурационный файл

(Вкл./Выкл.) -ini:имя_файла

Использовать альтернативныйфайл пользовательскогоключа

(Вкл./Выкл.) -key:имя_файла

Язык (Language) LngFileName ru-drweb.dwl -lng:имя_файла

Эвристический анализатор HeuristicAnalysis

Yes / No

Проверять файлы вархивах

CheckArchives Yes / No

Контроль вируснойактивности

VirusActivityControl

Yes / No

Таймаут проверки письма,с

ScanTimeout 250

Макс. длина файлапри распаковке, Кбайт

MaxFileSizeToExtract

30720

Макс. коэффициентсжатия архива

MaxCompressionRatio

Infinite

Макс. уровеньвложенности в архив

MaxArchiveLevel

64

Предупреждение овирусах в исход. почте

ShowAlerts Yes / No

Инфицированные письма ActionInfected DeleteMove

Подозрительные письма ActionSuspicious

DeleteMoveSkip

Непроверенные письма ActionNotChecked

DeleteMoveSkip





Удалятьмодифицированныеписьма на сервере

DeleteMessagesOnServer

Yes / No

Вставка заголовка ‘X-AntiVirus’ в сообщения

InsertXAntiVirus

Yes / No

Папка для карантина PathForMovedFiles

infected.!!!

Путь к поисковомумодулю

EnginePath (пусто)

Путь к вирусным базам VirusBasesPath

(пусто)

Флаг-файл дляобновлений

UpdateFlag drwtoday.vdb

Период проверкифлаг-файла, с

UpdatePeriod 300

Всего поисковых модулей MaximumLoadEngines

10

Поисковых модулей пристарте

PreloadEngines

1

Выгружать свободныемодули через, с

UnusedEngineUnloadTimeout

420

Вести отчет EnableLog Yes / No

Отчет о проверяемыхобъектах

EnableLogScanInfo

Yes / No

Файл отчета LogFileName spiderml.log

Предельный размер файлаотчета, Кбайт

MaximumLogSize

500

Разрешить анимациюиконки

EnableIconAnimation

Yes / No

Разрешить иконку в трее HideIcon Yes / No





Показывать уведомления NoBalloons Yes / No

Переключатель Перехватыватьсоединенияавтоматически или Ручнаянастройка соединений

HookModeAuto

Yes / No

Проверять перехватсоединений при старте(авт. режим)

HookCheck Yes / No

Адрес-Порт (первый элементсписка, авт. Режим)

Hook1 *:143адрес:порт

Адрес-Порт (продолжениесписка, авт. Режим)

Hook2Hook3…

адрес:портадрес:порт…

Порт SpIDerMail- Адрессервера-Порт сервера(ручной режим, первыйэлемент списка)

HookManual1 7000->адресPOP3/SMTP/IMAP4/NNTP:порт

Порт SpIDerMail- Адрессервера-Порт сервера(ручной режим, продолжениесписка)

HookManual2HookManual3…

7001->адресPOP3/SMTP/IMAP4/NNTP:порт7002->адресPOP3/SMTP/IMAP4/NNTP:порт…

Разрешить пункт меню Выключить

AllowDisable Yes / No

Разрешить пункт меню Выход

AllowExit Yes / No

Разрешить пункт меню Настройки

AllowSettings Yes / No

Разрешить пункт меню Переинициализация

AllowReinitialize

Yes / No





Максимальное количествоодновременнообрабатываемых запросов наодин лок. порт (ручнойрежим)

MaximumChildConnections

20

Добавляемая в сообщениестрока

Xbanner (пусто)

Путь к каталогу временныхфайлов компонента

TempPath %TMP%,%TEMP%,каталогустановки

Переинициализация -reinit

Выключить -disable

Включить -enable

Обновить -update

Выход -exit



Приложение D. Вредоносныепрограммы и способы ихобезвреживания.

С развитием компьютерных технологий и сетевых решений, всёбольшее распространение получают различные вредоносныепрограммы, направленные на то, чтобы так или иначе нанестивред пользователям. Их развитие началось еще в эпохузарождения вычислительной техники, и параллельно развивалисьсредства защиты от них. Тем не менее, до сих пор не существуетединой классификации всех возможных угроз, что связано, впервую очередь, с непредсказуемым характером их развития ипостоянным совершенствованием применяемых технологий.

Вредоносные программы могут распространяться через Интернет,локальную сеть, электронную почту и съемные носителиинформации. Некоторые расчитаны на неосторожность инеопытность пользователя и могут действовать полностьюавтономно, другие являются лишь инструментами подуправлением компьютерных взломщиков и способны нанести вреддаже надежно защищенным системам.

В данной главе представлены описания всех основных и наиболеераспространенных типов вредоносных программ, на борьбу скоторыми в первую очередь и направлены разработки ООО«Доктор Веб».

Классификация вредоносных программ идругих компьютерных угроз

Компьютерные вирусы

Главной особенностью таких программ является способность квнедрению своего кода в исполняемый код других программ.Такое внедрение называется инфицированием (или заражением).



В большинстве случаев инфицированный файл сам становитсяносителем вируса, причем внедренная часть кода не обязательнобудет совпадать с оригиналом. Действия большинства вирусовнаправлены на повреждение или уничтожение данных. Вирусы,которые внедряются в файлы операционной системы (в основном,исполняемые файлы и динамические библиотеки), активируютсяпри запуске пораженной программы и затем распространяются,называются файловыми.

Некоторые вирусы внедряются не в файлы, а в загрузочныезаписи дискет, разделы жестких дисков, а также MBR (Master BootRecord) жестких дисков. Такие вирусы называются загрузочными,занимают небольшой объем памяти и пребывают в состоянииготовности к продолжению выполнения своей задачи до выгрузки,перезагрузки или выключения компьютера.

Макровирусы – это вирусы, заражающие файлы документов,используемые приложениями Microsoft Office и другимипрограммами, допускающими наличие макрокоманд (чаще всегона языке Visual Basic). Макрокоманды – это встроенные программы(макросы) на полнофункциональном языке программирования.Например, в Microsoft Word эти макросы могут автоматическизапускаться при открытии любого документа, его закрытии,сохранении и т.д.

Вирусы, которые способны активизироваться и выполнятьзаданные вирусописателем действия, например, при достижениикомпьютером определенного состояния называются резидентными.

Большинство вирусов обладают той или иной защитой отобнаружения. Способы защиты постоянно совершенствуются ивместе с ними разрабатываются новые технологии борьбы с ними.

Например, шифрованные вирусы шифруют свой код при каждомновом заражении для затруднения его обнаружения в файле,памяти или загрузочном секторе. Каждый экземпляр такого вирусасодержит только короткий общий фрагмент (процедурурасшифровки), который можно выбрать в качестве сигнатуры.

Существуют также полиморфные вирусы, использующие помимо



шифрования кода специальную процедуру расшифровки,изменяющую саму себя в каждом новом экземпляре вируса, чтоведет к отсутствию у такого вируса байтовых сигнатур.

Стелс вирусы (вирусы-невидимки) - вирусные программы,предпринимающие специальные действия для маскировки своейдеятельности с целью сокрытия своего присутствия в зараженныхобъектах. Такой вирус снимает перед заражением характеристикиинфицируемой программы, а затем подсовывает старые данныепрограмме, ищущей изменённые файлы.

Вирусы также можно классифицировать по языку, на котором онинаписаны (большинство пишутся на ассемблере, высокоуровневыхязыках программирования, скриптовых языках и т.д.) и попоражаемым операционным системам.

Компьютерные черви

В последнее время, черви стали гораздо более распространены,чем вирусы и прочие вредоносные программы. Как и вирусы,такие программы способны размножать свои копии, но они немогут заражать другие компьютерные программы. Червьпроникает на компьютер из сети (чаще всего как вложение всообщениях электронной почты или через сеть Интернет) ирассылает свои функциональные копии в другие компьютерныесети. Причем для начала распространения черви могутиспользовать как действия пользователя, так и автоматическийрежим выбора и атаки компьютера.

Черви не всегда целиком состоят из одного файла (тела червя). Умногих червей есть так называемая инфекционная часть (шелл-код), которая загружается в ОЗУ и «догружает» по сетинепосредственно само тело в виде исполняемого файла. Пока всистеме нет тела червя, от него можно избавиться перезагрузкойкомпьютера (при которой происходит сброс ОЗУ). Если же всистеме оказывается тело червя, то справиться с ним можеттолько антивирус.

За счет интенсивного распространения, черви способны вывестииз строя целые сети, даже если они не несут никакой полезной



нагрузки (не наносят прямой вред системе).

Троянские программы (троянские кони,трояны)

Этот тип вредоносных программ не способен к саморепликации.Трояны подменяют какую-либо из часто запускаемых программ ивыполняют её функции (или имитируют исполнение этихфункций), одновременно производя какие-либо вредоносныедействия (повреждение и удаление данных, пересылкаконфиденциальной информации и т.д.), либо делая возможнымнесанкционированное использование компьютера другим лицом,например для нанесения вреда третьему лицу.

Троянец обладает схожими с вирусом маскировочными ивредоносными функциями и даже может быть модулем вируса, нов основном троянские программы распространяются, какотдельные исполняемые файлы (выкладываются на файл-сервера,записываются на носители информации или пересылаются в видеприложений к сообщениям), которые запускаются либо самимпользователем, либо определенным процессом системы.

Руткит

Это вредоносная программа, предназначенная для перехватасистемных функций операционной системы с целью сокрытиясвоего присутствия в системе. Кроме того, руткит можетмаскировать процессы других программ, различные ключиреестра, папки, файлы. Руткит распространяется каксамостоятельная программа или как дополнительный компонент всоставе другой вредоносной программы. По сути – это наборутилит, которые взломщик устанавливает в систему, к которойполучил первоначальный доступ.

По принципу своей работы руткиты условно разделяют на двегруппы: User Mode Rootkits (UMR) - работающие в режимепользователя (перехват функций библиотек пользовательскогорежима), и Kernel Mode Rootkits (KMR) - работающие в режиме



ядра (перехват функций на уровне системного ядра, чтозначительно усложняет его обнаружение и обезвреживание).

Программы взлома

К данному типу вредоносных программ относятся различныеинструменты, которыми злоумышленники пользуются для взломакомпьютеров и сетей. Наиболее распространенными среди нихявляются сканеры портов, которые выявляют уязвимости всистеме защиты компьютера. Помимо взломщиков, подобнымипрограммами пользуются администраторы для контролябезопасности своих сетей. Иногда к программам взломапричисляют различное распространенное ПО, которое можетиспользоваться для взлома, а также некоторые программы,использующие методы социальной инженерии (получениеконфиденциальной информации у пользователей путем введенияих в заблуждение).

Шпионские программы

Этот тип вредоносных программ, предназначен для слежения засистемой и отсылкой собранной информации третьей стороне -создателю или заказчику такой программы. Заказчикамишпионских программ могут быть: распространители спама ирекламы, маркетинговые агентства, скам-агентства, преступныегруппировки, деятели промышленного шпионажа.

Такие программы тайно закачиваются на компьютер вместе скаким-либо программным обеспечением или при просмотреопределенных HTML-страниц и всплывающих рекламных окон исамоустанавливаются без информирования об этом пользователя.Побочные эффекты от присутствия шпионских программ накомпьютере - нестабильная работа браузера и замедлениепроизводительности системы.



Рекламные программы

Чаще всего под этим термином понимают программный код,встроенный в различное бесплатное программное обеспечение,при использовании которого пользователю принудительнопоказывается реклама. Но иногда такой код может скрытнораспространяться посредством других вредоносных программ идемонстрировать рекламу, например, в интеренет-браузерах.Зачастую рекламные программы работают на основании данных,собранных шпионскими программами.

Программы-шутки

Это тип вредоносных программ, которые, как и рекламныепрограммы, не наносят прямого вреда системе. Чаще всего онигенерируют сообщения о несуществующих ошибках и угрожаютдействиями, которые могут привести к повреждению данных. Ихосновной функцией является запугивание пользователя, либонавязчивое его раздражение.

Программы дозвона

Это специальные компьютерные программы, разработанные длясканирования некоего диапазона телефонных номеров длянахождения такого, на который ответит модем. В дальнейшемзлоумышленники используют найденные номера для накручиванияоплаты за телефон жертве или для незаметного подключенияпользователя через модем к дорогостоящим платным телефоннымслужбам.

Все вышеперечисленные типы программ считаются вредоносными,т.к. представляют угрозу либо данным пользователя, либо егоправам на конфиденциальность информации. К вредоносным непринято причислять программы, не скрывающие своего внедренияв систему, программы для рассылки спама и анализаторы трафика,хотя потенциально и они могут при определенныхобстоятельствах нанести вред пользователю.



Среди программных продуктов также выделяется целый класс потенциально опасных программ, которые не создавались длянанесения вреда, но в силу своих особенностей могутпредставлять угрозу для безопасности системы. Причем, это нетолько программы, которые могут случайно повредить илиудалить данные, но и те, которые могут использоваться хакерамиили другими программами для нанесения вреда системе. К нимможно отнести различные программы удаленного общения иадминистрирования, FTP-сервера и т.д.

Ниже приведены некоторые виды хакерских атак иинтернет-мошенничества:

Атаки методом подбора пароля - специальная троянскаяпрограмма вычисляет необходимый для проникновения всеть пароль методом подбора на основании заложенного вэту программу словаря паролей или генерируя случайныепоследовательности символов.

DoS-атаки (отказ обслуживания) и DDoS-атаки (распределённый отказ обслуживания) - вид сетевых атак,граничащий с терроризмом, заключающийся в посылкеогромного числа запросов с требованием услуги наатакуемый сервер. При достижении определенногоколичества запросов (ограниченного аппаратнымивозможностями сервера), сервер перестает с нимисправляться, что приводит к отказу в обслуживании.DDoS-атаки отличаются от DoS-атак тем, чтоосуществляются сразу с большого количества IP-адресов.

Почтовые бомбы - один из простейших видов сетевых атак.Злоумышленником посылается на компьютер пользователяили почтовый сервер компании одно огромное сообщение,или множество (десятки тысяч) почтовых сообщений, чтоприводит к выводу системы из строя. В антивирусныхпродуктах Dr.Web для почтовых серверов предусмотренспециальный механизм защиты от таких атак.

Сниффинг - вид сетевой атаки, также называется"пассивное прослушивание сети". Несанкционированноепрослушивание сети и наблюдение за данными, котороепроизводятся при помощи специальной невредоноснойпрограммы - пакетного сниффера, который осуществляет



перехват всех сетевых пакетов домена, за которым идетнаблюдение.

Спуфинг - вид сетевой атаки, заключающейся в полученииобманным путем доступа в сеть посредством имитациисоединения.

Фишинг (Phishing) - технология интернет-мошенничества,заключающаяся в краже личных конфиденциальных данных,таких как пароли доступа, данные банковских иидентификационных карт и т.д. При помощи спамерскихрассылок или почтовых червей потенциальным жертвамрассылаются подложные письма, якобы от имени легальныхорганизаций, в которых их просят зайти на подделанныйпреступниками интернет-сайт такого учреждения иподтвердить пароли, PIN-коды и другую личнуюинформацию, в последствии используемуюзлоумышленниками для кражи денег со счета жертвы и вдругих преступлениях.

Вишинг (Vishing) - технология интернет-мошенничества,разновидность фишинга, отличающаяся использованиемвместо электронной почты war diallers (автонабирателей) ивозможностей Интернет-телефонии (VoIP).

Действия, применяемые к вредоноснымпрограммам

Существует множество различных методов борьбы скомпьютерными угрозами. Для надежной защиты компьютеров исетей продукты ООО «Доктор Веб» объединяют в себе этиметоды при помощи гибких настроек и комплексного подхода кобеспечению безопасности. Основными действиями дляобезвреживания вредоносных программ являются:

1. Лечение – действие, применяемое к вирусам, червям итроянам. Оно подразумевает удаление вредоносного кодаиз зараженных файлов либо удаление функциональныхкопий вредоносных программ, а также, по возможности,восстановление работоспособности пораженных объектов(т.е. возвращение структуры и функционала программы ксостоянию, которое было до заражения). Далеко не всевредоносные программы могут быть вылечены, однако



именно продукты ООО «Доктор Веб» предоставляютсамые эффективные алгоритмы лечения и восстановленияфайлов, подвергшихся заражению.

2. Перемещение в карантин – действие, при которомвредоносный объект помещается в специальную папку, гдеизолируется от остальной системы. Данное действиеявляется предпочтительным при невозможности лечения, атакже для всех подозрительных объектов. Копии такихфайлов желательно пересылать для анализа в вируснуюлабораторию ООО «Доктор Веб».

3. Удаление – эффективное действие для борьбы скомпьютерными угрозами. Оно применимо для любого типавредоносных объектов. Следует отметить, что иногдаудаление будет применено к некоторым файлам, длякоторых было выбрано лечение. Это происходит в случае,когда весь файл целиком состоит из вредоносного кода ине содержит никакой полезной информации. Так,например, под лечением компьютерного червяподразумевается удаление всех его функциональныхкопий.

4. Блокировка, переименование – это также действия,позволяющие обезвредить вредоносные программы, прикоторых, однако, в файловой системе остаются ихполноценные копии. В первом случае блокируются любыепопытки обращения от и к вредоносному объекту. Вовтором случае, расширение файла изменяется, что делаетего неработоспособным.



Приложение E. Принципы именованиявирусов

При обнаружении вирусного кода компоненты антивирусногокомплекса Dr.Web сообщают пользователю средствамиинтерфейса и заносят в файл отчета имя вируса, присвоенное емуспециалистами ООО "Доктор Веб". Эти имена строятся поопределенным принципам и отражают конструкцию вируса,классы уязвимых объектов, среду распространения (ОС иприкладные пакеты) и ряд других особенностей. Знание этихпринципов может быть полезно для выявления программных иорганизационных уязвимостей защищаемой системы. Ниже даетсякраткое изложение принципов именования вирусов; более полнаяи постоянно обновляемая версия описания доступна по адресу http://support.drweb.com/faq/.

Эта классификация в ряде случаев условна, поскольку конкретныевиды вирусов могут обладать одновременно несколькимиприведенными признаками. Кроме того, она не может считатьсяисчерпывающей, поскольку постоянно появляются новые видывирусов и, соответственно, идет работа по уточнениюклассификации.

Полное имя вируса состоит из нескольких элементов, разделенныхточками. При этом некоторые элементы, стоящие в началеполного имени (префиксы) и в конце (суффиксы), являютсятиповыми в соответствии с принятой классификацией.

Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называваниявирусов, инфицирующих исполняемые файлы определенныхплатформ (ОС):

Win – 16-разрядные программы ОС Windows 3.1,

Win95 – 32-разрядные программы ОС Windows 95, ОС

http://support.drweb.com/faq/



Windows 98, ОС Windows Me,

WinNT – 32-разрядные программы ОС Windows NT, ОС

Windows 2000, ОС Windows XP, ОС Windows Vista,

Win32 – 32-разрядные программы различных сред ОС

Windows 95, ОС Windows 98, ОС Windows Me и ОС WindowsNT, ОС Windows 2000, ОС Windows XP, ОС Windows Vista,

Win32.NET – программы в операционной среде Microsoft

.NET Framework,

OS2 – программы ОС OS/2,

Unix – программы различных UNIX-систем,

Linux – программы ОС Linux,

FreeBSD – программы ОС FreeBSD,

SunOS – программы ОС SunOS (Solaris),

Symbian – программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вирусы могут заражать программы однойсистемы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office(указан язык макросов, поражаемых данным типом вирусов):

WM – Word Basic (MS Word 6.0-7.0),

XM – VBA3 (MS Excel 5.0-7.0),

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0),

X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0),

A97M – базы данных MS Access'97/2000,

PP97M – файлы-презентации MS PowerPoint,

O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус

заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования вирусов,

написанных на языках программирования высокого уровня, таких



как C, C++, Pascal, Basic и другие. Используются модификаторы,указывающие на базовый алгоритм функционирования, вчастности:

HLLW – черви,

HLLM – почтовые черви,

HLLO – вирусы, перезаписывающие код программы жертвы,

HLLP – вирусы-паразиты,

HLLC – вирусы-спутники.

К группе префиксов языка разработки можно также отнести:

Java – вирусы для среды виртуальной машины Java.

Троянские кони

Trojan – общее название для различных Троянских коней

(троянцев). Во многих случаях префиксы этой группыиспользуются совместно с префиксом Trojan.

PWS – троянец, ворующий пароли,

Backdoor – троянец с RAT-функцией (

Remote Administration Tool – утилита удаленногоадминистрирования),

IRC – троянец, использующий для своего

функционирования среду Internet Relayed Chat channels,

DownLoader – троянец, скрытно от пользователя

загружающий различные вредоносные файлы из Интернета,

MulDrop – троянец, скрытно от пользователя загружающий

различные вирусы, содержащиеся непосредственно в еготеле,

Proxy – троянец, позволяющий злоумышленнику анонимно

работать в Интернете через пораженный компьютер,

StartPage (синоним: Seeker) – троянец,

несанкционированно подменяющий адрес страницы,указанной браузеру в качестве домашней (стартовой),

Click – троянец, организующий перенаправление

пользовательских запросов браузеру на определенный сайт



(или сайты),

KeyLogger – троянец-шпион; отслеживает и записывает

нажатия клавиш на клавиатуре; может периодическипересылать собранные данные злоумышленнику,

AVKill – останавливает работу программ антивирусной

защиты, сетевые экраны и т.п.; также может удалять этипрограммы с диска,

KillFiles, KillDisk, DiskEraser – удаляют

некоторое множество файлов (файлы в определенныхкаталогах, файлы по маске, все файлы на диске и т. п.),

DelWin – удаляет необходимые для работы операционной

системы (Windows) файлы,

FormatC – форматирует диск C:

синоним: FormatAll – форматирует несколько или все

диски,

KillMBR – портит или стирает содержимое главного

загрузочного сектора (MBR),

KillCMOS – портит или стирает содержимое CMOS.

Средство использования уязвимостей

Exploit – средство, использующее известные уязвимости

некоторой операционной системы или приложения для

внедрения в систему вредоносного кода, вируса или

выполнения каких-либо несанкционированных действий.

Средства для сетевых атак

Nuke – средства для сетевых атак на некоторые известные

уязвимости операционных систем с целью вызватьаварийное завершение работы атакуемой системы,

DDoS – программа-агент для проведения распределенных

сетевых атак типа "отказ в обслуживании" (Distributed DenialOf Service),

FDOS (синоним: Flooder) – Flooder Denial Of Service –

программы для разного рода вредоносных действий в Сети,так или иначе использующие идею атаки типа "отказ вобслуживании"; в отличие от DDoS, где против одной цели



одновременно используется множество агентов, работающихна разных компьютерах, FDOS-программа работает какотдельная, "самодостаточная" программа.

Скрипт-вирусы

Префиксы вирусов, написанных на различных языках сценариев:

VBS – Visual Basic Script,

JS – Java Script,

Wscript – Visual Basic Script и/или Java Script,

Perl – Perl,

PHP – PHP,

BAT – язык командного интерпретатора ОС MS-DOS.

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а инымивредоносными программами:

Adware – рекламная программа,

Dialer – программа дозвона (перенаправляющая звонок

модема на заранее запрограммированный платный номерили платный ресурс),

Joke – программа-шутка,

Program – потенциально опасная программа (riskware),

Tool – программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса,

обозначающего среду или метод разработки, для обозначениятипичного представителя этого типа вирусов. Такой вирус необладает никакими характерными признаками (как текстовыестроки, специальные эффекты и т. д.), которые позволили быприсвоить ему какое-то особенное название.

Ранее для именования простейших безликих вирусовиспользовался префикс Silly с различными модификаторами.



Суффиксы

Суффиксы используются для именования некоторыхспецифических вирусных объектов:

generator – объект является не вирусом, а вирусным

генератором,

based – вирус разработан с помощью указанного вирусного

генератора или путем видоизменения указанного вируса. Вобоих случаях имена этого типа являются родовыми и могутобозначать сотни и иногда даже тысячи вирусов,

dropper – указывает, что объект является не вирусом, а

инсталлятором указанного вируса.



Приложение F. Защита корпоративнойсети с помощью Dr.Web® EnterpriseSuite

Антивирус Dr.Web для Windows обеспечивает надежную,гибкую, легко настраиваемую в соответствии с пожеланиямипользователя защиту от вирусов и других нежелательныхпрограмм.

Версии комплекса, предназначенные для рабочих станций и длясерверов ОС Windows, а также версии для других платформпозволяют организовать надежную защиту компьютеров любойорганизации. Однако функционирование компьютеров в средекорпоративной сети создает особые проблемы для антивируснойзащиты:

как правило, установка ПО на компьютеры в организациипроизводится администратором корпоративной сети.Установка антивирусных комплексов, их своевременноеобновление является для такого администраторазначительной дополнительной нагрузкой и требуетобеспечения физического доступа к компьютерам;

самостоятельное внесение недостаточноквалифицированными пользователями изменений внастройки антивирусной защиты (вплоть до ее отключенияиз-за кажущихся неудобств) создает "дыры" в защите –вирусы проникают внутрь корпоративной сети, после чего ихустранение становится более сложной задачей;

работа антивирусной защиты может быть полностьюэффективной только при условии анализа ее работыквалифицированным специалистом по антивируснойбезопасности – изучения протоколов, файлов,перемещенных в карантин и т. д. Данная работа затрудненав условиях, когда указанные сведения хранятся на десяткахи сотнях отдельных компьютеров.

Специально для решения указанных задач разработанпрограммный комплекс Dr.Web Enterprise Suite (далее Dr.Web



ES).

Dr.Web ES решает следующие задачи:

централизованная (без необходимости непосредственногодоступа персонала) установка антивирусных пакетовсоответствующего типа на защищаемые компьютеры(рабочие станции и серверы локальной сети);

централизованная настройка параметров антивирусныхпакетов;

централизованное обновление вирусных баз и программногообеспечения на защищаемых компьютерах;

мониторинг вирусных событий на всех защищаемыхкомпьютерах, а также состояния антивирусных пакетов иОС.

Dr.Web ES позволяет как сохранить за пользователемзащищаемых компьютеров права на настройку и управлениеантивирусными пакетами данных компьютеров, так и гибкоограничить их, вплоть до полного запрета.

Программный комплекс Dr.Web ES имеет архитектуру"клиент-сервер". Его компоненты устанавливаются на компьютерылокальной сети и обмениваются информацией, используя сетевыепротоколы (подробнее взаимодействие компонентов комплексаописано ниже). Совокупность компьютеров, на которыхустановлены взаимодействующие компоненты Dr.Web ES, будемназывать антивирусной сетью. В состав антивирусной сетивходят следующие компоненты:

Антивирусный агент. Этот компонент устанавливается назащищаемом компьютере, производит установку,обновление и управление антивирусным пакетом всоответствии с инструкциями, получаемыми с антивирусногосервера (см. ниже). Агент также передает на антивирусныйсервер информацию о вирусных событиях и другиенеобходимые сведения о защищаемом компьютере;

Антивирусный сервер. Этот компонент устанавливается наодном из компьютеров локальной сети. Антивирусныйсервер хранит дистрибутивы антивирусных пакетов дляразличных ОС защищаемых компьютеров, обновления



вирусных баз, антивирусных пакетов и антивирусныхагентов, пользовательские ключи и настройки пакетовзащищаемых компьютеров и передает их по запросу агентовна соответствующие компьютеры. Антивирусный серверведет единый журнал событий антивирусной сети и журналыпо отдельным защищаемым компьютерам;

Антивирусная консоль. Этот компонент используется дляудаленного управления антивирусной сетью путемредактирования настроек антивирусного сервера, а такженастроек защищаемых компьютеров, хранящихся наантивирусном сервере.

Антивирусная консоль может устанавливаться накомпьютеры, не входящие в состав локальной сети;требуется только, чтобы между консолью иантивирусным сервером была связь по протоколу TCP/IP.

Ниже представлена общая схема фрагмента локальной сети, начасти которой сформирована защищающая ее антивирусная сеть.

Весь поток команд, данных и статистической информации вантивирусной сети в обязательном порядке проходит черезантивирусный сервер. Антивирусная консоль также обмениваетсяинформацией только с сервером; изменения в конфигурациирабочей станции и передача команд антивирусному агентуосуществляется сервером на основе команд консоли.

Таким образом, логическая структура фрагмента антивируснойсети имеет вид, представленный ниже.

От сервера к рабочим станциям и обратно (сплошная тонкаялиния на рисунке) с использованием одного из поддерживаемыхсетевых протоколов (TCP, IPX или NetBIOS) передаются:



запросы агента на получение централизованного расписанияи централизованное расписание данной рабочей станции,

настройки агента и антивирусного пакета,

запросы на очередные задания, подлежащие выполнению(сканирование, обновление вирусных баз и т. п.),

модули антивирусных пакетов – при получении агентомзадания на их установку,

обновления ПО и вирусных баз – при выполнении заданияна обновление,

сообщения агента о конфигурации рабочей станции,

статистика работы агента и антивирусных пакетов длязаписи в централизованный журнал,

сообщения о вирусных событиях и других подлежащихфиксации событиях.

Объем трафика между рабочими станциями и сервером, взависимости от настроек рабочих станций и их количества, можетбыть весьма значительным, поэтому программный комплекс Dr.Web ES предусматривает возможность компрессии трафика.

Трафик между сервером и рабочей станцией может бытьзашифрован. Это позволяет избежать разглашения сведений,передаваемых по описываемому каналу, а также подмены ПО,загружаемого на рабочие станции.

Таким образом, Dr.Web ES позволяет:

предельно упростить процесс установки антивирусного ПОна защищаемые компьютеры, причем в большинстве случаев(для компьютеров, работающих под управлением ОСWindows 2000, ОС Windows XP, ОС Windows 2003, ОСWindows Vista) установка может производитьсяцентрализованно, без физического доступа к компьютеру;

централизованно настраивать антивирусное ПО ипроизводить его обновления с минимальнымитрудозатратами;

отслеживать состояние антивирусной защиты;

при необходимости централизованно запускать илипрерывать задания антивирусного ПО на компьютерах;



собирать и изучать информацию о вирусных событиях навсех защищаемых компьютерах;

при необходимости предоставить отдельным пользователямвозможность самостоятельно настраивать антивирусное ПО;

осуществлять управление антивирусной сетью и получениеинформации о ней администратором антивирусной защитыкак с рабочих мест в корпоративной сети, так и удаленночерез Интернет.

В крупных корпоративных сетях, насчитывающих сотни илитысячи компьютеров, целесообразно создавать средствами Dr.Web ES антивирусную сеть с несколькими серверами. При этоммежду серверами выстраивается иерархическая связь,позволяющая упростить процесс передачи на рабочие станцииобновлений вирусных баз и ПО и приема информации о вируснойситуации. Администратор получает возможность изучать отчеты оработе сети как для отдельных серверов, так и сводную по всейантивирусной сети.

Dr.Web ES в условиях корпоративной сети повышает надежностьантивирусной защиты и снижает расходы на ее обслуживание посравнению с установкой на защищаемые компьютерыперсональных антивирусных комплексов.

Программный комплекс Dr.Web Enterprise Suite имеет рядпреимуществ по сравнению с аналогичными продуктами:

высокая надежность и безопасность применяемых решений,

легкость администрирования,

мультиплатформенность всех компонентов,

прекрасная масштабируемость.

Мы рекомендуем приобрести и установить Dr.Web ES вследующих случаях:

ваша корпоративная сеть имеет значительный масштаб(несколько десятков компьютеров или более),



у вас малая сеть, однако, по тем или иным причинам(специфика ПО, оборудования или квалификацииперсонала) вы уже используете в этой сети политикужесткого администрирования установки и настройки ПО.

Для компьютеров, не включенных в корпоративную сеть,используйте персональные антивирусы Dr.Web для Windows иверсии Dr.Web для других платформ.



Приложение G. Dr.Web® AV-Desk дляпровайдеров интернет-услуг.

Программный комплекс Dr.Web AV-Desk позволяет упроститьзадачу поддержания антивирусной защиты большого числапользователей. Dr.Web AV-Desk предназначен для организаций,специализирующихся на оказании различного рода интернет-услуг(провайдеры доступа в интернет (ISP), поставщики услугприложений (ASP), а также банковских услуг (online banking) ит.д.).

AV-Desk позволяет установить антивирусные пакеты Dr.Web дляWindows на рабочие станции клиентов организации, управлятьих работой, обновлениями, оперативно отслеживать и решатьпроблемы, возникающие на компьютерах клиентов организации,без необходимости физического доступа к машинам или передачиинструкций пользователю.

Создание такой антивирусной сети решает ряд проблем, частовстречающихся в практике как корпоративных клиентов, так иотдельных пользователей:

в организациях установка ПО на компьютеры, как правило,производится администратором корпоративной сети.Установка антивирусных комплексов, их своевременноеобновление является для такого администраторазначительной дополнительной нагрузкой и требуетобеспечения физического доступа к компьютерам;

«на дому» пользователь не всегда вовремя отслеживаетвирусные события на своем компьютере или может вообщене устанавливать у себя антивирусное ПО;

недостаточно квалифицированные пользователи могутвносить в настройки антивирусной защиты изменения(вплоть до ее отключения из-за кажущихся неудобств),которые создают "дыры" в защите, тем самым значительноснижая уровень безопасности;



работа антивирусной защиты может быть полностьюэффективной только при условии анализа ее работыквалифицированным специалистом по антивируснойбезопасности – изучения протоколов, файлов,перемещенных в карантин и т. д. В условиях организацийданная работа затруднена тем, что указанные сведенияхранятся на десятках и сотнях отдельных компьютеров. В«домашних условиях» анализ работы антивируса обычно непроизводится.

Dr.Web AV-Desk разработан для решениия этих проблем. Онобеспечивает единую и надежную комплексную антивируснуюзащиту рабочих станций, экономит время и усилияадминистраторов и освобождает пользователей от необходимостизаниматься вопросами антивирусной защиты, без снижения уровнябезопасности.

Dr.Web AV-Desk выполняет следующие задачи:

простая установка ПО компонентов комплекса и быстраяорганизация антивирусной защиты,

создание дистрибутивов с уникальными идентификаторами ипередачу их пользователям для установки сервиса,

централизованная настройка параметров антивирусныхпакетов на защищаемых компьютерах сети,

централизованное обновление вирусных баз и программногообеспечения на защищаемых компьютерах,

мониторинг вирусных событий, а также состоянияантивирусных пакетов и ОС на всех защищаемыхкомпьютерах.

Программный комплекс Dr.Web AV-Desk имеет архитектуру "клиент-сервер". В состав антивирусной сети, организованной спомощью Dr.Web AV-Desk, входят следующие компоненты:



Антивирусный сервер. Этот компонент устанавливается наодном из компьютеров антивирусной сети. Антивирусныйсервер хранит дистрибутивы антивирусных пакетов дляразличных ОС защищаемых компьютеров, скриптывеб-консоли, обновления вирусных баз, антивирусныхпакетов и антивирусных агентов, пользовательские ключи инастройки пакетов защищаемых компьютеров и передает ихпо запросу агентов на соответствующие компьютеры.Антивирусный сервер ведет единый журнал событийантивирусной сети.

Антивирусная консоль. Этот компонент используется дляудаленного управления антивирусной сетью путемредактирования настроек антивирусного сервера, а такженастроек защищаемых компьютеров, хранящихся наантивирусном сервере и на защищаемых компьютерах.

Веб-консоль. Этот компонент позволяет создавать иредактировать учетные записи пользователей, а такжесоздавать для каждого пользователя индивидуальныедистрибутивы агента АV-Desk. Веб-консоль можетиспользоваться администратором на любом компьютере,имеющем доступ в Интернет.

Встроенный веб-сервер. Этот компонент устанавливаетсяавтоматически вместе с антивирусным сервером. Онпредставляет собой некоторое расширение стандарнойвеб-странички сервера и дает возможность:

o просматривать общую информацию о сервере AV-Desk,

o читать документацию,

o просматривать репозиторий.

Антивирусный агент AV-Desk. Этот компонентустанавливается на защищаемом компьютере, после чегопроизводит на нем установку антивирусного пакета. Вдельнейшем агент производит регулярные обновленияустановленного антивирусного ПО, передает ему команды инастройки с антивирусного сервера, а также отсылаетантивирусному серверу информацию о вирусных событиях идругие необходимые сведения о защищаемом компьютере.

Ниже представлена общая схема фрагмента антивирусной сети.



Весь поток команд, данных и статистической информации вантивирусной сети в обязательном порядке проходит черезантивирусный сервер. Антивирусная консоль также обмениваетсяинформацией только с сервером; изменения в конфигурациирабочей станции и передача команд антивирусному агентуосуществляется сервером на основе команд консоли.

В крупных сетях, насчитывающих сотни или тысячи компьютеров,целесообразно создавать средствами Dr.Web AV-Deskантивирусную сеть с несколькими серверами. При этом междусерверами выстраивается иерархическая связь, позволяющаяупростить процесс передачи на рабочие станции обновленийвирусных баз и ПО и приема информации о вирусной ситуации.Администратор получает возможность изучать отчеты о работесети как для отдельных серверов, так и сводную по всейантивирусной сети.

Dr.Web AV-Desk в условиях корпоративной сети повышаетнадежность антивирусной защиты и снижает расходы на ееобслуживание по сравнению с установкой на защищаемыекомпьютеры персональных антивирусных комплексов.

Программный комплекс Dr.Web AV-Desk имеет ряд преимуществпо сравнению с аналогичными продуктами:

высокая надежность и безопасность применяемых решений,

легкость администрирования,

мультиплатформенность всех компонентов,

прекрасная масштабируемость.

© 2009 ООО "Доктор Веб"

Documents

Drindex-of.es/Hacking/Anti-Virus Scanners/drweb-500-win-ru.pdf · Приложение d. Вредоносные программы и способы их обезвреживания