dr.web security space 9.0

«Доктор Веб», Центральный офис в России125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Веб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информацию о региональных представительствах и офисах Выможете найти на официальном сайте компании.

Dr.Web Security SpaceВерсия 9.0Руководство пользователя04.04.2014

© «Доктор Веб», 1992-2014. Все права защищены.

Материалы, приведенные в данном документе, являютсясобственностью «Доктор Веб» и могут быть использованыисключительно для личных целей приобретателя продукта.Никакая часть данного документа не может быть скопирована,размещена на сетевом ресурсе или передана по каналам связи и всредствах массовой информации или использована любым другимобразом кроме использования для личных целей без ссылки наисточник.

ТОРГОВЫЕ ЗНАКИDr.Web, SpIDer Mail, SpIDer Guard, CureIt!, CureNet!, AV-desk илоготипы Dr.WEB являются зарегистрированными товарнымизнаками «Доктор Веб» в России и/или других странах. Иныезарегистрированные товарные знаки, логотипы и наименованиякомпаний, упомянутые в данном документе, являютсясобственностью их владельцев.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИНи при каких обстоятельствах «Доктор Веб» и его поставщики ненесут ответственности за ошибки и/или упущения, допущенные вданном документе, и понесенные в связи с ними убыткиприобретателя продукта (прямые или косвенные, включаяупущенную выгоду).

«Доктор Веб»

Мы благодарны пользователям за поддержкурешений семейства Dr.Web!

«Доктор Веб» - российский разработчик средствинформационной безопасности.

«Доктор Веб» предлагает эффективные антивирусные иантиспам-решения как для государственных организаций и

крупных компаний, так и для частных пользователей.

Антивирусные решения семейства Dr.Web разрабатываются с 1992 года и неизменно демонстрируют превосходныерезультаты детектирования вредоносных программ,соответствуют мировым стандартам безопасности.

Сертификаты и награды, а также обширная географияпользователей свидетельствуют об исключительном

доверии к продуктам компании.

Руководство пользователя

4

Содержание

81. Введение

101.1. О чем эта документация

111.2. Используемые обозначения и сокращения

121.3. Системные требования

131.4. Методы обнаружения

171.5. Проверка антивируса

182. Установка программы

192.1. Первая установка

292.2. Удаление и изменение программы

313. Приступая к работе

353.1. Модуль управления SpIDer Agent

383.2. Основные настройки

393.2.1. Раздел Уведомления

443.2.2. Раздел Обновление

493.2.3. Раздел Антивирусная сеть

503.2.4. Раздел Превентивная защита

543.2.5. Раздел Dr.Web Cloud

563.2.6. Раздел Самозащита

583.2.7. Раздел Дополнительно

643.2.8. Раздел Сброс настроек

653.3. Лицензирование

673.3.1. Способы активации

683.3.2. Мастер регистрации


5

713.3.3. Менеджер лицензий

733.3.4. Продление лицензии

743.4. Менеджер Карантина

763.5. Антивирусная сеть

794. Сканер Dr.Web

804.1. Проверка компьютера

844.2. Действия при обнаружении угроз

864.3. Настройка Сканера

934.4. Запуск Сканера из командной строки

944.5. Консольный сканер

954.6. Запуск проверки по расписанию

965. SpIDer Guard

975.1. Управление SpIDer Guard

995.2. Настройка SpIDer Guard

1076. SpIDer Mail

1116.1. Управление SpIDer Mail

1126.2. Настройка SpIDer Mail

1227. Dr.Web для Outlook

1227.1. Настройка Dr.Web для Outlook

1247.2. Обнаружение угроз

1247.2.1. Вредоносные объекты

1257.2.2. Действия

1287.3. Проверка на спам

1297.3.1. Настройка спам-фильтра

1307.3.2. Черный и белый списки

1347.4. Регистрация событий


6

1347.4.1. Журнал операционной системы

1357.4.2. Текстовый журнал отладки

1377.5. Статистика проверки

1398. SpIDer Gate

1408.1. Управление SpIDer Gate

1418.2. Настройка SpIDer Gate

1469. Родительский контроль

1479.1. Управление модулем Родительский контроль

1489.2. Настройка модуля Родительский контроль

15710. Брандмауэр Dr.Web

15810.1. Обучение Брандмауэра

16310.2. Управление Брандмауэром

16610.3. Настройка Брандмауэра

16710.3.1. Раздел Приложения

17510.3.2. Раздел Интерфейсы



18910.4.1. Активные приложения

19110.4.2. Журнал приложений

19310.4.3. Журнал пакетного фильтра

19511. Автоматическое обновление

19611.1. Запуск обновления

198Приложения

198

Приложение А. Дополнительные параметрыкомандной строки

198Параметры для Сканера и Консольного сканера


7

205Параметры для Модуля обновления

211Коды возврата

212

Приложение Б. Угрозы и способы ихобезвреживания

213Классификация угроз

220Действия для обезвреживания угроз

222Приложение В. Принципы именования угроз

228Приложение Г. Техническая поддержка



1. Введение

Dr.Web Security Space обеспечивает многоуровневую защитусистемной памяти, жестких дисков и сменных носителей отпроникновений любых вирусов, руткитов, троянских программ,шпионского и рекламного ПО, хакерских утилит и всехвозможных типов вредоносных объектов из любых внешнихисточников.

Важной особенностью программы Dr.Web Security Spaceявляется модульная архитектура. Dr.Web Security Spaceиспользует программное ядро и вирусные базы, общие для всехкомпонентов и различных сред. В настоящее время наряду спрограммой Dr.Web Security Space поставляются версииантивируса для IBM® OS/2®, Novell® NetWare®, Macintosh®,Microsoft Windows Mobile®, Andorid®, Symbian®, а также рядасистем семейства Unix® (например, Linux®, FreeBSD® иSolaris®).

Dr.Web Security Space использует удобную и эффективнуюпроцедуру обновления вирусных баз и версий программногообеспечения через Интернет.

Dr.Web Security Space способен также обнаруживать и удалятьс компьютера различные нежелательные программы (рекламныепрограммы, программы дозвона, программы-шутки, потенциальноопасные программы, программы взлома). Для обнаружениянежелательных программ и действий над содержащими ихфайлами применяются стандартные средства антивирусныхкомпонентов программы Dr.Web Security Space.

Dr.Web Security Space может включать в себя следующиекомпоненты:

Сканер Dr.Web® – антивирусный сканер с графическиминтерфейсом, который запускается по запросупользователя или по расписанию и проводит антивируснуюпроверку компьютера. Существует также версия программыс интерфейсом командной строки (Консольный сканерDr.Web®);



SpIDer Guard® – антивирусный сторож, которыйпостоянно находится в оперативной памяти, осуществляяпроверку файлов и памяти «на лету», а также обнаруживаяпроявления вирусной активности;

SpIDer Mail® – почтовый антивирусный сторож, которыйперехватывает обращения любых почтовых клиентов,работающих на компьютере, к почтовым серверам попротоколам POP3/SMTP/IMAP4/NNTP (под IMAP4 имеется ввиду IMAPv4rev1), обнаруживает и обезвреживаетпочтовые вирусы до получения писем почтовым клиентом ссервера или до отправки письма на почтовый сервер.Почтовый сторож также может осуществлять проверкукорреспонденции на спам с помощью компонентаАнтиспам Dr.Web;

Dr.Web для Outlook – подключаемый модуль, которыйпроверяет почтовые ящики Microsoft Outlook на вирусы испам;

SpIDer Gate™ – веб-антивирус, который автоматическипроверяет входящий HTTP-трафик и блокирует передачуобъектов, содержащих вредоносные программы (принастройках по умолчанию);

Родительский контроль – компонент, с помощьюкоторого осуществляется ограничение доступапользователя к ресурсам, содержащимся как локально, насамом компьютере, так и в сети;

Dr.Web® Брандмауэр – персональный межсетевой экран,предназначенный для защиты компьютера отнесанкционированного доступа извне и предотвращенияутечки важных данных по сети;

Модуль обновления Dr.Web – компонент, которыйпозволяет зарегистрированным пользователям получатьобновления вирусных баз и других файлов Dr.Web, атакже производит их автоматическую установку;

SpIDer Agent – модуль управления, с помощью которогоосуществляется запуск и настройка компонентовпрограммы Dr.Web Security Space.



1.1. О чем эта документация

Настоящее руководство содержит необходимые сведения поустановке и эффективному использованию программы Dr.WebSecurity Space.

Подробное описание всех элементов графического интерфейсасодержится в справочной системе, доступной для запуска излюбого компонента программы.

Настоящее руководство содержит подробное описание процессаустановки, а также начальные рекомендации по егоиспользованию для решения наиболее типичных проблем,связанных с вирусными угрозами. В основном рассматриваютсянаиболее стандартные режимы работы компонентов программыDr.Web Security Space (настройки по умолчанию).

В Приложениях содержится подробная справочная информацияпо настройке программы Dr.Web Security Space,предназначенная для опытных пользователей.

В связи с постоянным развитием интерфейс программы может несовпадать с представленными в данном документеизображениями. Всегда актуальную справочную информацию вы

можете найти по адресу http://download.drweb.com/doc.

http://download.drweb.com/doc



1.2. Используемые обозначения исокращения

В данном руководстве используются обозначения, приведенные втаблице 1.

Таблица 1. Обозначения

Обозначение Комментарий

Полужирное начертание Названия элементов графическогоинтерфейса и примеры ввода, которыйнеобходимо выполнить в точности так, какон приведен в руководстве.

Зеленое и полужирноеначертание

Наименования продуктов «Доктор Веб»или их компонентов.

Зеленое иподчеркнутоеначертание

Ссылки на страницы руководства и веб-сайты.

Моноширинный шрифт Примеры кода, ввода для команднойстроки и информации, выводимойпользователю приложением.

Курсив Термины и замещающий текст (приводитсявместо информации, которую необходимоввести пользователю). В случае примеровввода командной строки курсив указываетна значения параметров.

ЗАГЛАВНЫЕ БУКВЫ Названия клавиш клавиатуры.

Знак плюс («+») Указывает на одновременность нажатияклавиш клавиатуры. Например, запись ALT+F1 обозначает, что необходимо нажатьклавишу F1, удерживая нажатой клавишуALT.

Восклицательный знак Важное замечание или предупреждение опотенциально опасных или чреватыхошибками ситуациях.



1.3. Системные требования

Перед установкой программы Dr.Web Security Space следует:

удалить с компьютера другие антивирусные программыдля предотвращения возможной несовместимости ихрезидентных компонентов с резидентными компонентамиDr.Web;

в случае установки Брандмауэра, удалить с компьютерадругие межсетевые экраны;

установить все рекомендуемые производителемоперационной системы критические обновления.

Использование программы Dr.Web Security Space возможно накомпьютере, удовлетворяющем следующим требованиям:

Компонент Требование

Процессор Полная поддержка системы команд i686.

Операционнаясистема

Для 32-разрядных операционных систем:

Windows® XP с пакетом обновлений SP2или SP3;

Windows Vista®;

Microsoft® Windows® 7;


Microsoft® Windows® 8.1.

Для 64-разрядных операционных систем:

Windows Vista®;



Microsoft® Windows® 8.1.

Возможно, потребуется загрузить с сайта Microsoftи установить обновления ряда системныхкомпонентов. Dr.Web Security Space сообщитвам, при необходимости, их наименования и URL.

Свободнаяоперативная память

512 МБ и больше.



Компонент Требование

Место на жесткомдиске

450 МБ для размещения компонентов продукта.

Файлы, создаваемые в ходе установки, потребуютдополнительного места.

Разрешение Рекомендуемое разрешение экрана не менее800x600.

Прочее Для обновления вирусных баз Dr.Web икомпонентов Dr.Web Security Space требуетсяподключение к сети Интернет.

1.4. Методы обнаружения

Все антивирусные продукты, разработанные компанией «ДокторВеб», применяют целый набор методов обнаружения угроз, чтопозволяет проверять подозрительные объекты максимальнотщательно.

Методы обнаружения угроз

Сигнатурный анализ

Этот метод обнаружения применяется в первую очередь. Онвыполняется путем проверки содержимого анализируемогообъекта на предмет наличия в нем сигнатур уже известныхугроз. Сигнатурой называется непрерывная конечнаяпоследовательность байт, необходимая и достаточная дляоднозначной идентификации угрозы. При этом сравнениесодержимого исследуемого объекта с сигнатурамипроизводится не напрямую, а по их контрольным суммам, чтопозволяет значительно снизить размер записей в вирусныхбазах, сохранив при этом однозначность соответствия и,следовательно, корректность обнаружения угроз и леченияинфицированных объектов. Записи в вирусных базахDr.Web составлены таким образом, что благодаря одной итой же записи можно обнаруживать целые классы илисемейства угроз.



Origins Tracing™

Это уникальная технология Dr.Web, которая позволяетопределить новые или модифицированные угрозы,использующие уже известные и описанные в вирусных базахмеханизмы заражения или вредоносное поведение. Онавыполняется по окончании сигнатурного анализа иобеспечивает защиту пользователей, использующихантивирусные решения Dr.Web, от таких угроз, как троянскаяпрограмма-вымогатель Trojan.Encoder.18 (также известнаяпод названием «gpcode»). Кроме того, использованиетехнологии Origins Tracing™ позволяет значительно снизитьколичество ложных срабатываний эвристическогоанализатора. К названиям угроз, обнаруженных при помощиOrigins Tracing™, добавляется постфикс .Origin.

Эмуляция исполнения

Метод эмуляции исполнения программного кода используетсядля обнаружения полиморфных и шифрованных вирусов,когда использование поиска по контрольным суммам сигнатурнеприменимо или значительно усложнено из-заневозможности построения надежных сигнатур. Методсостоит в имитации исполнения анализируемого кода припомощи эмулятора – программной модели процессора исреды исполнения программ. Эмулятор оперирует сзащищенной областью памяти (буфером эмуляции). При этоминструкции не передаются на центральный процессор дляреального исполнения. Если код, обрабатываемыйэмулятором, инфицирован, то результатом его эмуляциистанет восстановление исходного вредоносного кода,доступного для сигнатурного анализа.



Эвристический анализ

Работа эвристического анализатора основывается на набореэвристик (предположений, статистическая значимостькоторых подтверждена опытным путем) о характерныхпризнаках вредоносного и, наоборот, безопасногоисполняемого кода. Каждый признак кода имеетопределенный вес (т. е. число, показывающее важность идостоверность этого признака). Вес может быть какположительным, если признак указывает на наличиевредоносного поведения кода, так и отрицательным, еслипризнак не свойственен компьютерным угрозам. На основаниисуммарного веса, характеризующего содержимое объекта,эвристический анализатор вычисляет вероятностьсодержания в нем неизвестного вредоносного объекта. Еслиэта вероятность превышает некоторое пороговое значение,то выдается заключение о том, что анализируемый объектявляется вредоносным.

Эвристический анализатор также использует технологию FLY-CODE™ – универсальный алгоритм распаковки файлов. Этотмеханизм позволяет строить эвристические предположения оналичии вредоносных объектов в объектах, сжатыхпрограммами упаковки (упаковщиками), причем не толькоизвестными разработчикам продукта Dr.Web, но и новыми,ранее не исследованными программами. При проверкеупакованных объектов также используется технологияанализа их структурной энтропии, которая позволяетобнаруживать угрозы по особенностям расположенияучастков их кода. Эта технология позволяет на основе однойзаписи вирусной базы произвести обнаружение набораразличных угроз, упакованных одинаковым полиморфнымупаковщиком.

Поскольку эвристический анализатор является системойпроверки гипотез в условиях неопределенности, то он можетдопускать ошибки как первого (пропуск неизвестных угроз),так и второго рода (признание безопасной программывредоносной). Поэтому объектам, отмеченным эвристическиманализатором как «вредоносные», присваивается статус«подозрительные».



Во время любой из проверок все компоненты антивирусныхпродуктов Dr.Web используют самую свежую информацию обовсех известных вредоносных программах. Сигнатуры угроз иинформация об их признаках и моделях поведения обновляютсяи добавляются в вирусные базы сразу же, как толькоспециалисты Антивирусной Лаборатории «Доктор Веб»обнаруживают новые угрозы, иногда – до нескольких раз в час.Даже если новейшая вредоносная программа проникает накомпьютер, минуя резидентную защиту Dr.Web, то она будетобнаружена в списке процессов и нейтрализована послеполучения обновленных вирусных баз.



1.5. Проверка антивируса

Вы можете проверить работоспособность антивирусныхпрограмм, обнаруживающих вирусы по их сигнатурам, сиспользованием тестового файла EICAR (European Institute forComputer Anti-Virus Research).

Многими разработчиками антивирусов принято для этой целииспользовать одну и ту же стандартную программу test.com. Этапрограмма была специально разработана для того, чтобыпользователь, не подвергая свой компьютер опасности, могпосмотреть, как установленный антивирус будетсигнализировать об обнаружении вируса. Программа test.comне является сама по себе вредоносной, но специальнообрабатывается большинством антивирусных программ каквирус. Dr.Web Security Space называет этот «вирус»следующим образом: EICAR Test File (Not a Virus!).

Примерно так его называют и другие антивирусные программы.

Программа test.com представляет собой 68-байтный COM-файл, врезультате исполнения которого на консоль выводится текстовоесообщение: EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Файл test.com состоит только из текстовых символов, которыеформируют следующую строку:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Если вы создадите файл, содержащий приведенную выше строку,и сохраните его под именем test.com, то в результате получитсяпрограмма, которая и будет описанным выше «вирусом».

При работе в оптимальном режиме SpIDer Guard не прерываетзапуск тестового файла EICAR и не определяет даннуюоперацию как опасную, так как данный файл не представляетугрозы для компьютера. Однако при копировании или созданиитакого файла на компьютере SpIDer Guard автоматическиобрабатывает файл как вредоносную программу и по умолчаниюперемещает его в Карантин.




Перед установкой программы Dr.Web Security Space обратитевнимание на Системные требования, а также настоятельнорекомендуется:

установить все критические обновления, выпущенныекомпанией Microsoft для вашей версии операционнойсистемы (их можно загрузить и установить с сайтаобновлений по адресу http://windowsupdate.microsoft.com);

проверить при помощи системных средств файловуюсистему и устранить обнаруженные дефекты;

закрыть активные приложения.

Перед установкой следует также удалить с компьютера другиеантивирусные программы и межсетевые экраны дляпредотвращения возможной несовместимости их резидентныхкомпонентов.

http://windowsupdate.microsoft.com



2.1. Первая установка

Для установки Dr.Web необходимы права Администратора.

Установка программы Dr.Web Security Space возможна в любомиз следующих режимов:

в фоновом режиме;

в обычном режиме.

Установка с параметрами командной строки

Для запуска установки программы Dr.Web Security Space спараметрами командной строки, в командной строке введите имяисполняемого файла с необходимыми параметрами (параметрывлияют на установку в фоновом режиме, язык установки,перезагрузку после окончания установки и установкуБрандмауэра):

Параметр Значение

reboot Автоматическая перезагрузка компьютера послезавершения установки.

installFirewall Будет установлен Брандмауэр Dr.Web.

lang Язык продукта. Значение параметра – код языка вформате ISO 639-1.

silent Установка в фоновом режиме.

Например, при запуске следующей команды будет проведенаустановка программы Dr.Web Security Space в фоновом режимеи проведена перезагрузка после установки:

C:\Documents and Settings\drweb-900-win-space.exe /silent yes /reboot yes



Установка в обычном режиме

Чтобы запустить установку в обычном режиме, воспользуйтесьодним из следующих методов:

в случае поставки установочного комплекта в виде единогоисполняемого файла запустите на исполнение этот файл;

в случае поставки установочного комплекта на фирменномдиске вставьте диск в привод. Если для привода включенрежим автозапуска диска, процедура установки запуститсяавтоматически. Если режим автозапуска отключен,запустите на выполнение файл autorun.exe, расположенныйна диске. Откроется окно, содержащее меню автозапуска.Нажмите кнопку Установить.

Следуйте указаниям программы установки. На любом шаге доначала копирования файлов на компьютер вы можете выполнитьследующее:

чтобы вернуться к предыдущему шагу программыустановки, нажмите кнопку Назад;

чтобы перейти на следующий шаг программы, нажмитекнопку Далее;

чтобы прервать установку, нажмите кнопку Отмена.



Процедура установки

1. Если на вашем компьютере уже установлен другойантивирус, то программа установки предупредит вас онесовместимости программы Dr.Web Security Space ииных антивирусных решений, и предложит удалить их.

Перед началом установки проверяется актуальностьустановочного файла. В случае, если существует болееновый установочный файл, вам будет предложено егоскачать.

2. Ознакомьтесь с лицензионным соглашением. Дляпродолжения установки его необходимо принять.

Нажмите кнопку Далее.



3. На следующем шаге вам будет предложено установитьБрандмауэр Dr.Web.




4. Далее вам будет предложено подключиться к «облачным»сервисам Dr.Web, которые позволят осуществлятьпроверку данных, используя наиболее свежуюинформацию об угрозах, которая обновляется на серверахкомпании «Доктор Веб» в режиме реального времени.




5. В окне Мастер регистрации программа установкипредупредит вас о том, что для работы программыDr.Web Security Space необходима лицензия.

Выполните одно из следующих действий:

если у вас есть ключевой файл и он находится нажестком диске или сменном носителе, выберитеУказать путь к действующему ключевомуфайлу и в стандартном окне открытия файлавыберите ключевой файл. Для изменения путинажмите кнопку Обзор и выберите другой ключевойфайл;

если у вас нет ключевого файла, но вы готовы егополучить в процессе установки, выберите Получитьфайл в процессе установки;

для продолжения установки без лицензии выберитеПолучить ключевой файл позднее. Обновленияне будут загружаться до тех пор, пока вы неукажетеили не получите ключевой файл.



Используйте только ключевой файл вариантаDr.Web Security Space. Ключевой файл должен иметьрасширение .key.


6. Откроется окно с сообщением о готовности к установке.Вы можете запустить процесс установки с параметрами поумолчанию, нажав кнопку Установить.

Для того чтобы самостоятельно выбрать устанавливаемыекомпоненты, указать путь установки и некоторыедополнительные параметры установки, нажмитеПараметры установки. Данная опция предназначенадля опытных пользователей.

7. Если на предыдущем шаге вы нажали кнопку Установить,то перейдите к описанию шага 10. В противном случаеоткроется окно Параметры установки.



На первой вкладке вы можете изменить составустанавливаемых компонентов.

8. На следующей вкладке при необходимости вы можетеизменить путь установки.



9. Если на шаге 5 вы указали действующий ключевой файлили выбрали пункт Получить лицензию в процессеустановки, то на последней вкладке окна вы можетеустановить флажок Загрузить обновления во времяустановки, чтобы в процессе установки были загруженыактуальные вирусные базы и другие модули антивируса.Также вам будет предложено настроить создание ярлыковдля запуска программы Dr.Web Security Space.

После того, как все необходимые изменения будутвнесены, нажмите кнопку ОК.

10. Если на шаге 5 вы выбрали Получить лицензию впроцессе установки, то на следующем шаге программапопытается получить ключевой файл через Интернет припомощи процедуры регистрации пользователя.



11. Если в процессе установки вы указали или получилидействующий ключевой файл и на шаге 9 установилифлажок Загрузить обновления во время установки, атакже во время установки по умолчанию, будет выполненпроцесс обновления вирусных баз и других компонентовпрограммы Dr.Web Security Space. Обновлениепроводится автоматически и не требует дополнительныхдействий.

12. Для завершения процесса установки выполнитеперезагрузку компьютера.



2.2. Удаление и изменение программы

1. Запустите программу установки при помощи утилитыустановки и удаления программ операционной системыWindows.

2. В открывшемся окне выберите режим работы программыустановки:

чтобы изменить состав устанавливаемыхкомпонентов, выберите вариант Изменитькомпоненты;

чтобы восстановить антивирусную защиту на вашемкомпьютере, выберите вариант Восстановитьпрограмму;

чтобы удалить все установленные компоненты,выберите пункт Удалить программу.



3. Для удаления программы Dr.Web Security Space илиизменения состава компонентов введите кодподтверждения, изображенный в открывшемся окне.

4. При необходимости по просьбе программы перезагрузитекомпьютер для завершения процедуры удаления илиизменения состава компонентов.




Программа установки позволяет установить на компьютерследующие компоненты антивирусной защиты:

Сканер Dr.Web для Windows (с GUI-интерфейсом иконсольную версию);

сторож SpIDer Guard;

почтовый сторож SpIDer Mail;

подключаемый модуль Dr.Web для Outlook;

веб-антивирус SpIDer Gate;

Родительский контроль;

межсетевой экран Брандмауэр Dr.Web;

компонент Антиспам;

Модуль автоматического обновления Dr.Web;

модуль управления SpIDer Agent.

Компоненты антивирусной защиты используют общие вирусныебазы и единые алгоритмы обнаружения вирусов в проверяемыхобъектах. Однако методика выбора объектов для проверкисущественно различается, что позволяет использовать этикомпоненты для организации существенно разных,взаимодополняющих стратегий защиты компьютера.

Так, Сканер Dr.Web проверяет (по команде пользователя илиавтоматически, по расписанию) определенные файлы (всефайлы, выбранные логические диски, каталоги и т. д.). При этомпо умолчанию проверяется также оперативная память. Так каквремя запуска задания выбирается пользователем, можно неопасаться нехватки вычислительных ресурсов для других важныхпроцессов.



Сторож SpIDer Guard постоянно находится в памятикомпьютера и перехватывает обращения к объектам файловойсистемы. По умолчанию программа проверяет на наличиевирусов открываемые файлы на сменных носителях изапускаемые, создаваемые или изменяемые файлы на жесткихдисках. Благодаря менее детализированному способу проверкипрограмма практически не создает помех другим процессам накомпьютере, однако, это осуществляется за счетнезначительного снижения надежности обнаружения вирусов.

Достоинством программы является непрерывный, в течение всеговремени работы компьютера, контроль вирусной ситуации. Крометого, некоторые вирусы могут быть обнаружены только сторожемпо специфичным для них действиям.

Почтовый сторож SpIDer Mail также постоянно находится впамяти. Программа перехватывает все обращения почтовыхклиентов вашего компьютера к почтовым серверам попротоколам POP3/SMTP/IMAP4/NNTP и проверяет входящую (иисходящую) почту до ее приема (или отправки) почтовымклиентом. SpIDer Mail ориентирован на проверку всеготекущего почтового трафика, проходящего через компьютер, врезультате чего проверка почтовых ящиков становится болееэффективной и менее ресурсоемкой. В частности, могутотслеживаться попытки массовой рассылки почтовыми червямисвоих копий по адресной книге пользователя с помощьюсобственных реализаций почтовых клиентов, которые могут бытьвстроены в функциональность вирусов. Это также позволяетотключить проверку почтовых файлов в SpIDer Guard, чтозначительно снижает потребление ресурсов компьютера.



Веб-антивирус SpIDer Gate при настройках по умолчаниюавтоматически проверяет входящий HTTP-трафик и блокируетпередачу объектов, содержащих вредоносные программы. Черезпротокол HTTP работают веб-обозреватели (браузеры),менеджеры загрузки и многие другие приложения,обменивающиеся данными с веб-серверами, т. е. работающие ссетью Интернет. При базовых настройках SpIDer Gateблокирует передачу объектов, содержащих вредоносныепрограммы. Программа постоянно находится в оперативнойпамяти компьютера и автоматически запускается при загрузкеWindows.

С помощью модуля Родительский контроль осуществляетсяограничение доступа пользователя к ресурсам, содержащимсякак локально, на самом компьютере, так и в сети. Ограничениедоступа к ресурсам локальной файловой системы позволяетсохранить целостность важных файлов и защитить их отзаражения вирусами, а также сохранит необходимуюконфиденциальность данных. Существует возможность защитыкак отдельных файлов, так и папок целиком, расположенных какна локальных дисках, так и на внешних носителях информации.Также можно наложить полный запрет на просмотр информациисо всех внешних носителей. Контроль доступа к интернет-ресурсам позволяет как оградить пользователя от просмотровнежелательных веб-сайтов (сайтов, посвященных насилию,азартным играм и т. п.), так и разрешить пользователю доступтолько к тем сайтам, которые определены настройками модуляРодительский контроль.

Персональный межсетевой экран Брандмауэр Dr.Webпредназначен для защиты вашего компьютера отнесанкционированного доступа извне и предотвращения утечкиважных данных по сети. Брандмауэр позволяет вамконтролировать подключение и передачу данных по сетиИнтернет и блокировать подозрительные соединения на уровнепакетов и приложений.



Организация антивирусной защиты

Для организации эффективной антивирусной защиты можнорекомендовать следующую схему использования компонентовDr.Web:

при помощи Сканера Dr.Web произвести проверку всейфайловой системы компьютера с предусмотренными поумолчанию (максимальными) настройками подробностипроверки;

сохранить настройки SpIDer Guard по умолчанию;

осуществлять полную проверку почты при помощиSpIDer Mail;

осуществлять проверку входящего HTTP-трафика припомощи SpIDer Gate;

блокировать все неизвестные соединения с помощьюБрандмауэра Dr.Web;

периодически, по мере обновления вирусных баз,повторять полную проверку компьютера (не реже раза внеделю);

в случае временного отключения SpIDer Guard, если вэтот период компьютер подключался к сети Интернет илипроизводилась загрузка файлов со сменного носителя,провести полную проверку немедленно.

Антивирусная защита может быть эффективной только приусловии своевременного (желательно ежечасного) полученияобновлений вирусных баз и других файлов Dr.Web(см. Автоматическое обновление).

Использование компонентов программы Dr.Web Security Spaceподробнее описано в следующих разделах.



3.1. Модуль управления SpIDer Agent

После установки программы Dr.Web Security Space в область

уведомлений Windows добавляется значок SpIDer Agent .

При наведении курсора мыши на значок появляетсявсплывающая подсказка с информацией о запущенныхкомпонентах, а также датой последнего обновления антивируса иколичеством записей в вирусных базах. Также, в соответствии снастройками, над значком SpIDer Agent могут появлятьсяразличные подсказки-уведомления.

С помощью меню модуля управления SpIDer Agentосуществляется запуск и настройка компонентов программыDr.Web Security Space.

Пункт О программе открывает окно с информацией о версиипрограммы Dr.Web Security Space, перечнями входящих в неепрограммных модулей и вирусных баз.

Пункт Зарегистрировать лицензию запускает процедурурегистрации пользователя для получения ключевого файла ссервера компании «Доктор Веб».



Пункт Мой Dr.Web открывает вашу персональную страницу насайте компании «Доктор Веб». На данной странице вы сможетеполучить информацию о вашей лицензии (срок действия,серийный номер), продлить срок ее действия, задать вопросслужбе поддержки и многое другое.

Пункт Справка открывает файл справки программы Dr.WebSecurity Space.

Пункт Обновление открывает окно Модуля обновления, вкотором вы можете запустить обновление.

Пункты SpIDer Guard, SpIDer Mail, SpIDer Gate,Родительский контроль, Брандмауэр, Обновлениеоткрывают доступ к настройкам, статистике и управлениюсоответствующих компонентов.

Пункт Сканер запускает Сканер Dr.Web.

Для доступа к настройкам компонентов и для перехода к онлайн-сервису Мой Dr.Web также необходимо ввести пароль, если в разделе Самозащита Основных настроек программы Dr.WebSecurity Space вы установили флажок Защищать паролемнастройки Dr.Web.

Пункт Инструменты открывает меню, предоставляющее доступ:

к Менеджеру лицензий (см. Менеджер лицензий);

к настройкам общих параметров работы программыDr.Web Security Space (см. Основные настройки) инастройкам отдельных компонентов;

к Менеджеру Карантина (см. Менеджер Карантина);

к статистике компонентов;

к Антивирусной сети;

к созданию отчета.



При обращении в службу технической поддержки компании«Доктор Веб» вы можете сформировать отчет о вашейоперационной системе и работе программы Dr.Web SecuritySpace. Для настройки параметров в открывшемся окне нажмитеПараметры отчета. Отчет будет сохранен в виде архива вкаталоге Doctor Web, расположенном в папке профиляпользователя %USERPROFILE%.

Пункт Административный/Пользовательский режимпозволяет переключаться между полнофункциональнымАдминистративным режимом и ограниченнымПользовательским режимом работы с программой Dr.WebSecurity Space. В Пользовательском режиме действуютследующие ограничения: недоступны настройки компонентов ифункции отключения всех компонентов и самозащиты. Дляпереключения в Административный режим вам необходимыправа администратора.

Данный пункт отображается только при отсутствииадминистративных привилегий. Например, при работе в средеWindows XP в пользовательском режиме, или в среде WindowsVista или Microsoft Windows 7 при включенной системе контроляучетной записи UAC. В противном случае данный пунктнедоступен и SpIder Agent сразу предоставляет доступ ко всемфункциям.



3.2. Основные настройки

Настройки программы Dr.Web Security Space недоступны впользовательском режиме.

Единый центр управления настройками позволяет задать какобщие параметры работы антивирусного комплекса, так ииндивидуальные настройки всех компонентов программы Dr.WebSecurity Space за исключением Сканера.

Общая настройка программы Dr.Web Security Space

1. Щелкните значок SpIDer Agent в областиуведомлений Windows.

2. В подменю Инструменты выберите пункт Настройки.Откроется раздел Основные общего окна настроек.

3. Внесите необходимые изменения. Для полученияинформации о настройках, расположенных в разделе,нажмите на ссылку Справка.



3.2.1. Раздел Уведомления

В данном разделе вы можете задать типы подсказок-уведомлений, отправляемых по почте и появляющихся в виде

всплывающего окна над значком SpIDer Agent в областиуведомлений Windows.



Настройка уведомлений

1. Чтобы включить режим нотификации о событиях,установите флажок Использовать уведомления.

2. Нажмите кнопку Параметры уведомлений. Откроетсяокно со списком возможных уведомлений.

3. Выберите уведомления, которые вы хотите получать, иустановите соответствующие флажки. Чтобы отображатьэкранные уведомления, устанавливайте флажок в столбцеЭкран. Чтобы получать оповещения по почте,устанавливайте флажок в столбце Почта.

4. При необходимости задайте дополнительные параметрыотображения экранных оповещений:

Флажок Описание

Не показыватьуведомления вполноэкранномрежиме

Установите этот флажок, чтобы не получатьуведомления при работе с приложениями вполноэкранном режиме (просмотр фильмов,графики и т. д.).

Снимите этот флажок, чтобы получатьуведомления всегда.




ОтображатьуведомленияБрандмауэра наотдельномэкране вполноэкранномрежиме

Установите этот флажок, чтобы уведомленияот Брандмауэра отображались на отдельномрабочем столе во время работы приложений вполноэкранном режиме (игры, видео).

Снимите этот флажок, чтобы уведомлениявыводились на том же рабочем столе, накотором запущено приложение вполноэкранном режиме.

5. Если вы выбрали одно или несколько почтовыхуведомлений, настройте отправку почты с вашегокомпьютера.

6. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтменить для отказа от них.



Настройка почтовых уведомлений

1. Чтобы включить режим нотификации о событиях попочте, убедитесь, что флажок Использоватьуведомления установлен и в окне Параметрыуведомлений выбраны нужные типы оповещений.

2. Установите флажок Высылать уведомления наэлектронную почту.

3. Нажмите кнопку Параметры почты. Откроется окнонастройки параметров.

4. В окне Параметры почты укажите следующуюинформацию:

Настройка Описание

Адресэлектроннойпочты

Укажите почтовый адрес, на который выхотите получать оповещения выбранныхтипов.

Почтовый сервер Укажите адрес почтового сервера, которыйдолжен использовать Dr.Web SecuritySpace для отправки почтовых оповещений.




Порт Укажите порт почтового сервера, к которомудолжен подключаться Dr.Web SecuritySpace для отправки почтовых оповещений.

Логин Укажите имя учетной записи дляподключения к почтовому серверу.

Пароль Укажите пароль учетной записи дляподключения к почтовому серверу.

Безопасность Выберите параметры безопасности приподключении к почтовому серверу.

Методаутентификации

Выберите метод аутентификации,используемый для подключения к почтовомусерверу.

5. Нажмите кнопку Проверить, чтобы отправить тестовоесообщение на указанный адрес через заданный почтовыйсервер. Если в течение некоторого времени вы неполучите данное сообщение, проверьте настройкипочтовых параметров.


Временное отключение уведомлений

Чтобы временно отключить отправку почтовых оповещений,снимите флажок Высылать уведомления наэлектронную почту.

Чтобы временно отключить уведомления всех типов, снимитефлажок Использовать уведомления.



3.2.2. Раздел Обновление

В данном разделе вы можете настроить параметры обновленияпрограммы Dr.Web Security Space. Вы можете указать источникобновлений, какие компоненты необходимо обновлять,периодичность, с которой будут происходить обновления, атакже настроить прокси-сервер и зеркало обновлений.


Обновляемыекомпоненты

Вы можете выбрать один из вариантов загрузкиобновлений:

Все (рекомендуется), при которомзагружаются обновления как для вирусныхбаз Dr.Web, так и для антивирусного ядра идругих программных компонентов программыDr.Web Security Space;

Только базы, при котором загружаются толькообновления вирусных баз Dr.Web иантивирусного ядра; другие компонентыпрограммы Dr.Web Security Space необновляются.




Периодичностьобновлений

Вы можете выбрать периодичность, с которой будетпроизводиться проверка на наличие обновлений.

Источникобновлений

Вы можете указать удобный для вас источникобновлений.

Прокси-сервер Вы можете настроить подключение к прокси-серверу.

Зеркалообновлений

Вы можете создать зеркало обновлений, котороесмогут использовать другие компьютеры в локальнойсети, на которых установлен продукт Dr.Web.



Источник обновлений

Для того чтобы выбрать источник обновлений, нажмите кнопкуИзменить.

В открывшемся окне укажите удобный для вас источникобновлений:

Интернет (рекомендуется) – обновление с серверовкомпании «Доктор Веб». Этот источник указан поумолчанию.

Локальная или сетевая папка – обновление излокальной или сетевой папки, в которую скопированыобновления. Укажите путь к папке (для этого нажмитекнопку Обзор и выберите нужный каталог, или введитепуть вручную), а также имя пользователя и пароль, еслитребуется.

Антивирусная сеть – обновление через локальную сеть скомпьютера, на котором установлен продукт Dr.Web исоздано зеркало обновлений.



Подключение прокси-сервера

По умолчанию используется режим прямого подключения. Принеобходимости вы можете выбрать режим работы с прокси-сервером и задать настройки подключения к прокси-серверу. Дляэтого нажмите кнопку Изменить. Откроется окно настройкиподключения.

Выберите режим Использовать прокси-сервер. Укажитенастройки подключения к прокси-серверу:


Адрес Укажите адрес прокси-сервера.

Порт Укажите порт прокси-сервера.

Пользователь Укажите имя учетной записи для подключения кпрокси-серверу.

Пароль Укажите пароль учетной записи, используемой дляподключения к прокси-серверу.

Типавторизации

Выберите тип авторизации, требуемый дляподключения к прокси-серверу.



По окончании редактирования списка нажмите кнопку ОК длясохранения внесенных изменений или кнопку Отменить дляотказа от них. Чтобы отредактировать настройки подключения кпрокси-серверу, еще раз нажмите кнопку Изменить.

Создание зеркала обновлений

Чтобы ваш компьютер могли использовать как источникобновлений другие компьютеры в локальной сети, на которыхустановлен продукт Dr.Web, нажмите кнопку Изменить впункте Зеркало обновлений и в открывшемся окне выберитеСоздавать зеркало обновлений. Укажите путь к папке, в которуюбудут копироваться обновления. Если ваш компьютер входит внесколько подсетей, вы можете указать адрес, который будетдоступен только для одной из подсетей. Также вы можетеуказать порт, на котором сервер HTTP будет принимать запросына соединение.



3.2.3. Раздел Антивирусная сеть

В данном разделе вы можете разрешить удаленное управлениевашим антивирусом с других компьютеров локальной сети припомощи компонента Антивирусная сеть. Вхождение в составантивирусной сети позволяет создавать на вашем компьютерезеркала обновлений, а также удаленно контролироватьсостояние антивирусной защиты (просматривать статистику,включать и отключать компоненты программы Dr.WebSecurity Space, а также изменять их настройки).

Для предотвращения несанкционированного доступа кнастройкам программы Dr.Web Security Space на вашемкомпьютере необходимо задать пароль для удаленногоуправления.



3.2.4. Раздел Превентивная защита

В данном разделе вы можете настроить реакцию программыDr.Web Security Space на действия сторонних приложений,которые могут привести к заражению вашего компьютера. Такжевы можете защитить свои данные от нежелательных изменений.

Уровень превентивной защиты

В режиме работы Минимальный, установленном по умолчанию,Dr.Web Security Space запрещает автоматическое изменениесистемных объектов, модификация которых однозначносвидетельствует о попытке вредоносного воздействия наоперационную систему. Также запрещается низкоуровневыйдоступ к диску и модификация файла HOSTS.



При повышенной опасности заражения вы можете поднятьуровень защиты до Среднего. В данном режиме дополнительнозапрещается доступ к тем критическим объектам, которые могутпотенциально использоваться вредоносными программами.

В данном режиме защиты возможны конфликты совместимостисо сторонним программным обеспечением, использующимзащищаемые ветки реестра.

При необходимости полного контроля за доступом к критическимобъектам Windows вы можете поднять уровень защиты доПараноидального. В данном случае вам также будет доступенинтерактивный контроль за загрузкой драйверов, автоматическимзапуском программ и работой системных служб.

Защищаемыйобъект

Описание

Целостностьзапущенныхприложений

Данная настройка позволяет отслеживать процессы,которые внедряются в запущенные приложения, чтоявляется угрозой безопасности компьютера. Неотслеживается поведение тех процессов, которыедобавлены в исключения SpIDer Guard.

Целостностьфайловпользователей

Данная настройка позволяет отслеживать процессы,которые модифицируют пользовательские файлы поизвестному алгоритму, свидетельствующему о том,что такие процессы являются угрозой безопасностикомпьютера. Не отслеживается поведение техпроцессов, которые добавлены в исключенияSpIDer Guard. Для того чтобы защитить свои данныеот несанкционированных изменений, вы можетенастроить создание защищаемых копий важныхфайлов.

Файл HOSTS Файл HOSTS используется операционной системойдля упрощения доступа к сети Интернет. Измененияэтого файла могут быть результатом работы вирусаили другой вредоносной программы.

Низкоуровневыйдоступ к диску

Данная настройка позволяет запрещать приложениямзапись на жесткий диск посекторно, не обращаясь кфайловой системе.



Защищаемыйобъект

Описание

Загрузкадрайверов

Данная настройка позволяет запрещать приложениямзагрузку новых или неизвестные драйверов.

Критическиеобласти Windows

Прочие настройки позволяют защищать отмодификации ветки реестра (как в системномпрофиле, так и в профилях всех пользователей).

Если при установке важных обновлений от Microsoft или приустановке и работе программ (в том числе программдефрагментации) возникают проблемы, отключитесоответствующие опции в этой группе настроек.

Защита от потери данных

Для того чтобы защитить важные файлы от измененийвредоносным программным обеспечением, вы можетевоспользоваться функцией Защиты от потери данных. Этафункция позволяет создавать копии содержимого выбранныхвами папок.

Для настройки создания резервных копий нажмите Изменить. Воткрывшемся окне выберите опцию Включить защиту отпотери данных. Нажмите кнопку Добавить, чтобы указатьпапки, содержимое которых будет копироваться. В любой моментвы можете добавить новую папку. Также вы можете указать дискдля хранения копий и периодичность, с которой эти копии будутсоздаваться. Через указанный промежуток времени Dr.Webбудет проверять файлы в указанных папках на наличиеизменений, и создавать копию, если изменения были внесены.

Также вы можете удалить копии, чтобы очистить место на диске(на самих файлах удаление копий не отразится), и запретитьзапуск создания копий при работе от батареи.



В случае, если ваши файлы были повреждены, вы можетевосстановить их копии за определенную дату. Для этого вглавном окне нажмите кнопку Восстановить. В открывшемсяокне вы можете выбрать дату, за которую все имеющиеся на тотмомент копии файлов будут восстановлены в указанную вамипапку.

Чтобы запустить создание копий вручную, в главном окненажмите кнопку Создать. В открывшемся окне задайте описаниедля новой копии.



3.2.5. Раздел Dr.Web Cloud

В данном разделе вы можете подключиться к «облачным»сервисам компании «Доктор Веб» и программе улучшениякачества работы продуктов Dr.Web.

«Облачные» сервисы

Dr.Web Cloud Checker позволяет антивирусной защитеиспользовать свежую информацию об угрозах, обновляемую насерверах компании «Доктор Веб» в режиме реального времени.

В зависимости от настроек обновления информация об угрозах,использумая компонентами вашей антивирусной защиты, можетустаревать. Использование «облачных» сервисов позволяетгарантированно оградить пользователей вашего компьютера отсайтов с нежелательным содержимым, а также отинфицированных файлов.



Программа улучшения качества ПО

При участии в программе на сервера компании «Доктор Веб»будут автоматически отправляться обезличенные сведения оработе программы Dr.Web Security Space на вашемкомпьютере, в частности, сведения о созданных вами правилахБрандмауэра Dr.Web. Полученная информация не будетиспользоваться для идентификации пользователя или связи сним.

Нажмите на ссылку Политика конфиденциальности «ДокторВеб», чтобы ознакомиться с политикой конфиденциальности наофициальном сайте компании «Доктор Веб».



3.2.6. Раздел Самозащита

В данном разделе вы можете настроить параметры защиты самойпрограммы Dr.Web Security Space от несанкционированноговоздействия, например, анти-антивирусных программ, а также отслучайного повреждения.

Настройка Включить самозащиту позволяет защитить файлы ипроцессы программы Dr.Web Security Space отнесанкционированного доступа. Отключать самозащиту нерекомендуется.

В случае возникновения проблем при использовании программдефрагментации, рекомендуется временно отключить модульсамозащиты.

Для того чтобы произвести возврат к точке восстановлениясистемы, необходимо отключить модуль самозащиты.



Настройка Запрещать эмуляцию действий пользователяпозволяет предотвратить любые изменения в работе программыDr.Web Security Space, производимые автоматизированно. Втом числе будет запрещено исполнение скриптов, эмулирующихработу пользователя с программой Dr.Web Security Space,запущенных самим пользователем.

Настройка Запрещать изменение даты и времени системыпозволяет заблокировать ручное и автоматическое изменениесистемных даты и времени, а также часового пояса. Этоограничение устанавливается для всех пользователей системы.Данная настройка позволит точнее работать функцииограничения времени в модуле Родительский контроль. Вслучае, если в модуле Родительский контроль заданыограничения времени работы за компьютером или в сетиИнтернет, эта настройка включается автоматически. Вы можетенастроить получение уведомлений в том случае, еслиосуществлялась попытка изменить системное время.

Настройка Защищать паролем настройки Dr.Web позволяетустановить пароль для доступа к настройкам программы Dr.WebSecurity Space на вашем компьютере. Задайте пароль, которыйбудет запрашиваться при обращении к настройкам программыDr.Web Security Space.




В данном разделе вы можете задать дополнительные настройкиработы антивирусной защиты.

Вы можете выбрать из выпадающего списка язык программы.Список языков пополняется автоматически и содержит вседоступные на текущий момент локализации графическогоинтерфейса программы Dr.Web Security Space.

Настройки Отчета

Для управления настройками отчета нажмите соответствующуюкнопку Изменить.



По умолчанию для всех компонентов программы Dr.WebSecurity Space отчеты ведутся в стандартном режиме,фиксирующем следующую информацию:

Компонент Информация

SpIDer Guard Проведение обновлений, запуск и останов сторожаSpIDer Guard, вирусные события, данные опроверяемых файлах, именах упаковщиков исодержимом проверяемых составных объектов(архивов, файлов электронной почты или файловыхконтейнеров).

Рекомендуется использовать этот режим дляопределения объектов, которые сторож SpIDerGuard проверяет наиболее часто. Принеобходимости вы можете добавить такие объекты всписок исключений, что может снизить нагрузку накомпьютер.



Компонент Информация

SpIDer Mail Проведение обновлений, запуск и останов почтовогосторожа SpIDer Mail, вирусные события, параметрыперехвата соединений, а также данные опроверяемых файлах, именах упаковщиков исодержимом проверяемых архивов.

Рекомендуется использовать этот режим дляпроверки настроек перехвата соединений спочтовыми серверами.

SpIder Gate Проведение обновлений, запуск и останов веб-антивируса SpIDer Gate, вирусные события,параметры перехвата соединений, а также данные опроверяемых файлах, именах упаковщиков исодержимом проверяемых архивов.

Рекомендуется использовать этот режим дляполучения более детальной информации опроверенных объектах и работе веб-антивируса.

Брандмауэр В стандартном режиме Брандмауэр не ведет файлотчета. При включении режима ведения подробногоотчета собираются данные о сетевых пакетах (pcap-логи).

Модульобновления

Список обновленных файлов программы Dr.WebSecurity Space и статусы их загрузки, информацияо работе вспомогательных скриптов, дата и времяпроведения обновления, информация о перезапускекомпонентов программы Dr.Web Security Spaceпосле обновления.

Службы Dr.Web

Информация о компонентах Dr.Web, изменениенастроек компонентов, включение и выключениекомпонентов, события превентивной защиты,подключение к антивирусной сети.

Просмотр файлов отчетов

Чтобы просмотреть отчеты, нажмите на ссылку Посмотретьфайлы отчетов.



Создание дампов памяти

Настройка Создавать дампы памяти при ошибках проверкипозволяет сохранять максимум полезной информации о причинахнекорректной работы компонентов программы Dr.WebSecurity Space, что позволит специалистам компании «ДокторВеб» в дальнейшем провести более полный анализ проблемы ипредложить ее решение. Рекомендуется включать даннуюнастройку при возникновении ошибок в работе программыDr.Web Security Space.

Включение подробных отчетов

При ведении подробных отчетов фиксируется максимальноеколичество информации о работе компонентов программыDr.Web Security Space, что может привести к значительномуувеличению файлов отчетов и снизить производительностьработы операционной системы. Рекомендуется использоватьэтот режим только при возникновении проблем в работекомпонентов или по просьбе технической поддержки компании«Доктор Веб».

1. Чтобы включить режим ведения подробного отчета дляодного из компонентов программы Dr.Web SecuritySpace, установите соответствующий флажок.

2. По умолчанию подробный отчет ведется до первойперезагрузки операционной системы. Если необходимозафиксировать поведение компонента в период до и послеперезагрузки, установите флажок Продолжать вестиподробные отчеты после перезагрузки (нерекомендуется).

3. Сохраните изменения.

По умолчанию файлы отчета имеют ограниченный размер,равный 10 МБ.



Настройки Карантина

Для управления настройками карантина нажмитесоответствующую кнопку Изменить.

Вы можете настроить параметры работы Карантина Dr.Webоценить его размер, а также удалить все изолированные файлы сконкретного диска.

Каталог Карантина создается отдельно на каждом логическомдиске, где были обнаружены подозрительные файлы.

Очистка Карантина

1. Чтобы удалить все файлы, помещенные в каталогКарантина на определенном диске, выберите этот диск всписке.

2. Нажмите кнопку Очистить и подтвердите запрос наудаление.



В группе Дополнительно вы можете задать режим изоляциизараженных объектов, обнаруженных на съемных носителях. Поумолчанию подобные угрозы помещаются в каталог на том женосителе и не шифруются. При этом папка Карантина создаетсятолько в том случае, если возможна запись на носитель.Использование отдельных каталогов и отказ от шифрования насъемных носителях позволяет предотвратить возможную потерюданных.

Безопасные соединения

Вы можете включить в проверку данные, передаваемые побезопасным протоколам. Для этого установите флажокПроверять зашифрованный трафик. Если клиент, которыйполучает и передает такие данные, не обращается к хранилищусертификатов системы Windows, то необходимо будетэкспортировать сертификат.

Сертификат «Доктор Веб»

Если вы хотите включить в проверку данные, передаваемые покриптографическому протоколу SSL (например, в SpIDer Gateвы можете настроить параметры проверки данных, передаваемыхпо протоколу HTTPS, а в SpIDer Mail – по протоколам POP3S,SMTPS, IMAPS), то для работы некоторых клиентов, которыепередают и получают такие данные и при этом не обращаются кхранилищу сертификатов системы Windows, может потребоватьсясертификат компании «Доктор Веб». Нажмите кнопкуЭкспортировать и сохраните сертификат в удобный для васкаталог.



3.2.8. Раздел Сброс настроек

В данном разделе вы можете восстановить настройки программыDr.Web Security Space по умолчанию, а также экспортироватьили импортировать их.



3.3. Лицензирование

Для работы Dr.Web Security Space в течениипродолжительного времени требуется лицензия. Приобретениелицензии возможно вместе с продуктом, а также на сайтекомпании «Доктор Веб». Лицензия позволяет полноценноиспользовать все возможности продукта на протяжении всегосрока действия. Лицензия регулирует права пользователя,установленные в соответствии с пользовательским договором.

Если перед приобретением лицензии вы хотите ознакомиться спродуктом, вы можете активировать демонстрационный период.Он обеспечивает полную функциональность основныхкомпонентов, но срок действия существенно ограничен.

Активация демонстрационного периода на одном и том жекомпьютере возможна не чаще, чем один раз в год.

Демонстрационный период может быть активирован сроком:

на 3 месяца. Для этого вам необходимо зарегистрироватьсяна сайте компании «Доктор Веб» и получить серийныйномер;

на 1 месяц, при этом серийный номер не требуется,регистрационные данные не запрашиваются.

Ключевой файл

Права пользователя на использование Dr.Web Security Spaceхранятся в специальном файле, называемого ключевым файлом.

Ключевой файл имеет расширение .key и содержит, в частности,следующую информацию:

перечень компонентов, которые разрешено использоватьданному пользователю;

http://www.drweb.com/




период, в течение которого разрешено использованиеантивируса;

наличие или отсутствие технической поддержки;

другие ограничения (в частности, количество компьютеров,на которых разрешено использовать антивирус).

Ключевой файл Dr.Web Security Space являетсядействительным при одновременном выполнении следующихусловий:

срок действия лицензии не истек;

ключ распространяется на все используемые программоймодули;

целостность ключа не нарушена.

При нарушении любого из условий ключевой файл становитсянедействительным, при этом Dr.Web Security Space перестаетобезвреживать вредоносные программы и пропускает почтовыесообщения без проверки.

Если при установке Dr.Web Security Space вы не получилиключевой файл и не указали путь к нему, то в этом случаеиспользуется временный ключевой файл. Такой ключевой файлобеспечивает полную функциональность компонентов программыDr.Web Security Space. Однако в меню SpIDer Agent будутотсутствовать пункты Мой Dr.Web и Обновление, кроме тогообновления не будут загружаться до тех пор, пока вы неактивируете лицензию или демонстрационный период, либо спомощью Менеджера лицензий не укажете путь кдействительному ключевому файлу.

Рекомендуется сохранять ключевой файл до истечения срокадействия лицензии или демонстрационного периода.

Ключевой файл, полученный для активации демонстрационногопериода, может использоваться только на том компьютере, накотором вы проходили регистрацию.



3.3.1. Способы активации

Активировать лицензию или демонстрационный период выможете одним из следующих способов:

с помощью Мастера регистрации в процессе установки илилюбой другой момент;

получив ключевой файл во время регистрации лицензии наофициальном сайте «Доктор Веб»;

указав путь к имеющемуся у вас действительномуключевому файлу в процессе установки либо в Менеджерелицензий.

Повторная активация

Повторная активация лицензии или демонстрационного периодаможет потребоваться в случае утраты ключевого файла.

В случае повторной активации лицензии или демонстрационногопериода выдается тот же ключевой файл, который был выданранее, при условии, что срок его действия не истек.

Повторная активация демонстрационного периода на 3 месяцаможет осуществляться только на том компьютере, на котором выпроходили регистрацию.

При переустановке продукта или в случае, когда лицензияпредоставляет право установки продукта на несколькокомпьютеров, повторная активация серийного номера нетребуется. Вы можете использовать ключевой файл, полученныйпри первой регистрации.





Количество запросов на получение ключевого файлаограничено – регистрация с одним и тем же серийным номеромдопускается не более 25 раз. Если это число превышено,ключевой файл не будет выслан. В этом случае обратитесь вслужбу технической поддержки (в запросе следует подробноописать ситуацию, указать персональные данные, введенные прирегистрации, и серийный номер). Ключевой файл будет высланвам службой технической поддержки по электронной почте.

3.3.2. Мастер регистрации

Модуль управления SpIDer Agent после старта проверяетналичие ключевого файла. При его отсутствии модульпредлагает получить ключевой файл через Интернет.

Ключевой файл может быть получен в процессе установки. Дляэтого в окне Мастер регистрации выберите Получитьлицензию в процессе установки, при этом будет запущенапроцедура активации лицензии или демонстрационного периода.

Вы также можете получить ключевой файл, запустив процедуруактивации лицензии или демонстрационного периода послеустановки продукта. Для этого воспользуйтесь одной изследующих опций:

в меню SpIDer Agent в области уведомлений Windowsвыберите Зарегистрировать лицензию;

в окне Менеджера лицензий нажмите кнопку Получитьновую лицензию и в выпадающем списке выберитечерез сеть Интернет.

После запуска процедуры активации откроется окно Мастерарегистрации.

Для активации лицензии вам потребуется серийный номер,выданный вам при приобретении Dr.Web Security Space.

http://support.drweb.com/request/



Для ознакомления с работой программы Dr.Web Security Spaceвы можете активировать демонстрационный период:

на 3 месяца, для этого вам необходимо зарегистрироватьсяна сайте и получить серийный номер;

на 1 месяц, при этом серийный номер не требуется,регистрационные данные не запрашиваются.

Запуск активации

В первом окне вам будет предложено выбрать один изследующих вариантов активации:

Получить демо;

Активировать лицензию.

Если у вас имеется серийный номер для активации лицензии илидемонстрационного периода на 3 месяца, выберитеАктивировать лицензию. Введите серийный номер и нажмитекнопку Далее.




При вводе серийного номера для активациидемонстрационного периода на 3 месяца откроется окнос результатом активации.

При вводе серийного номера для активации лицензииоткроется окно ввода регистрационных данных.

Если серийного номера у вас нет, но вы хотите ознакомиться спродуктом, активируйте демонстрационный период на 1 месяц,выбрав Получить демо. Нажмите кнопку Далее, при этомоткроется окно с результатом активации.

Ввод регистрационных данных

Для регистрации лицензии введите персональные сведения (имя,фамилию, выберите в раскрывающемся списке страну, введитегород и адрес электронной почты). Все перечисленные поляявляются обязательными.

Если вы хотите получать по электронной почте новости опродукте, установите соответствующий флажок.


Результат активации

Если активация закончилась успешно, то выводитсясоответствующее сообщение и указывается срок действиялицензии или активации демонстрационного периода. Нажмитена кнопку Готово, чтобы перейти к обновлению вирусных баз идругих файлов пакета. Данная процедура, как правило, нетребует вмешательства пользователя.

Если активация завершилась неудачно, выводится сообщение обошибке. Нажмите кнопку Настройки сети, чтобы изменитьнастройки подключения к сети Интернет, либо кнопкуПовторить для исправления неверно введенных данных.



3.3.3. Менеджер лицензий

Менеджер лицензий в доступном виде отображаетинформацию, содержащуюся в имеющихся у вас лицензияхDr.Web Security Space.

Для доступа к этому окну в подменю Инструменты меню

SpIDer Agent выберите пункт Менеджер лицензий.

Получение ключевого файла

Для получения ключевого файла с сервера компании«Доктор Веб» нажмите кнопку Получить новую лицензию ив выпадающем списке выберите через сеть Интернет.Запустится Мастер регистрации получения ключевого файла.



Для работы программы Dr.Web Security Space требуетсяустановить в защищаемой системе ключевой файл.

Установка полученного ключевого файла

1. Нажмите кнопку Получить новую лицензию. Ввыпадающем списке выберите указав путь к файлу надиске.

2. Укажите путь до ключевого файла. Если вы получилиключевой файл в виде ZIP-архива, распаковывать егонеобязательно.

3. Dr.Web Security Space автоматически начнетиспользовать ключевой файл.

При получении ключевого файла в процессе установки или вкомплекте дистрибутива установка ключевого файлапроизводится автоматически и никаких дополнительных действийне требует.

Для того чтобы удалить лицензию из списка, нажмите кнопкуУдалить текущую лицензию. Последний используемый ключне может быть удален.

При работе программы ключевой файл по умолчанию долженнаходиться в каталоге установки. Dr.Web Security Spaceрегулярно проверяет наличие и корректность ключевого файла.Во избежание порчи ключа не модифицируйте ключевой файл.

При отсутствии действительного ключевого файла активностьвсех компонентов блокируется. Чтобы получить действительныйключевой файл, выберите пункт Зарегистрировать

лицензию в меню SpIDer Agent .



3.3.4. Продление лицензии

В некоторых случаях, например, при окончании срока действиялицензии или при изменении характеристик защищаемой системыили требований к ее безопасности, вы можете принять решение оприобретении новой или расширенной лицензии на Dr.WebSecurity Space. В таком случае вам потребуется заменитьтекущий ключевой файл. Dr.Web Security Space поддерживаетобновление лицензии «на лету», при котором не требуетсяпереустанавливать Dr.Web Security Space или прерывать егоработу.

Замена ключевого файла

1. Чтобы заменить текущую лицензию, используйтеМенеджер лицензий. Для приобретения новой илипродления текущей лицензии вы также можетевоспользоваться вашей персональной страничкой наофициальном сайте компании «Доктор Веб», котораяоткрывается в окне интернет-браузера по умолчанию привыборе пункта Мой Dr.Web как в Менеджерелицензий, так и в меню SpiDer Agent.

2. Если текущий ключевой файл недействителен, Dr.WebSecurity Space переключится на использование новогоключевого файла.



3.4. Менеджер Карантина

Менеджер Карантина отображает данные о содержимомКарантина Dr.Web, который служит для изоляции файлов,подозрительных на наличие вредоносных объектов. ПапкиКарантина создаются отдельно на каждом логическом диске,где были обнаружены подозрительные файлы. При обнаружениизараженных объектов на съемном носителе, если запись наносителе возможна, на нем создается папка Карантин и в неепереносится зараженный объект.

Для доступа к этому окну в подменю Инструменты меню

SpIDer Agent выберите пункт Менеджер Карантина.



В центральной части окна отображается таблица с информациейо состоянии карантина, включающая следующие поля:

Объект – список имен объектов, находящихся в карантине;

Угроза – классификация вредоносной программы,определяемая программой Dr.Web Security Space приавтоматическом перемещении объекта в Карантин;

Дата добавления – дата, когда объект был перемещен вКарантин;

Путь – полный путь, по которому находился объект доперемещения в карантин.

В окне Карантина файлы могут видеть только те пользователи,которые имеют к ним доступ. Чтобы отобразить скрытыеобъекты, необходимо иметь права Администратора.

В окне карантина доступны следующие кнопки управления:

Восстановить – переместить файл из карантина ивосстановить первоначальное местоположение файла накомпьютере (восстановить файл под тем же именем и впапку, в которой он находился до перемещения вкарантин);

Восстановить в – переместить файл под заданным именемв нужную папку;

Используйте данную функцию только в том случае, есливы уверены, что объект безопасен.

Удалить – удалить файл из карантина и из системы.

Для одновременной работы с несколькими файлами установитефлажки рядом с названиями объектов, а затем выберитенеобходимое действие.



3.5. Антивирусная сеть

Этот компонент позволяет управлять программами АнтивирусDr.Web, Антивирус Dr.Web для серверов и Dr.Web SecuritySpace версии 9.0 на других компьютерах в пределах однойлокальной сети. Для удаленной работы с продуктами Dr.Web

щелкните значок SpIDer Agent в области уведомленийWindows и в группе Инструменты выберите пунктАнтивирусная сеть.

Для доступа к удаленному антивирусу, выберите компьютер всписке и нажмите кнопку Подключиться. Введите пароль,заданный в настройках удаленного антивируса. В областиуведомлений Windows появится значок удаленного SpIDer

Agent . Пользователь антивируса, к которому выподключились, получит уведомление в виде всплывающейподсказки.



При работе с удаленным антивирусом вам доступны следующиепункты (набор компонентов варьируется в зависимости от того, ккакому продукту Dr.Web установлено подключение):

О программе

Зарегистрировать лицензию

Мой Dr.Web

Справка

SpIDer Guard

SpIDer Mail

SpIDer Gate

Родительский контроль

Брандмауэр

Обновление

Инструменты

Пункт Инструменты открывает меню, предоставляющее доступ:

к Менеджеру лицензий;

к настройкам общих параметров работы Dr.Web(см. подраздел Основные настройки);

к созданию отчета.

Вы можете просматривать статистику, включать и отключатьмодули, а также изменять их настройки.

Компоненты Антивирусная сеть, Карантин и Сканернедоступны. Настройки и статистика Брандмауэра Dr.Webтакже недоступны, однако вы можете включить или отключитьэтот компонент (в случае подключения к продуктам АнтивирусDr.Web или Dr.Web Security Space). Также вам доступен пунктОтсоединиться, при выборе которого завершаетсяустановленное соединение с удаленным антивирусом.

Если необходимый компьютер не отображается в сети,попробуйте добавить его вручную. Для этого нажмите кнопкуДобавить и введите IP-адрес.



Вы можете установить только одно соединение с удаленнымпродуктом Dr.Web. При наличии установленного соединениякнопка Подключиться недоступна.

Компьютеры в локальной сети отображаются в списке только втом случае, если в установленном на них продукте Dr.Webразрешено удаленное управление. Вы можете разрешитьподключение к программе Dr.Web Security Space на вашемкомпьютере в разделе Антивирусная сеть Основных настроек.

Пункт Антивирусная сеть доступен только вАдминистративном режиме.




По умолчанию Сканер Dr.Web производит антивируснуюпроверку всех файлов с использованием как вирусных баз, так иэвристического анализатора (алгоритма, позволяющего сбольшой вероятностью обнаруживать неизвестные программевирусы на основе общих принципов их создания). Исполняемыефайлы, упакованные специальными упаковщиками, при проверкераспаковываются. Проверяются файлы в архивах всех основныхраспространенных типов (ACE, ALZIP, AR, ARJ, BGA, 7-ZIP, BZIP2,CAB, GZIP, DZ, HA, HKI, LHA, RAR, TAR, ZIP и др.), файловыхконтейнерах (1C, CHM, MSI, RTF, ISO, CPIO, DEB, RPM и др.), атакже файлы в составе писем в почтовых ящиках почтовыхпрограмм (формат писем должен соответствовать RFC822).

В случае обнаружения вредоносного объекта Сканер Dr.Webтолько предупреждает вас об угрозе. Отчет о результатахпроверки приводится в таблице, где вы можете выбратьнеобходимое действие для обработки обнаруженноговредоносного или подозрительного объекта. Вы можете какприменить действия по умолчанию ко всем обнаруженнымугрозам, так и выбрать необходимый метод обработки дляотдельных объектов.

Действия по умолчанию являются оптимальными длябольшинства применений, но при необходимости вы можетеизменить их в окне настройки параметров работы СканераDr.Web. Если действие для отдельного объекта вы можетевыбрать по окончании проверки, то общие настройки пообезвреживанию конкретных типов угроз необходимо задаватьдо начала проверки.



4.1. Проверка компьютера

Сканер устанавливается как обычное приложение Windows изапускается по команде пользователя (или по расписанию,см. подраздел Запуск проверки по расписанию).

Запуск Сканера

Рекомендуется запускать Сканер от имени пользователя,обладающего правами администратора. В противном случае тефайлы и папки, к которым непривилегированный пользовательне имеет доступа (в том числе и системные папки), не будутподвергнуты проверке.

1. Для запуска Сканера используйте одно из следующихсредств:

значок Сканера на Рабочем столе;

пункт Сканер меню SpIDer Agent в областиуведомлений Windows;

пункт меню Сканер Dr.Web в папке Dr.Web Главногоменю Windows (открывается по кнопке Пуск);

специальную команду операционной системы Windows(подробнее см. Запуск Сканера из командной строки).

Чтобы запустить Сканер с настройками по умолчанию дляпроверки конкретного файла или каталога, выберите вконтекстном меню значка файла или каталога (на Рабочемстоле или в Проводнике операционной системы Windows)пункт Проверить Dr.Web.



2. После запуска Сканера открывается его главное окно.

Если вы запускаете Сканер на проверку файла иликаталога, то после этого немедленно начинается проверказаданного объекта.



3. На выбор предоставляется три возможных режимапроверки: Быстрая, Полная и Выборочная.

Во время быстрой проверки проверяются:

загрузочные секторы всех дисков;

оперативная память;

корневой каталог загрузочного диска;

системный каталог Windows;

каталог Мои Документы;

временные файлы;

точки восстановления системы;

наличие руткитов (если процесс проверки запущен отимени администратора).

В режиме полной проверки производится полноесканирование оперативной памяти и всех жестких дисков(включая загрузочные секторы), а также осуществляетсяпроверка на наличие руткитов.

В режиме выборочной проверки пользователюпредоставляет возможность выбирать любые файлы ипапки для антивирусной проверки.



4. При запуске выборочного режима в окне Сканера втаблице задаются объекты для проверки: любые файлы ипапки, а также такие объекты, как оперативная память,загрузочные секторы и т. п.). Для начала проверкивыбранных объектов нажмите кнопку Запуститьпроверку. В случае полной или быстрой проверкивыбирать объекты не требуется.

5. После начала проверки в правой части окна становятсядоступными кнопки Пауза и Стоп. На любом этапепроверки вы можете сделать следующее:

чтобы приостановить проверку, нажмите кнопкуПауза. Для того чтобы возобновить проверку послепаузы, нажмите кнопку Продолжить;

чтобы полностью остановить проверку, нажмитекнопку Стоп.

Кнопка Пауза недоступна во время проверкиоперативной памяти и процессов.



4.2. Действия при обнаружении угроз

По окончании проверки Сканер Dr.Web лишь информирует обобнаруженных угрозах и предлагает применить к ним наиболееоптимальные действия по обезвреживанию. Вы можетеобезвредить все обнаруженные угрозы одновременно. Для этогопосле завершения проверки нажмите кнопку Обезвредить, иСканер Dr.Web применит оптимальные действия по умолчаниюдля всех обнаруженных угроз.

По нажатию кнопки Обезвредить действия применяются квыбранным объектам в таблице. По умолчанию после окончанияпроверки для обезвреживания выбраны все объекты. Принеобходимости вы можете вручную выбрать конкретные объектыили группы объектов, для которых требуется применитьдействия по нажатию кнопки Обезвредить. Для этогоиспользуйте флажки рядом с названиями объектов иливыпадающее меню в заголовке таблицы.



Выбор действия

1. В поле Действие в выпадающем списке выберитенеобходимое действие для каждого объекта (поумолчанию Сканер Dr.Web предлагает оптимальноезначение).

2. Нажмите кнопку Обезвредить. Сканер Dr.Webобезвредит все выбранные угрозы одновременно.

Подозрительные файлы, перемещенные в Карантин,рекомендуется передавать для дальнейшего анализа вантивирусную лабораторию «Доктор Веб», используяпункт Отправить файл в лабораторию «Доктор Веб» вконтекстном меню Карантина.

Существуют следующие ограничения:

лечение подозрительных объектов невозможно;

перемещение или удаление объектов, не являющихсяфайлами (например, загрузочных секторов), невозможно;

невозможны любые действия для отдельных файлов внутриархивов, инсталляционных пакетов или в составе писем –действие в таких случаях применяется только ко всемуобъекту целиком.

Подробный отчет о работе программы сохраняется в виде файлаотчета dwscanner.log, которы находится в каталоге%USERPROFILE%\Doctor Web.



4.3. Настройка Сканера

Изменение настроек программы

1. Чтобы вызвать Настройки Сканера, щелкните на панели

инструментов иконку Настройки .

Откроется окно настроек, содержащее несколько вкладок.

2. Внесите необходимые изменения.

3. Для более подробной информации о настройках,задаваемых на каждой вкладке, воспользуйтесь кнопкой

Справка .

4. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.



Вкладка Основные

На этой вкладке задаются основные параметры работы СканераDr.Web.

Вы можете включить звуковое сопровождение событий, а такжеуказать Сканеру Dr.Web автоматически применять действия кугрозам и настроить взаимодействие программы с операционнойсистемой.

Рекомендуется запускать Сканер от имени пользователя,обладающего правами администратора. В противном случае тефайлы и папки, к которым непривилегированный пользовательне имеет доступа (в том числе и системные папки), не будутподвергнуты проверке. Для этого установите флажок Запускатьпроцесс проверки от имени администратора.



Настройка обезвреживания угроз

1. Перейдите в окне настроек на вкладку Действия.

2. Выберите в выпадающем списке Инфицированныереакцию Сканера на обнаружение инфицированногообъекта.

Оптимальным является значение Лечить.

3. Выберите в выпадающем списке Неизлечимые реакциюСканера на обнаружение неизлечимого объекта. Этодействие аналогично рассмотренному в предыдущемпункте, с той разницей, что вариант Лечить отсутствует.

В большинстве случаев оптимальным является вариантПеремещать в карантин.

4. Выберите в выпадающем списке Подозрительныереакцию Сканера на обнаружение подозрительногообъекта (полностью аналогично предыдущему пункту).



5. Аналогично настраивается реакция Сканера наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.

6. Аналогично настраиваются автоматические действияСканера при обнаружении вирусов или подозрительногокода в файловых архивах, инсталляционных пакетах ипочтовых ящиках. Действия по отношению квышеуказанным объектам выполняются над всемобъектом, а не только над зараженной его частью. Поумолчанию во всех этих случаях предусмотреноинформирование.

7. Для успешного завершения лечения некоторыхзараженных (инфицированных) файлов требуетсяперезагрузка операционной системы. Вы можете выбратьодин из вариантов:

Перезагружать компьютер автоматически. Этотрежим может привести к потере несохраненныхданных;

Предлагать перезагрузку.



Вкладка Исключения

На этой вкладке задаются дополнительные ограничения насостав файлов, подлежащих проверке.

Здесь можно задать список файлов (масок файлов), которые небудут проверяться (из проверки будут исключены все файлы сданным именем.) В таком качестве могут выступать временныефайлы (файлы подкачки) и т. п.

Также вы можете указать, требуется ли проводить проверкусодержимого архивов, почтовых файлов и инсталляционныхпакетов.



Вкладка Отчет

На этой вкладке вы можете настроить параметры ведения файлаотчета.

Большинство параметров, заданных по умолчанию, следуетсохранить, однако по мере накопления опыта работы с отчетомвы можете изменить степень детальности протоколированиясобытий (в отчет всегда включаются сведения о зараженных иподозрительных объектах; сведения о проверке упакованныхфайлов и архивов и сведения об успешной проверке остальныхфайлов по умолчанию не включаются).



Вкладка Сброс настроек

На вкладке восстановления стандартных настроек вы можетевосстановить настройки работы Сканера Dr.Web. Для этогонажмите кнопку Восстановить значения по умолчанию.



4.4. Запуск Сканера из команднойстроки

Вы можете запускать Сканер Dr.Web в режиме команднойстроки. Такой способ позволяет задать настройки текущегосеанса проверки и перечень проверяемых объектов в качествепараметров вызова. Именно в таком режиме возможенавтоматический вызов Сканера по расписанию.

Запуск Сканера из командной строки

Чтобы запустить Сканер с дополнительными параметрамикомандной строки, воспользуйтесь следующей командой:

[<путь_к_программе>]dwscanner [<ключи>] [<объекты>], где

<объекты> – список объектов для проверки;

<ключи> – это параметры командной строки, которыезадают настройки работы Сканера. При их отсутствиипроверка выполняется с ранее сохраненными настройками(или настройками по умолчанию, если вы не меняли их).

Список объектов для проверки может быть пуст или содержатьнесколько элементов, разделенных пробелами. Наиболеераспространенными являются следующие объекты проверки:

/FAST – произвести быструю проверку системы.

/FULL – произвести полную проверку всех жестких дисков

и сменных носителей (включая загрузочные секторы).

/LITE – произвести стартовую проверку системы, при

которой проверяются оперативная память, загрузочныесекторы всех дисков, а также провести проверку наналичие руткитов.



4.5. Консольный сканер

Также в состав программы Dr.Web Security Space входитКонсольный сканер, который позволяет проводить проверку врежиме командной строки, а также предоставляет большиевозможности настройки.

Файлы, подозрительные на наличие вредоносных объектов,Консольный сканер помещает в Карантин.

Запуск Консольного сканера

Чтобы запустить Консольный сканер, воспользуйтесьследующей командой:

[<путь_к_программе>]dwscancl [<ключи>] [<объекты>], где

<объекты> – список объектов для проверки;

<ключи> – список параметров командной строки, которыезадают настройки работы Консольного сканера.

Список объектов для проверки может быть пуст или содержатьнесколько элементов, разделенных пробелами. Все ключикомандной строки начинается с символа «/» и разделяются

пробелами. Список ключей Консольного сканера содержитсяв Приложении А.

После выполнения Консольный сканер возвращает один изследующих кодов:

0 – проверка успешно завершена, инфицированные объектыне найдены;

1 – проверка успешно завершена, найдены инфицированныеобъекты;

10 – указаны некорректные ключи;

11 – ключевой файл не найден либо не поддерживаетКонсольный сканер;

12 – не запущен Scanning Engine;

255 – проверка прервана пользователем.



4.6. Запуск проверки по расписанию

При установке Dr.Web в стандартном Планировщике заданийWindows автоматически создается задание на проведениеантивирусной проверки (оно по умолчанию выключено).

Для запуска Планировщика заданий откройте Панельуправления (расширенный вид) Администрирование Планировщик заданий.

В списке заданий выберите задание на антивирусную проверку.Вы можете активировать задание, а также настроить времязапуска проверки и задать необходимые параметры.

В нижней части окна на вкладке Общие указываются общиесведения о задании, а также параметры безопасности. Навкладках Триггеры и Условия – различные условия, прикоторых осуществляется запуск задания. Просмотреть историюсобытий можно на вкладке Журнал.

Вы также можете создавать собственные задания наантивирусную проверку. Подробнее о работе с системнымрасписанием см. справочную систему и документациюоперационной системы Windows.

Если в состав устанавленных компонентов входит Брандмауэр,то после установки программы Dr.Web Security Space ипервой перезагрузки служба системного расписания будетзаблокирована Брандмауэром. Компонент Назначенныезадания будет функционировать только после повторнойперезагрузки, т. к. необходимое правило уже будет создано кэтому моменту.


965. SpIDer Guard

5. SpIDer Guard

SpIDer Guard – это антивирусный сторож, который постояннонаходится в оперативной памяти, осуществляя проверку файлови памяти «на лету», а также обнаруживая проявления вируснойактивности.

При настройках по умолчанию сторож «на лету» проверяет нажестком диске – только создаваемые или изменяемые файлы, насменных носителях – все открываемые файлы. Кроме того,сторож постоянно отслеживает действия запущенных процессов,характерные для вирусов, и при их обнаружении блокирует этипроцессы. При обнаружении зараженных объектов cторожSpIDer Guard применяет к ним действия согласноустановленным настройкам.

Соответствующим изменением настроек вы можете задатьавтоматическую реакцию сторожа SpIDer Guard на вирусныесобытия. Вы сможете следить за ней с помощью окна статистикии файла отчета.

По умолчанию SpIDer Guard запускается автоматически прикаждой загрузке операционной системы, при этом запущенныйсторож SpIDer Guard не может быть выгружен в течениетекущего сеанса работы операционной системы.


975. SpIDer Guard

5.1. Управление SpIDer Guard

Основные средства настройки и управления сторожем SpIDerGuard находятся в подменю SpIDer Guard, которое

открывается по щелчку на значке SpIDer Agent в областиуведомлений Windows.

При выборе пункта Статистика открывается окно, содержащеесведения о работе сторожа в течение текущего сеанса(количество проверенных, зараженных и подозрительныхобъектов, предпринятые действия и др.).

При выборе пункта пункта Настройки открывается окнонастроек сторожа (см. Настройка SpIDer Guard).

Пункт Отключить/Включить позволяет временно отключитьили заново запустить SpIDer Guard (доступно толькопользователю, имеющему права администратора данногокомпьютера).


985. SpIDer Guard

При отключении SpIDer Guard запрашивается кодподтверждения или пароль (если в разделе СамозащитаОсновных настроек программы Dr.Web Security Space выустановили флажок Защищать паролем настройки Dr.Web).

Пункты Настройки, Отключить/Включить доступны тольков Административном режиме.

Восстановить параметры работы программы, используемые поумолчанию, а также экспортировать или импортироватьнастройки вы можете в Основных настройках программыDr.Web Security Space. Для этого в разделе Сброс настроекнажмите соответствующую кнопку.


995. SpIDer Guard

5.2. Настройка SpIDer Guard

Основные параметры работы сторожа SpIDer Guardсосредоточены в разделах окна Настройки SpIDer Guard.Настройки SpIDer Guard по умолчанию являются оптимальнымидля большинства применений, их не следует изменять безнеобходимости.

Изменение настроек сторожа

1. Щелкните значок SpIDer Agent в областиуведомлений Windows и выберите в подменю SpIDerGuard пункт Настройки.

2. Внесите необходимые изменения в разделах настроек.

3. Чтобы получить информацию о настройках,расположенных в разделе, нажмите на ссылку Справка.

4. По окончании редактирования настроек:

чтобы сохранить изменения, нажмите кнопку ОК;

чтобы отказаться от внесенных изменений, нажмитекнопку Отменить.


1005. SpIDer Guard

Раздел Проверка

По умолчанию установлен режим проверки Оптимальный:проверка на жестких дисках – только запускаемых, создаваемыхили изменяемых файлов, на сменных носителях – всехоткрываемых файлов.

При работе в оптимальном режиме SpIDer Guard не прерываетзапуск тестового файла EICAR и не определяет даннуюоперацию как опасную, так как данный файл не представляетугрозы для компьютера. Однако при копировании или созданиитакого файла на компьютере SpIDer Guard автоматическиобрабатывает файл как вредоносную программу и по умолчаниюперемещает его в Карантин.

В режиме Параноидальный производится проверка всехоткрываемых, создаваемых или изменяемых файлов на жесткихдисках, сменных носителях и сетевых дисках.


1015. SpIDer Guard

Флажок Использовать эвристический анализ включаетрежим эвристического анализатора (режим поиска неизвестныхвирусов на основании анализа структуры файла).

Также в данном разделе включается фоновое сканированиеоперационной системы на заражение руткитами (вредоноснымипрограммами, предназначенными для сокрытия изменений воперационной системе, таких как работа определенныхпроцессов, модификация ключей реестра, папок или файлов).

Антируткит, входящий в состав программы Dr.WebSecurity Space, позволяет в фоновом режиме проводитьпроверку вашей операционной системы на наличие сложныхугроз и при необходимости проводит лечение активногозаражения.

При включении данной настройки Антируткит Dr.Web будетпостоянно находиться в памяти. В отличие от проверки файлов«на лету», проводимой сторожем SpIDer Guard, поиск руткитовпроизводится в таких критических областях Windows, какобъекты автозагрузки, запущенные процессы и модули,оперативная память, MBR/VBR дисков, системный BIOSкомпьютера и других.

Одним из ключевых критериев работы Антируткита Dr.Webявляется бережное потребление ресурсов операционной системы(процессорного времени, свободной оперативной памяти и т. д.),а также учет мощности аппаратного обеспечения.

При обнаружении угроз Антируткит Dr.Web оповещает вас обугрозе и нейтрализует опасные воздействия.

При проведении фоновой проверки на наличие руткитов изпроверки исключаются файлы и папки, заданные на вкладкеИсключаемые файлы компонента SpIDer Guard.

Чтобы включить фоновую проверку, установите флажокПроверять компьютер на наличие руткитов(рекомендуется).


1025. SpIDer Guard

Выключение SpIDer Guard не влияет на фоновую проверку.Если настройка включена, фоновая проверка осуществляетсянезависимо от того, включен или выключен SpIDer Guard.

Группа настроек Дополнительные возможности позволяетзадать параметры проверки «на лету», которые будутприменяться вне зависимости от выбранного режима работысторожа SpIDer Guard. Также вы можете запретитьавтоматический запуск активного содержимого внешнихносителей данных (CD/DVD дисков, флеш-памяти и т. д.),установив флажок Блокировать автозапуск со сменныхносителей. Использование этой настройки помогаетпредотвратить заражение вашего компьютера через внешниеносители.

В случае возникновения проблем при установке программ,обращающихся к файлу autorun.inf, рекомендуется временноснять флажок Блокировать автозапуск со сменныхносителей.

Здесь вы можете задать проверку:

файлов запускаемых процессов вне зависимости от ихрасположения;

установочных файлов;

файлов на сетевых дисках;

файлов и загрузочных секторов на съемных носителях.

Некоторые внешние накопители (в частности, мобильныевинчестеры с интерфейсом USB) могут представляться в системекак жесткие диски. Поэтому такие устройства следуетиспользовать с особой осторожностью, проверяя на вирусы приподключении к компьютеру с помощью антивирусного Сканера.

Отказ от проверки архивов в условиях постоянной работысторожа не ведет к проникновению вирусов на компьютер, алишь откладывает момент их обнаружения. При распаковкезараженного архива (открытии зараженного письма) будетсделана попытка записать инфицированный объект на диск, приэтом сторож его неминуемо обнаружит.


1035. SpIDer Guard

Настройка действий

В разделе Действия вы можете настроить автоматическиедействия сторожа с зараженными объектами.

Состав доступных реакций зависит от типа вирусного события.

Реакции Лечить, Перемещать в карантин, Игнорировать иУдалить аналогичны таким же реакциям Сканера. Действия собнаруженными угрозами рассмотрены в п. Действиядля обезвреживания угроз.


1. В окне Настройки SpIDer Guard выберите разделДействия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта. Рекомендуется установитьдействие Лечить.


1045. SpIDer Guard

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимогообъекта. Рекомендуется установить действиеПеремещать в карантин.

4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружениеподозрительного объекта. Рекомендуется установитьдействие Игнорировать или Перемещать в карантин.

5. Выберите в выпадающих списках Рекламныепрограммы и Программы дозвона реакцию программына обнаружение подозрительного объекта. Рекомендуетсяустановить действие Перемещать в карантин.

6. Аналогично настраивается реакция программы наобнаружение объектов, содержащих программы-шутки,потенциально опасные программы и программы взлома.Рекомендуется установить действие Игнорировать.

7. Нажмите кнопку ОК.


1055. SpIDer Guard

Задание исключений

В разделе Исключаемые файлы задается список каталогов ифайлов, исключаемых из проверки.

В поле Список исключаемых путей и файлов приводитсясписок каталогов и файлов, которые не проверяются сторожемSpIDer Guard. В таком качестве могут выступать каталогикарантина, рабочие каталоги некоторых программ, временныефайлы (файлы подкачки) и т. п.

По умолчанию список пуст. Вы можете добавить к исключениямконкретные каталоги и файлы или использовать маски, чтобызапретить проверку определенной группы файлов.

Вы можете формировать список исключений следующим образом:

чтобы указать конкретный существующий каталог илифайл, нажмите кнопку Обзор и выберите каталог или файлв стандартном окне открытия файла. Вы можете вручнуюввести полный путь к файлу или каталогу в поле ввода, атакже отредактировать запись в поле ввода переддобавлением ее в список;

чтобы исключить из проверки все файлы или каталоги сопределенным именем, введите это имя в поле ввода.Указывать путь к каталогу или файлу при этом нетребуется;

чтобы исключить из проверки файлы или каталогиопределенного вида, введите определяющую их маску вполе ввода. Маска задает общую часть имени объекта. Приэтом:

символ «*» заменяет любую, возможно пустую,

последовательность символов;

символ «?» заменяет любой, но только один символ;

остальные символы маски ничего не заменяют иозначают, что на данном месте в имени файла иликаталога должен находиться именно этот символ.


1065. SpIDer Guard

Пример:

отчет*.doc – маска, задающая все документы Microsoft

Word, название которых начинается с подстроки «отчет»,например, файлы отчет-февраль.doc, отчет121209.docи т. д.;

*.exe – маска, задающая все исполняемые файлы c

расширением EXE, например, setup.exe, iTunes.exe и т. д.;

photo????09.jpg – маска, задающая все файлы

изображений формата JPG, название которых начинается сподстроки «photo» и заканчивается подстрокой «09», приэтом между двумя этими подстроками в названии файластоит ровно четыре произвольных символа, например,photo121209.jpg, photoмама09.jpg или photo----09.jpg.

Кнопка Добавить позволяет добавить к списку исключение,указанное в поле ввода.

Кнопка Удалить позволяет удалить из списка выбранноеисключение.

В разделе Исключаемые процессы задается список процессов,исключаемых из проверки. Формирование списка исключенийпроводится аналогично формированию спискаисключений для каталогов и файлов.


1076. SpIDer Mail

6. SpIDer Mail

Почтовый сторож SpIDer Mail перехватывает обращения любыхпочтовых клиентов компьютера к почтовым серверам попротоколам POP3/SMTP/IMAP4/NNTP (под IMAP4 имеется в видуIMAPv4rev1), обнаруживает и обезвреживает почтовые вирусы дополучения писем почтовым клиентом с сервера или до отправкиписьма на почтовый сервер. Почтовый сторож также можетосуществлять проверку корреспонденции на спам с помощьюкомпонента Антиспам Dr.Web.

Настройки программы по умолчанию являются оптимальными дляначинающего пользователя, обеспечивая максимальный уровеньзащиты при наименьшем вмешательстве пользователя. При этом,однако, блокируется ряд возможностей почтовых программ(например, направление письма по многим адресам может бытьвоспринято как рассылка, полученный спам не распознается), атакже утрачивается возможность получения полезнойинформации из автоматически уничтоженных писем (изнезараженной текстовой части). Более опытные пользователимогут изменить параметры проверки почты и настройки реакциипрограммы на события.

SpIDer Mail постоянно находится в оперативной памятикомпьютера и по умолчанию запускается при загрузкеоперационной системы автоматически. Вы можете на некотороевремя приостановить работу почтового сторожа.


1086. SpIDer Mail

Принцип работы почтового сторожа

Антивирусный почтовый сторож получает все входящие письмавместо почтового клиента и подвергает их антивируснойпроверке с максимальной степенью подробности. При отсутствиивирусов или подозрительных объектов письма передаютсяпочтовой программе «прозрачным» образом – так, как если быони поступили непосредственно с сервера. Аналогичнопроверяются исходящие письма до отправки на сервер.

Реакция программы на инфицированные и подозрительныевходящие письма, а также письма, не прошедшие проверку(например, с чрезмерно сложной структурой), по умолчаниюследующая (об изменении этих настроек см. подразделНастройка SpIDer Mail):

из зараженных писем удаляется вредоносная информация(лечение);

письма с подозрительными объектами перемещаются ввиде отдельных файлов в карантин, почтовой программепосылается сообщение об этом;

письма, не прошедшие проверку, пропускаются, как инезараженные;

все удаленные или перемещенные письма остаются наPOP3- или IMAP4-сервере.

Инфицированные или подозрительные исходящие письма непередаются на сервер, пользователь оповещается об отказеотправить письмо (как правило, почтовая программа при этомего сохранит).

При наличии на компьютере неизвестного вируса,распространяющегося через электронную почту, программаможет определять признаки типичного для таких вирусов«поведения» (массовые рассылки). По умолчанию этавозможность включена.


1096. SpIDer Mail

Почтовый сторож предоставляет возможность проверкивходящих писем на спам с помощью компонента АнтиспамDr.Web. По умолчанию эта возможность включена. (Онастройках работы Антиспама Dr.Web см. Раздел Анти-спам внастройках SpIDer Mail).

Сканер Dr.Web также может обнаруживать вирусы в почтовыхящиках некоторых форматов, однако почтовый сторож SpIDerMail имеет перед Сканером ряд преимуществ:

далеко не все форматы почтовых ящиков популярныхпрограмм поддерживаются Сканером; напротив, прииспользовании почтового сторожа зараженные письмадаже не попадают в почтовые ящики;

Сканер проверяет почтовые ящики, но только по запросупользователя или по расписанию, а не в момент полученияпочты, причем данное действие является чрезвычайноресурсоемким и занимает значительное время.

Таким образом, при настройках всех компонентов по умолчаниюпочтовый сторож SpIDer Mail первым обнаруживает и недопускает на компьютер вирусы и подозрительные объекты,распространяющиеся по электронной почте. Его работа являетсявесьма экономичной с точки зрения расхода вычислительныхресурсов; остальные компоненты могут не использоваться дляпроверки почтовых файлов.


1106. SpIDer Mail

Антиспам Dr.Web

Технологии Антиспама Dr.Web состоят из нескольких тысячправил, которые условно можно разбить на несколько групп:

эвристический анализ – чрезвычайно сложная,высокоинтеллектуальная технология эмпирическогоразбора всех частей письма: поля заголовка, тела,содержания вложения;

фильтрация противодействия – состоит враспознавании уловок, используемых спамерами дляобхода антиспам-фильтров;

анализ на основе HTML-сигнатур – сообщения, в составкоторых входит HTML-код, сравниваются с образцамибиблиотеки HTML-сигнатур антиспама;

семантический анализ – сравнение слов и выраженийсообщения со словами и идиомами, типичными для спама,производится по специальному словарю. Анализуподвергаются как видимые, так и визуально скрытыеспециальными техническими уловками слова, выражения исимволы;

анти-скамминг технология – к числу скамминг- ифарминг-сообщений относятся т. н. «нигерийские письма»,сообщения о выигрышах в лотерею, казино, поддельныеписьма банков. Для их фильтрации применяетсяспециальный модуль;

фильтрация технического спама – так называемыеbounce-сообщения возникают как реакция на вирусы, иликак проявление вирусной активности. Специальный модульантиспама определяет такие сообщения какнежелательные.


1116. SpIDer Mail

6.1. Управление SpIDer Mail

Основные средства настройки и управления почтовым сторожемSpIDer Mail находятся в подменю SpIDer Mail, которое


При выборе пункта Статистика открывается окно синформацией о работе программы в текущем сеансе (количествопроверенных, зараженных, подозрительных объектов ипредпринятые действия).

При выборе пункта Настройки открывается окно настроекпочтового сторожа (см. Настройка SpIDer Mail).

Пункт Отключить/Включить позволяет временно отключитьили заново запустить работу SpIDer Mail.


1126. SpIDer Mail



6.2. Настройка SpIDer Mail

Основные параметры работы почтового сторожа SpIDer Mailсосредоточены в разделах окна Настройки SpIDer Mail(см. ниже). Большинство настроек по умолчанию являютсяоптимальными в большинстве случаев. Ниже описываютсяпараметры, для которых чаще всего возникает необходимость внастройках, отличных от заданных по умолчанию.


1. Щелкните значок SpIDer Agent в областиуведомлений Windows и выберите в подменю SpIDer Mailпункт Настройки.



4. По окончании редактирования настроек:

чтобы сохранить изменения, нажмите кнопку ОК;

чтобы отказаться от внесенных изменений, нажмитекнопку Отменить.


1136. SpIDer Mail


Использование SpIDer Mail в качестве прокси-сервера

Почтовый сторож SpIDer Mail поддерживает перехватсоединений с почтовыми серверами, работающими согласнопротоколам POP3, SMTP, IMAP4 или NNTP.

Чтобы измененить настройки перехвата соединений ииспользовавать почтовый сторож SpIDer Mail в качествепрокси-сервера, нажмите кнопку Изменить.


1146. SpIDer Mail

Для того чтобы удалить какой-либо элемент из списка, выберитеего в списке и нажмите кнопку Удалить.

Для того чтобы добавить какой-либо сервер или группу серверовв список, введите его адрес (доменное имя или IP-адрес) в полеАдрес сервера, а номер порта, к которому происходитобращение, в поле Порт сервера, и нажмите кнопку Добавить.

Адрес localhost не перехватывается при указании

символа *. Данный адрес при необходимости следует

указывать в списке перехвата в явном виде.

Настройка перехвата соединений

1. Составьте список ресурсов (POP3/SMTP/IMAP4/NNTP-серверов), обращения к которым предполагаетсяперехватывать. Перенумеруйте их без пропусков, начинаяс числа 7000. Эти номера далее будут именоваться

портами SpIDer Mail.

2. В настройках почтового сторожа SpIDer Mail выберитераздел Проверка, затем нажмите кнопку Изменить.


1156. SpIDer Mail

3. Для каждого из ресурсов введите в поле Порт SpIDerMail – порт SpIDer Mail, выбранный для почтовогосервера, в поле Адрес сервера – доменное имя сервералибо его IP-адрес, в поле Порт сервера – номер порта, ккоторому происходит обращение, и нажмите кнопкуДобавить.

4. Повторите эти действия для каждого ресурса.

5. Нажмите кнопку ОК.

В настройках почтового клиента вместо адреса ипорта POP3/SMTP/IMAP4/NNTP-сервера укажитеадрес localhost:<порт_SpIDer_Mail>, где

<порт_SpIDer_Mail> – порт, назначенныйсоответствующему POP3/SMTP/IMAP4/NNTP-серверу.

Для доступа к дополнительным настройкам проверки нажмитекнопку Расширенные.


1166. SpIDer Mail

В открывшемся диалоговом окне вы можете настроитьособенности проверки, действия над письмом, а такжеоптимизацию проверки:

Таймаут проверки письма – максимальное время, втечение которого письмо проверяется. По истеченииуказанного времени проверка письма прекращается;

Максимальную длину файла при распаковке. Еслипрограмма определяет, что после распаковки архив будетбольше указанной длины, проверка и распаковкапроизводиться не будет;

Максимальный коэффициент сжатия архива. Еслипрограмма определяет, что коэффициент сжатия архивапревышает указанный, распаковка и проверкапроизводиться не будут;

Максимальный уровень вложенности в архив. Еслиуровень вложенности в архив превышает указанный,проверка будет производиться только до указанного уровнявложенности.


1176. SpIDer Mail

Раздел Действия

В этом разделе вы можете настроить реакцию SpIDer Mail надсообщениями при обнаружении угрозы.

Реакция программы для каждого типа угрозы выбирается ввыпадающих списках. Рекомендуется установить следующиедействия:

для Инфицированных писем – действие Лечить;

для Неизлечимых писем и Подозрительных –действие Перемещать в карантин;

для Непроверенных и Поврежденных писем –действие Игнорировать;

для рекламных программ и программ дозвона – действиеПеремещать в карантин;

для программ-шуток, программ взлома и потенциальноопасных программ – действие Игнорировать.


1186. SpIDer Mail

Защиту от подозрительных писем можно отключать только в томслучае, когда компьютер дополнительно защищен постояннозагруженным сторожем SpIDer Guard.

Вы можете увеличить надежность антивирусной защиты посравнению с уровнем, предусмотренным по умолчанию, выбрав всписке Непроверенные письма пункт Перемещатьв карантин. Файлы с перемещенными письмами в этом случаерекомендуется проверить Сканером.

Также вы можете перейти в режим, в котором удаленные илиперемещенные программой письма также немедленно удаляютсяна POP3/IMAP4-сервере. Для этого установите флаг Удалятьмодифицированные письма на сервере в дополнительныхнастройках.

Раздел Антиспам

Изменение настроек Антиспама Dr.Web осуществляется вразделе Антиспам.


1196. SpIDer Mail

Почтовый сторож по умолчанию осуществляет проверкувходящих писем на спам. Для того чтобы входящаякорреспонденция не проверялась Антиспамом, выберите режимНе проверять почту на наличие спама.

Ко всем проверенным письмам будут добавляться заголовки:

X-DrWeb-SpamState: Yes/No. Значение Yesпоказывает, что письму присвоен статус спам, No —

письмо, по мнению SpIDer Mail, спамом не является.

X-DrWeb-SpamVersion: version. version – версия

библиотеки Антиспама Dr.Web.

X-DrWeb-SpamReason: рейтинг спама. Рейтинг

спама включает в себя перечень оценок по различнымкритериям принадлежности к спаму.

Установка флага в поле Добавлять префикс к заголовкуписем, содержащих спам указывает почтовому сторожуSpIDer Mail добавлять специальный префикс к темам писем,распознаваемых как спам. Этот префикс задается в поле,расположенном под флагом. Добавление префикса поможет вамсоздать правила для фильтрации почтовых сообщений,помеченных как спам, в тех почтовых клиентах (например,MS Outlook Express), в которых невозможно настроить фильтрыпо заголовкам писем.

Если для получения почтовых сообщений вы используетепротоколы IMAP/NNTP – настройте вашу почтовую программутаким образом, чтобы письма загружались с почтового серверасразу целиком, без предварительного просмотра заголовков. Этонеобходимо для корректной работы Антиспама.

Флаг, установленный в поле Разрешать текст на кириллицеуказывает Антиспаму не причислять письма, написанные сустановленной кириллической кодировкой, к спаму безпредварительного анализа. Если флаг снят, то такие письма сбольшой вероятностью будут отмечены фильтром как спам.


1206. SpIDer Mail

Установка и снятие флага Разрешать текст на азиатскихязыках работает аналогично.

При нажатии кнопки Белый и Черный списки открываетсяокно, в котором содержатся «черные» и «белые» списки адресовотправителей почтовых сообщений.

Если адрес отправителя добавлен в «белый» список,письмо не подвергается анализу на содержание спама.

Если адрес отправителя добавлен в «черный» список,письму без дополнительного анализа присваивается статусспама.

Чтобы добавить в список определенного отправителя, введитеего полный почтовый адрес. Допускается использование знака *вместо части адреса. (Например, запись вида *@domain.orgозначает все адреса с доменным именем «domain.org»).

Если какие-либо письма неправильно распознаютсяАнтиспамом, следует отправлять их на специальные почтовыеадреса для анализа и повышения качества работы фильтра.Письма, ошибочно оцененные как спам, отправляйте на адрес[email protected], а спам, не распознанный системой – наадрес [email protected]. Все сообщения следует пересылатьтолько в виде вложения (а не в теле письма).

mailto:[email protected]



1216. SpIDer Mail

Раздел Исключаемые приложения

По умолчанию почтовый сторож SpIDer Mail автоматическиперехватывает почтовый трафик всех пользовательскихприложений на вашем компьютере. В этом разделе задаетсясписок приложений, почтовый трафик которых не будетперехватываться и, соответственно, анализироваться почтовымсторожем.

Чтобы добавить файл, папку или маску в список исключений,укажите необходимое имя в поле ввода и нажмите кнопкуДобавить. Чтобы указать конкретный существующий каталогили файл, нажмите кнопку Добавить и выберите каталог илифайл в стандартном окне открытия файла. Кнопка Удалитьпозволяет удалить из списка выбранное исключение.




Основные функции компонента

Подключаемый модуль Dr.Web для Outlook выполняетследующие функции:

антивирусная проверка вложенных файлов почтовыхсообщений;

проверка почты, поступающей по зашифрованномусоединению SSL;

проверка почтовых сообщений на спам;

обнаружение и нейтрализация вредоносного программногообеспечения;

использование эвристического анализатора длядополнительной защиты от неизвестных вирусов.

7.1. Настройка Dr.Web для Outlook

Настройка параметров и просмотр статистики работы программыосуществляется в почтовом приложении Microsoft Outlook вразделе Сервис Параметры вкладка Антивирус Dr.Web(для Microsoft Outlook 2010 в разделе Файл Параметры Надстройки необходимо выбрать модуль Dr.Web для Outlookи нажать кнопку Параметры надстройки).

Вкладка Антивирус Dr.Web в настройках приложения MicrosoftOutlook доступна только при наличии у пользователя прав,позволяющих изменять данные настройки.



На вкладке Антивирус Dr.Web отображается текущеесостояние защиты (включена/выключена). Кроме того, онапредоставляет доступ к следующим функциям программы:

Журнал – позволяет настроить регистрацию событийпрограммы;

Проверка вложений – позволяет настроить проверкуэлектронной почты и определить действия программы дляобнаруженных вредоносных объектов;

Спам-фильтр – позволяет определить действия программыдля спам-сообщений, а также создать белый и черныйсписки электронных адресов;

Статистика – показывает данные об объектах, проверенныхи обработанных программой.



7.2. Обнаружение угроз

Dr.Web для Outlook использует различныеметоды обнаружения вирусов и других угроз безопасностикомпьютера. К найденным вредоносным объектам применяютсяопределяемые пользователем действия: лечениеинфицированных объектов, удаление или перемещение вКарантин для их изоляции и безопасного хранения.

7.2.1. Вредоносные объекты

Dr.Web для Outlook обнаруживает следующие вредоносныеобъекты:

инфицированные объекты;

файлы-бомбы или архивы-бомбы;

рекламные программы;

программы взлома;

программы дозвона;

программы-шутки;

потенциально опасные программы;

шпионские программы;

троянские программы;

компьютерные черви и вирусы.



7.2.2. Действия

Dr.Web для Outlook позволяет задать реакцию программы наобнаружение зараженных или подозрительных файлов ивредоносных программ при проверке вложений электроннойпочты.

Чтобы настроить проверку вложений и определить действияпрограммы для обнаруженных вредоносных объектов, в почтовомприложении Microsoft Outlook в разделе Сервис Параметры

вкладка Антивирус Dr.Web нажмите кнопку Проверкавложений (для Microsoft Outlook 2010 в разделе Файл Параметры Надстройки необходимо выбрать модульDr.Web для Outlook и нажать кнопку Параметрынадстройки).



Окно Проверка вложений доступно только при наличии упользователя прав администратора системы.

Для ОС Windows Vista и старше при нажатии кнопки Проверкавложений:

При включенном UAC: администратору будет выданзапрос на подтверждение действий программы,пользователю без административных прав будет выданзапрос на ввод учетных данных администратора системы;

При выключенном UAC: администратор сможет изменятьнастройки программы, пользователь не сможет получитьдоступ к изменению настроек.

В окне Проверка вложений вы можете задать действияпрограммы для различных категорий проверяемых объектов, атакже для случая, когда при проверке возникли ошибки. Крометого, вы можете включить или выключить проверку архивов.

Для задания действий над обнаруженными вредоноснымиобъектами служат следующие настройки:

Выпадающий список Инфицированные задает реакциюна обнаружение объектов, зараженных известными и(предположительно) излечимыми вирусами;

Выпадающий список Невылеченные задает реакцию наобнаружение объектов, зараженных известнымнеизлечимым вирусом, а также когда предпринятаяпопытка излечения не принесла успеха.

Выпадающий список Подозрительные задает реакцию наобнаружение объектов, предположительно зараженныхвирусом (срабатывание эвристического анализатора).

Раздел Вредоносные программы задает реакцию наобнаружение следующего нежелательного ПО:

рекламные программы;

программы дозвона;

программы-шутки;

программы взлома;

потенциально опасные.



Выпадающий список При ошибке проверки позволяетнастроить действия программы в случае, если проверкавложения невозможна, например, если оно представляетсобой поврежденный или защищенный паролем файл.

Флаг Проверка архивов позволяет включить илиотключить проверку вложенных файлов, представляющихсобой архивы. Установите данный флаг для включенияпроверки, снимите – для отключения.

Состав доступных реакций зависит от типа вирусного события.

Предусмотрены следующие действия над обнаруженнымиобъектами:

Вылечить (действие доступно только дляинфицированных объектов) – означает, что программапредпримет попытку вылечить инфицированный объект;

Как для невылеченных (действие доступно только дляинфицированных объектов) – означает, что кинфицированному вложению будет применено действие,выбранное для невылеченных объектов;

Удалить – означает, что объект будет удален;

Переместить в карантин – означает, что объект будетизолирован в каталоге Карантина;

Пропустить – означает, что объект будет пропущен безизменений.



7.3. Проверка на спам

Dr.Web для Outlook проверяет на спам все почтовыесообщения с помощью Антиспама Dr.Web и осуществляетфильтрацию сообщений в соответствии с настройками,задаваемыми пользователем.

Чтобы настроить проверку сообщений на спам, в почтовомприложении Microsoft Outlook в разделе Сервис Параметры

вкладка Антивирус Dr.Web нажмите кнопку Спам-фильтр(для Microsoft Outlook 2010 в разделе Файл Параметры Надстройки необходимо выбрать модуль Dr.Web для Outlookи нажать кнопку Параметры надстройки). Откроется окнонастроек Спам фильтра.

Окно Спам-фильтр доступно только при наличии упользователя прав администратора системы.

Для ОС Windows Vista и старше при нажатии кнопки Спам-фильтр:





7.3.1. Настройка спам-фильтра

Настройка спам-фильтра

Для настройки параметров фильтрации спама выполните любыеиз следующих действий:

для активации спам-фильтра установите флажокПроверять почту на спам;

если вы хотите добавлять специальный текст в заголовоксообщения, распознанного как спам, установите флажокДобавлять префикс в тему письма. Добавляемый текстможно ввести в текстовом поле справа от флага. Поумолчанию добавляется префикс ***SPAM***;

если вы хотите, чтобы проверенные сообщения отмечалиськак прочитанные в свойствах письма, установите флажокОтметить письмо как прочитанное. По умолчаниюфлажок Отметить как прочитанное установлен;

настройте белые и черные списки для фильтрации писем.



Если некоторые письма были неправильно распознаны, следуетотправить их на специальные почтовые адреса для анализа иповышения качества работы фильтра:

Письма, ошибочно принятые за спам, следует отправлятьна адрес [email protected];

Нераспознанные и пропущенные спам-сообщения следуетотправлять на адрес [email protected].

Все сообщения необходимо высылать только в виде вложения (ане в теле письма).

7.3.2. Черный и белый списки

Черный и белый списки электронных адресов служат дляфильтрации сообщений.

Для просмотра и редактирования черного или белого списка, внастройках спам-фильтра, нажмите кнопку Черный список илиБелый список соответственно.





Пополнение черного или белого списка

1. Нажмите кнопку Добавить.

2. Введите электронный адрес в соответствующее поле(см. методы заполнения белого и черного списков).

3. Нажмите кнопку ОК в окне Редактировать список.

Изменение адреса в списке

1. Выберите в списке адрес, который вы хотите изменить, инажмите кнопку Изменить.

2. Отредактируйте необходимую информацию.

3. Нажмите ОК в окне Редактировать список.

Удаление адреса из списка

1. Выберите в списке адрес, который вы хотите удалить.

2. Нажмите кнопку Удалить.

В окне Белые и черные списки нажмите ОК, чтобы сохранитьвнесенные изменения.

Белый список

Если адрес отправителя добавлен в «белый» список, письмо неподвергается анализу на содержание спама. Однако, еслидоменное имя адресов получателя и отправителя письмасовпадают, и это доменное имя занесено в белый список сиспользованием знака *, то письмо подвергается проверке на

спам. Методы ввода:

чтобы добавить в список определенного отправителя,введите его полный почтовый адрес (например,[email protected]). Все письма, полученные с этого

адреса, будут доставляться без проверки на спам;



каждый элемент списка может содержать только одинпочтовый адрес или одну маску почтовых адресов;

чтобы добавить в список отправителей адресаопределенного вида, введите маску, определяющую данныеадреса. Маска задает шаблон для определения объекта.Она может включать обычные символы, допустимые впочтовых адресах, а также специальный символ *, который

заменяет любую (в том числе пустую) последовательностьлюбых символов.

Например, допускаются следующие варианты:

[email protected]

*[email protected]

mailbox@dom*

*box@dom*

Знак * может ставиться только в начале или в конце

адреса.

Символ @ обязателен.

чтобы гарантированно получать письма с почтовыхадресов в конкретном домене, используйте символ *вместо имени пользователя. Например, чтобы получать всеписьма от адресантов из домена example.net, введите*@example.net.

чтобы гарантированно получать письма с почтовых адресовс конкретным именем пользователя с любого домена,используйте символ * вместо имени домена. Например,

чтобы получать все письма от адресантов с названиемпочтового ящика «ivanov», введите ivanov@*.



Черный список

Если адрес отправителя добавлен в «черный» список, то письмубез дополнительного анализа присваивается статус спам.Методы ввода:

чтобы добавить в список определенного отправителя,введите его полный почтовый адрес (например,[email protected]). Все письма, полученные с этого адреса,

будут автоматически распознаваться как спам;

каждый элемент списка может содержать только одинпочтовый адрес или одну маску почтовых адресов;

чтобы добавить в список отправителей адресаопределенного вида, введите маску, определяющую данныеадреса. Маска задает шаблон для определения объекта.Она может включать обычные символы, допустимые впочтовых адресах, а также специальный символ *, который

заменяет любую (в том числе пустую) последовательностьлюбых символов.

чтобы гарантированно помечать как спам письма спочтовых адресов в конкретном домене, используйтесимвол * вместо имени пользователя. Например, чтобы

помечать как спам все письма от адресантов из доменаspam.ru, введите *@spam.ru;

чтобы гарантированно помечать как спам письма спочтовых адресов с конкретным именем пользователя слюбого домена, используйте символ * вместо имени

домена. Например, чтобы помечать как спам все письма отадресантов с названием почтового ящика «ivanov», введитеivanov@*.

адреса из домена получателя не обрабатываются.Например, если почтовый ящик получателя (ваш почтовыйящик) находится в домене mail.ru, то письма, отправленныес домена mail.ru обрабатываться спам-фильтром не будут.




Dr.Web для Outlook регистрирует ошибки и происходящиесобытия в следующих журналах регистрации:

журнал регистрации событий операционной системы (EventLog);

текстовый журнал отладки.

7.4.1. Журнал операционной системы

В журнал регистрации событий операционной системы (EventLog) заносится следующая информация:

сообщения о запуске и остановке программы;

параметры лицензионного ключевого файла:действительность или недействительность лицензии, срокдействия лицензии (информация заносится при запускепрограммы, в процессе ее работы и при заменелицензионного ключевого файла);

параметры модулей программы: сканера, ядра, вирусныхбаз (информация заносится при запуске программы и приобновлении модулей);

сообщение о недействительности лицензии: отсутствиеключевого файла, отсутствие в ключевом файлеразрешения на использование модулей программы,лицензия заблокирована, нарушение целостностиключевого файла (информация заносится при запускепрограммы и в процессе ее работы);

сообщения об обнаружении вирусов;

уведомления о завершении срока действия лицензии(информация заносится за 30, 15, 7, 3, 2 и 1 дней доокончания срока).



Просмотр журнала регистрации событийоперационной системы

1. Откройте Панель управления операционной системы.

2. Выберите раздел Администрирование ПросмотрСобытий.

3. В левой части окна Просмотр Событий выберите пунктПриложение. Откроется список событий,зарегистрированных в журнале пользовательскимиприложениями. Источником сообщений Dr.Web дляOutlook является приложение Dr.Web for Outlook.

7.4.2. Текстовый журнал отладки

В текстовый журнал отладки заносится следующая информация:

сообщения о действительности или недействительностилицензии;

сообщения об обнаружении вирусов;

сообщения об ошибках записи или чтения файлов, ошибкаханализа архивов или файлов, защищенных паролем;

параметры модулей программы: сканера, ядра, вирусныхбаз;

сообщения об экстренных остановках ядра программы;

уведомления о завершении срока действия лицензии(информация заносится за 30, 15, 7, 3, 2 и 1 дней доокончания срока).

Ведение текстового журнала программы приводит к снижениюбыстродействия системы, поэтому рекомендуется включатьрегистрацию событий только в случае возникновения ошибокработы Dr.Web для Outlook.



Настройка регистрации событий

1. На вкладке Антивирус Dr.Web нажмите кнопку Журнал.Откроется окно настроек журнала.

2. Выберите уровень детализации (от 0 до 5) для записи

событий:

уровень 0 означает, что регистрация событий втекстовом журнале отладки не ведется;

уровень 5 соответствует максимальной детализациирегистрируемых событий.

По умолчанию регистрация событий отключена.

3. Задайте максимальный размер (в килобайтах) файлажурнала.

4. Нажмите кнопку ОК для сохранения изменений.

Окно Журнал доступно только при наличии у пользователяправ администратора системы.

Для операционной системы Windows Vista и старше при нажатиикнопки Журнал:



Просмотр журнала событий

Для просмотра текстового журнала событий программы нажмитекнопку Показать в папке. Откроется каталог, в которомхранится журнал.



7.5. Статистика проверки

В почтовом приложении Microsoft Outlook в разделе Сервис Параметры вкладка Антивирус Dr.Web (для MicrosoftOutlook 2010 в разделе Файл Параметры Надстройкинеобходимо выбрать модуль Dr.Web для Outlook и нажатькнопку Параметры надстройки) содержится статистическаяинформация об общем количестве объектов, проверенных иобработанных программой.

Объекты разделяются на следующие категории:

Проверено – общее количество проверенных писем;

Инфицированных – количество писем, содержащиевирусы;

Подозрительных – количество писем, предположительнозараженных вирусом (срабатывание эвристическогоанализатора);

Вылечено – количество объектов, успешно вылеченныхпрограммой;

Непроверенных – количество объектов, проверкакоторых невозможна или при проверке которых возниклиошибки;

Чистых – количество писем, не содержащих вредоносныхобъектов.

Затем указывается количество объектов, к которым былиприменены действия:

Перемещено – количество объектов, перемещенных вКарантин;

Удалено – количество объектов, удаленных из системы;

Пропущено – количество объектов, пропущенных безизменений;

Спам-писем – количество писем, распознанных как спам.



По умолчанию статистика сохраняется в файлеdrwebforoutlook.stat, который находится в каталоге %USERPROFILE%\DoctorWeb (в Windows 7, C:\Users\<имяпользователя>\DoctorWeb).

Файл статистики drwebforoutlook.stat ведется отдельно длякаждого пользователя системы.


1398. SpIDer Gate

8. SpIDer Gate

SpIDer Gate – это веб-антивирус, который автоматическипроверяет входящий HTTP-трафик и блокирует передачуобъектов, содержащих вредоносные программы (при настройкахпо умолчанию). Через протокол HTTP работают веб-обозреватели (браузеры), менеджеры загрузки и многие другиеприложения, обменивающиеся данными с веб-серверами, то естьработающие с сетью Интернет.

При настройках по умолчанию SpIDer Gate блокируетполучаемые по сети объекты, содержащие вредоносныепрограммы.

С помощью изменения настроек SpIDer Gate вы можетеотключить проверку исходящего или входящего трафика, а такжесформировать список тех приложений, HTTP-трафик которыхбудет проверяться в любом случае и в полном объеме. Такжесуществует возможность исключения из проверки трафикаотдельных приложений.

При базовых настройках SpIDer Gate блокирует получаемые посети объекты, содержащие вредоносные программы. Также поумолчанию включена URL-фильтрация нерекомендуемых сайтов исайтов, известных как источники распространения вирусов.

Вы можете подключиться к «облачным» сервисам компании«Доктор Веб», которые позволяют антивирусной защитеиспользовать свежую информацию об угрозах, обновляемую насерверах компании «Доктор Веб» в режиме реального времени.

SpIDer Gate постоянно находится в оперативной памятикомпьютера и по умолчанию запускается при загрузкеоперационной системы автоматически.


1408. SpIDer Gate

8.1. Управление SpIDer Gate

Основные средства настройки и управления веб-антивирусомSpIDer Gate находятся в подменю SpIDer Gate, которое


При выборе пункта Статистика открывается окно синформацией о работе SpIDer Gate в текущем сеансе.

При выборе пункта Настройки открывается окно настроекSpIDer Gate (см. Настройка SpIDer Gate).

Пункт Отключить/Включить позволяет временно отключитьили заново запустить работу SpIDer Gate.




1418. SpIDer Gate

8.2. Настройка SpIDer Gate

Основные параметры работы веб-антивируса SpIDer Gateсосредоточены в разделах окна Настройки SpIDer Gate(см. ниже). Настройки SpIDer Gate по умолчанию являютсяоптимальными для большинства применений, их не следуетизменять без необходимости.

Изменение настроек веб-антивируса

1. Щелкните значок SpIDer Agent в областиуведомлений Windows и выберете в подменю SpIDer Gateпункт Настройки.



4. По окончании редактирования настроек нажмитекнопку OK.


В группе Режим проверки предоставляется возможностьвыбора типа проверяемого HTTP-трафика. По умолчаниюпроверяется только входящий трафик, т. е. выбран режимПроверять входящий HTTP-трафик (рекомендуется).При этом учитываются заданные действия, белый список веб-сайтов и приложения, исключаемые из проверки.


1428. SpIDer Gate

Проверка трафика IM-клиентов

В группе Особенности проверки вы можете включить проверкуссылок и данных, передаваемых клиентами систем обменамгновенными сообщениями (Mail@RU Агент, ICQ и клиентов,работающих по протоколу Jabber). Проверяется только входящийтрафик. По умолчанию опция включена.

Ссылки, передаваемые в сообщениях, проверяются согласнонастройкам SpIDer Gate: ссылки на веб-сайты, известные какисточники распространения вирусов, блокируютсяавтоматически, ссылки на нерекомендуемые сайты и URL,добавленные по обращению правообладателя, блокируются втом случае, если включены соответствующие настройки вразделе Действия. При этом учитываются белый список веб-сайтов и приложения, исключаемые из проверки.


1438. SpIDer Gate

Файлы, передаваемые клиентами систем обмена мгновеннымисообщениями также проверяются. При обнаружении угрозы,передача такого файла блокируется, если включенасоответствующая настройка в разделе Действия. Вирусыблокируются автоматически, если опция Проверять трафик иURL в IM-клиентах включена.

Для настройки дополнительных опций в разделе Проверканажмите кнопку Расширенные.

В появившемся окне вы можете настроить проверку архивов иинсталляционных пакетов. По умолчанию опция проверкиархивов и инсталляционных пакетов выключена.

В этом же окне вы можете настроить Приоритет проверки –распределение ресурсов в зависимости от приоритетностипроверки трафика. При меньшем приоритете проверки скоростьработы с сетью Интернет уменьшается, поскольку веб-антивирусу SpIDer Gate приходится дольше ждать загрузкиданных и проверять больший объем информации. Приувеличении приоритета проверка производится чаще, чтопозволяет веб-антивирусу отдавать данные быстрее, тем самымповышая скорость работы с сетью. Однако при более частыхпроверках повышается нагрузка на процессор.


1448. SpIDer Gate

Раздел Действия

В группе Параметры блокировки вы можете установитьавтоматическую блокировку доступа к URL, добавленным пообращению правообладателя (для этого установитесоответствующий флажок), а также к нерекомендованнымсайтам, известным как неблагонадежные (для этого установитефлажок Блокировать нерекомендуемые сайты). Нажмитекнопку Белый список, чтобы указать сайты, доступ к которымдолжен быть разрешен несмотря на установленные ограничения.

Также вы можете настроить блокировку вредоносных программ иобъектов. По умолчанию блокируются все вредоносныепрограммы.


1458. SpIDer Gate

Раздел Исключаемые приложения

По умолчанию SpIDer Gate производит проверку HTTP-трафика,передаваемого по любому порту. В разделе Исключаемыеприложения производится настройка параметров проверкиHTTP-трафика.

Добавьте в список Приложения, исключенные из проверките программы, сетевую активность которых SpIDer Gateконтролировать не должен. Исключать из проверки следуеттолько те приложения, действиям и защищенности которых выполностью доверяете.

Для того чтобы добавить приложение в список, нажмите кнопкуОбзор и выберите приложение в стандартном окнеоперационной системы.

Для того чтобы удалить приложение из списка, выберите его вэтом списке и нажмите кнопку Удалить.




С помощью модуля Родительский контроль осуществляетсяограничение доступа пользователей к аппаратному обеспечениюкомпьютера и различным программным ресурсам, содержащимсякак на самом компьютере, так и в сети, а также контролируетсявремя работы в сети Интернет и за компьютером.

Ограничение доступа к ресурсам локальной файловой системыпозволяет сохранить целостность и конфиденциальность важныхданных и защитить файлы от заражения. Существуетвозможность защиты, как отдельных файлов, так и папокцеликом, расположенных как на локальных дисках, так и навнешних носителях информации. Также для предотвращениянесанкционированного доступа к данным или их кражи выможете ограничить доступ к таким устройствам, как USB-порты,жесткие диски, дисководы и т. п.

Контроль доступа к интернет-ресурсам позволяет, как оградитьпользователя от просмотров нежелательных веб-сайтов (сайтов,посвященных насилию, азартным играм и т. п.), так и разрешитьпользователю доступ только к тем сайтам, которые определенынастройками модуля Родительский контроль.

Вы можете подключиться к «облачным» сервисам компании«Доктор Веб», которые позволяют антивирусной защитеиспользовать свежую информацию об угрозах, обновляемую насерверах компании «Доктор Веб» в режиме реального времени.

Родительский контроль постоянно находится в оперативнойпамяти компьютера и автоматически запускается при загрузкеоперационной системы.



9.1. Управление модулемРодительский контроль

Основные средства настройки и управления модулемРодительский контроль находятся в подменю Родительскийконтроль, которое открывается по щелчку на значке SpIDer

Agent в области уведомлений Windows.

При выборе пункта Статистика открывается окно, содержащеесведения о работе модуля Родительский контроль в течениетекущего сеанса (количество заблокированных расурсов разныхкатегорий, последние разрешенные или заблокированные URL).

При выборе пункта пункта Настройки открывается окнонастроек модуля Родительский контроль (см. Настройкамодуля Родительский контроль).



Пункт Настройки доступны только в Административномрежиме.


9.2. Настройка модуля Родительскийконтроль

Настройки модуля Родительский контроль по умолчаниюявляются оптимальными для большинства применений, их неследует изменять без необходимости.

Изменение настроек модуля Родительский контроль

1. Щелкните значок SpIDer Agent в областиуведомлений Windows и выберете в подменюРодительский контроль пункт Настройки.


3. Для того чтобы получить информацию о настройках,расположенных в разделе, нажмите на ссылку Справка.

4. По окончании редактирования настроек нажмите кнопкуOK.



Раздел Пользователи

В этом разделе производится настройка ограничений по доступук веб-ресурсам и времени работы пользователей за компьютероми в сети Интернет. Параметры работы задаются отдельно длякаждого пользователя операционной системы и отображаютсярядом с рисунком для соответствующей учетной записи. В окненастроек учетные записи отображаются автоматически.

Используйте кнопки навигации для перелистывания спискапользователей.

По умолчанию всем пользователем компьютера разрешеннеограниченный доступ к ресурсам сети Интернет, ограниченияпо времени работы отсутствуют.



Настройка Веб-фильтра

По умолчанию для всех пользователей установлен режим работыБез ограничений. Вы можете изменить режим доступа к веб-страницам и задать белый и черный список ресурсов отдельнодля каждого пользователя.

Ограничение доступа к веб-страницам

1. В разделе Пользователи настроек модуляРодительский контроль найдите в списке учетнуюзапись, для которой требуется настроить ограничения.

2. Щелкните по ссылке в соответствующей графе Веб-фильтр. Откроется окно настроек.



3. Выберите вариант доступа к веб-ресурсам:

Без ограничений – ограничений на доступ к веб-ресурсам нет.

Пользовательский – вы можете указать категориитех ресурсов, доступ к которым вы хотитеограничить. Также в этом режиме вы можетесамостоятельно указывать сайты, доступ к которымбудет запрещаться или разрешаться вне зависимостиот других ограничений. Для задания списковнажмите кнопку Белый и черный списки.

Только Белый список – запрещается доступ ковсем веб-ресурсам, кроме указанных в «белом»списке веб-сайтов. Для задания списка разрешенныхресурсов нажмите кнопку Белый и черный списки.

Включить безопасный поиск – автоматическивключается функция безопасного поиска в поисковыхсистемах Google, Yandex, Yahoo!, Bing и Rambler. Этафункция позволяет исключить нежелательныересурсы из результатов поиска.

Списки адресов веб-сайтов, относящихся ко всем тематическимкатегориям, регулярно обновляются Модулем обновлениявместе с обновлением вирусных баз.

4. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или кнопку Отменитьдля отказа от них.



Формирование белого и черного списков

1. Введите в поле ввода доменное имя (часть доменногоимени):

если вы хотите добавить в список определенный сайт,введите его полный адрес (прим.: www.example.com).

Доступ ко всем ресурсам, расположенным на этомсайте, будет определяться данной записью;

если вы хотите разрешить/запретить доступ к тем веб-сайтам, в адресе которых содержится определенныйтекст, введите в поле этот текст (прим.: example.

Доступ к адресам example.com, example.test.com,test.com/example, test.example222.ru и т. п. будетопределяться данной записью).



В том случае, когда введенная строка содержит символ ".",

данная строка будет рассматриваться как имя домена. Тогдадоступ ко всем ресурсам, находящиеся на этом домене, будетопределяться данной записью. Если данная строка содержити символ "/" (прим.: example.com/test), то та часть, что

стоит слева от символа, будет считаться доменным именем, ачасти справа от символа – частью разрешенного на данномдомене адреса (т. о. будут обрабатываться такие адресакак example.com/test11, template.example.com/test22и т. п.).

2. Выполните одно из следующих действий, чтобы добавитьзапись в список:

чтобы добавить запись «белый» список и разрешитьпользователю доступ к указанным веб-ресурсам,нажмите кнопку Разрешить;

чтобы добавить запись «черный» список и запретитьпользователю доступ к указанным веб-ресурсам,нажмите кнопку Запретить.

3. Чтобы удалить какой-либо ресурс из списка, выберите егов этом списке и нажмите кнопку Удалить.

Ограничение времени работы

По умолчанию всем пользователям разрешено работать закомпьютером и в сети Интернет неограниченное время. Выможете изменить режим доступа для каждого отдельногопользователя.

Ограничение времени доступа к сети Интернет

1. В разделе Пользователи настроек модуляРодительский контроль найдите в списке учетнуюзапись, для которой требуется настроить ограничения.

2. Щелкните по ссылке в соответствующей графеОграничение времени. Откроется окно настроек.



3. Выберите дни недели и часы, когда требуется запретитьпользователю выход в Интернет, и выделитесоответствующие временные квадраты синим цветом.Методы выделения:

чтобы выделить один квадрат, щелкните по немуодин раз левой кнопкой мыши;

чтобы одновременно выделить несколькорасположенных рядом квадратов, один раз щелкнителевой кнопкой мыши по первому квадрату и,удерживая кнопку нажатой, выделите весьнеобходимый период.

4. Выберите дни недели и часы, когда требуется запретитьпользователю работу за компьютером, и выделитесоответствующие временные квадраты красным цветом.

5. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или кнопку Отменитьдля отказа от них.

При включении ограничений времени работы за компьютеромили в сети Интернет, автоматически включается опцияЗапрещать изменение даты и времени системы в разделеСамозащита основных настроек.



Раздел Контроль доступа

В данном разделе вы можете запретить доступ к данным насъемных носителях, а также ограничить доступ к конкретнымустройствам, папкам или файлам на вашем компьютере. Такжевы можете запретить передачу данных по локальным сетям домаили на предприятии и сети Интернет.

Настройки контроля доступа применяются для всех учетныхзаписей Windows.

Доступ к сменным носителям

Чтобы запретить доступ к данным на сменных носителях (USBфлеш-накопителях, дискетах, CD/DVD приводах, ZIP-дискахи т. п.), установите соответствующий флажок. При этом выможете задать белый список USB-устройств, используемых дляхранения информации, доступ к которым всегда будет разрешен.Для этого нажмите кнопку Белый список (кнопка активна,только если установлен флажок). Созданный белый список выможете использовать на любом другом компьютере, на которомустановлена антивирусная защита Dr.Web версии 9.0.



Отправка заданий на принтер

Для того чтобы нельзя было передать на принтер задания напечать, установите флажок Блокировать отправку заданийна принтер. По умолчанию опция выключена.

Формирование списка ресурсов ограниченногодоступа

1. Установите флажок Ограничивать доступ кследующим объектам.

2. Нажмите кнопку Добавить и выберите тип объекта. Выможете ограничить доступ к конкретному файлу илипапке, отдельному устройству или целому классустройств.

Правила ограничения доступа классу устройств являютсяболее приоритетными, чем отдельные правила дляконкретных устройств данного типа. Например, если вызапретите доступ ко всем сменным носителям, тодобавленное ранее правило для определенного флеш-накопителя перестанет действовать.

3. Добавьте объект к списку и выберите один из следующийвариантов ограничения доступа к добавленному в списокобъекту:

Спрашивать – выводить на экран оповещение припопытке доступа к файлу, папке или устройству. Вокне оповещения вы сможете выбрать разрешить илизапретить доступ к объекту;

Запрещать – автоматически блокировать доступ кобъекту всем процессам.

4. При необходимости повторите шаги 2 и 3 для добавлениядругих устройств, папок и файлов.

5. Чтобы возобновить доступ к объекту, выберитесоответствующий элемент в списке и нажмите кнопкуУдалить.




Dr.Web Брандмауэр предназначен для защиты вашегокомпьютера от несанкционированного доступа извне ипредотвращения утечки важных данных по сети. Этот компонентпозволяет вам контролировать подключение и передачу данныхпо сети Интернет и блокировать подозрительные соединения науровне пакетов и приложений.

Брандмауэр предоставляет вам следующие преимущества:

контроль и фильтрация всего входящего и исходящеготрафика;

контроль подключения на уровне приложений;

фильтрация пакетов на сетевом уровне;

быстрое переключение между наборами правил;

регистрация событий.



10.1. Обучение Брандмауэра

После установки Брандмауэра некоторое время в процессевашей работы за компьютером производится обучениепрограммы. При обнаружении попытки со стороны операционнойсистемы или пользовательских приложений подключиться к сетиБрандмауэр проверяет, заданы ли для этих программ правилафильтрации, и, если правила отсутствуют, выводитсоответствующее предупреждение:

При работе под ограниченной учетной записью (Гость)Брандмауэр Dr.Web не выдает пользователю предупрежденияо попытках доступа к сети. Предупреждения будут выдаватьсяпод учетной записью с правами администратора, если такаясессия активна одновременно с гостевой.



Обработка сообщений

1. При обнаружении попытки подключения к сети со стороныприложения, ознакомьтесь со следующей информацией:

Поле Описание

Приложение Наименование программы. Удостоверьтесь, чтопуть к нему, указанный в поле Путь кприложению, соответствует правильномурасположению программы.

Путь кприложению

Полный путь к исполняемому файлу приложения иего имя.

Цифровая подпись Цифровая подпись приложения.

Целевой адрес Протокол и адрес хоста, к которому совершаетсяпопытка подключения.

Порт Порт, по которому совершается попыткаподключения.

Направление Тип соединения.

2. Примите решение о подходящей для данного случаяоперации и выберите соответствующее действие в нижнейчасти окна:



чтобы однократно блокировать данное подключение,выберите действие Запретить однократно;

чтобы однократно позволить приложению данноеподключение, выберите действие Разрешитьоднократно;

чтобы перейти к форме создания правилафильтрации, выберите действие Создать правило.Откроется окно, в котором вы можете либо выбратьпредустановленное правило, либо вручную создатьправило для приложений.

3. Нажмите кнопку OK. Брандмауэр выполнит указаннуювами операцию, и окно оповещения будет закрыто.

Для создания правил необходимы права администратора.

В случаях, когда программа, осуществляющая попыткуподключения, уже известна Брандмауэру (то есть для неезаданы правила фильтрации), но запускается другимнеизвестным приложением (родительским процессом),Брандмауэр выводит соответствующее предупреждение:



Правила для родительских процессов

1. При обнаружении попытки подключения к сети со стороныприложения, запущенного неизвестной для Брандмауэрапрограммой, ознакомьтесь с информацией об исполняемомфайле родительской программы.

2. Когда вы примете решение о подходящей для данногослучая операции, выполните одно из следующийдействий:

чтобы однократно блокировать подключениеприложения к сети, нажмите кнопку Запретить;

чтобы однократно позволить приложениюподключиться к сети, нажмите кнопку Разрешить;

чтобы создать правило, нажмите Создать правило ив открывшемся окне задайте необходимыенастройки для родительского процесса.

3. Брандмауэр выполнит указанную вами операцию, и окнооповещения будет закрыто.



Также возможна ситуация, при которой неизвестное приложениезапускается другим неизвестным приложением, в таком случае впредупреждении будет выведена соответствующая информация ипри выборе Создать правило откроется окно, в котором выможете настроить правила как для приложений, так и дляродительских процессов:



10.2. Управление Брандмауэром

Брандмауэр устанавливается как компонент сетевогоподключения и запускается автоматически при загрузкеоперационной системы. При необходимости вы можете временноприостановить работу Брандмауэра, просмотреть статистикуфильтрации и изменить настройки программы.

После открытия сессии под ограниченной учетной записью(Гость) Брандмауэр выдает сообщение об ошибке доступа. Приэтом в меню SpIDer Agent состояние Брандмауэраотображается как неактивное. Однако Брандмауэр включен иработает в соответствии с настройками по умолчанию или снастройками, заданными ранее в административном режиме.

Основные средства настройки и управления Брандмауэромсосредоточены в подменю Брандмауэр меню SpIDer Agent:



Подменю Брандмауэр включает следующие пункты:

Пункт меню Описание

Статистика Открывает окно, содержащее сведения об обработанныхБрандмауэром событиях.

Настройки Данный пункт недоступен в пользовательском режиме.

Предоставляет доступ к основной части настраиваемыхпараметров Брандмауэра.

Восстановить параметры работы программы,используемые по умолчанию, а также экспортироватьили импортировать настройки вы можете вОсновных настройках программы Dr.Web SecuritySpace. Для этого в разделе Сброс настроек нажмитесоответствующую кнопку.

Отключить/Запустить

Данный пункт недоступен в пользовательском режиме.

Позволяет временно отключить или заново запуститьмежсетевой экран.

Пункт Запустить появляется в меню в том случае, когдаработа Брандмауэра была приостановлена.

Временное отключение Брандмауэра

Вы можете временно отключать межсетевой экран.

Отключение функций Брандмауэра

Данное действие невозможно в пользовательском режиме.

Прибегайте к этой возможности с осторожностью.

1. Откройте меню SpIDer Agent .

2. В подменю Брандмауэр выберите пункт Отключить.



При отключении Брандмауэра запрашивается кодподтверждения или пароль (если в разделе СамозащитаОсновных настроек программы Dr.Web Security Space выустановили флажок Защищать паролем настройки Dr.Web).

Восстановление функций Брандмауэра


2. В подменю Брандмауэр выберите пункт Запустить.



10.3. Настройка Брандмауэра

Настройки Брандмауэра недоступны в пользовательскомрежиме.

Для начала работы с Брандмауэром необходимо:

выбрать режим работы программы;

настроить список авторизованных приложений.

По умолчанию Брандмауэр работает в режиме обучения. Приэтом вне зависимости от режима работы производитсярегистрация событий.

В случае возникновения проблем с общим доступом кподключению Интернета (т. е. блокируется доступ в Интернет скомпьютеров, подключенных к узловому), настройте на узловомкомпьютере правило для пакетного фильтра, разрешающее всепакеты из подсети, согласно вашим локальным настройкам.

Основные средства настройки и управления сетевым фильтромБрандмауэр Dr.Web сосредоточены в подменю Брандмауэрменю SpIDer Agent. Настройки Брандмауэра по умолчаниюявляются оптимальными для большинства применений, их неследует изменять без необходимости.

Настройка сетевого фильтра


2. В подменю Брандмауэр выберите пункт Настройки.Откроется вкладка Брандмауэр окна настроекпрограммы Dr.Web Security Space, содержащаяследующие разделы:

раздел Приложения, в котором задаются параметрыфильтрации на уровне приложений;

раздел Интерфейсы, в котором задаются параметрыфильтрации на уровне сетевых пакетов;



раздел Дополнительно, в котором задается режимработы Брандмауэра.

3. Внесите необходимые изменения. Для полученияинформации о настройках, расположенных в разделе,нажмите на ссылку Справка.


10.3.1. Раздел Приложения

Фильтрация на уровне приложений позволяет контролироватьдоступ конкретных программ и процессов к сетевым ресурсам, атакже разрешить или запретить этим приложениям запуск другихпроцессов. Вы можете задавать правила как дляпользовательских, так и для системных приложений.



Для каждой программы может быть не более одного набораправил фильтрации.

В данном разделе вы можете формировать наборы правилфильтрации, создавая новые, редактируя существующие илиудаляя ненужные правила. Приложение однозначноидентифицируется полным путем к исполняемому файлу. Дляуказания ядра операционной системы Microsoft Windows (процессsystem, для которого нет соответствующего исполняемогофайла) используется имя SYSTEM.

Если файл приложения, для которого было создано правило,изменился (например, было установлено обновление), тоБрандмауэр предложит подтвердить, что приложение можетобращаться к сетевым ресурсам.

Формирование набора правил

Для формирования набора правил выполните одно из следующийдействий:

чтобы создать набор правил для новой программы,нажмите кнопку Создать;

чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набора правил,нажмите кнопку Копировать. Копия добавляется подвыбранным набором;

чтобы удалить все правила для программы, выберитесоответствующий набор в списке и нажмите кнопкуУдалить.

Если вы создали блокирующее правило для процесса илиустановили режим Блокировать неизвестные соединения вразделе Дополнительно, а потом отключили блокирующееправило или изменили режим работы, блокировка будетдействовать до повторной попытки установить соединение,инициированной самим процессом.



Правила для приложений

В окне Создание нового набора правил для приложения(или Редактирование набора правил) вы можете настроитьдоступ приложения к сетевым ресурсам, а также запретить илиразрешить запуск других приложений.

Для доступа к этому окну в настройках Брандмауэра выберитераздел Приложения и нажмите кнопку Создать или выберитеприложение и нажмите кнопку Изменить.



При работе в режиме обучения, вы можете инициироватьсоздание правила непосредственно из окна оповещения опопытке несанкционированного подключения.

Запуск других приложений

Чтобы разрешить или запретить приложению запускать другиеприложения, в выпадающем списке Запуск сетевыхприложений выберите:

Разрешать, чтобы разрешить приложению запускатьпроцессы;

Запрещать, чтобы запретить приложению запускатьпроцессы;

Не задано. В этом случае на это приложение будутраспространяться настройки выбранного режима работыБрандмауэра.

Доступ к сетевым ресурсам

1. Выберите тип доступа к сетевым ресурсам:

Разрешать все – все соединения приложения будутразрешены;

Запрещать все – все соединения приложениязапрещены;

Не задано. В этом случае на это приложение будутраспространяться настройки выбранного режимаработы Брандмауэра.

Особый – в этом режиме вы можете создать наборправил, разрешающих или запрещающих те или иныесоединения приложения.

2. Если был выбран Особый режим доступа к сетевымресурсам, то ниже отобразится таблица с информацией онаборе правил для данного приложения.

Параметр Описание

Включено Состояние правила.




Действие Указывает на действие, выполняемоеБрандмауэром при попытке программыподключиться к сети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;

Разрешать пакеты – разрешитьподключение.

Имя правила Название правила.

Типсоединения

Указывает на инициатора подключения:

Входящее – правило применяется, еслиинициируется подключение из сети кпрограмме на вашем компьютере;

Исходящее – правило применяется,если подключение инициирует программана вашем компьютере;

Любое – правило применяется внезависимости от того, кто являетсяинициатором подключения.

Описание Пользовательское описание правила.

3. При необходимости отредактируйте предустановленныйили создайте новый набор правил для приложения:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в конец списка;

чтобы отредактировать выбранное правило, нажмитекнопку Изменить;

чтобы добавить копию выбранного правила, нажмитекнопку Копировать. Копия добавляется послевыбранного правила;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

4. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры вотобразившемся окне.

5. По окончании редактирования набора правил нажмитекнопку ОК для сохранения внесенных изменений или накнопку Отменить для отказа от изменений.



Настройка параметров правила

Правила фильтрации регулируют сетевое взаимодействиепрограммы с конкретными хостами сети.

Создание правила

1. Задайте следующие параметры правила:


Общее

Имя правила Имя создаваемого/редактируемого правила.

Описание Краткое описание правила.

Действие Указывает на действие, выполняемоеБрандмауэром при попытке программыподключиться к сети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;




Разрешать пакеты – разрешитьподключение.

Состояние Состояние правила:

Активно – правило применяется;

Неактивно – правило временно неприменяется.

Типсоединения

Инициатор подключения:

Входящее – правило применяется, еслиинициируется подключение из сети кпрограмме на вашем компьютере;

Исходящее – правило применяется, еслиподключение инициирует программа навашем компьютере;

Любое – правило применяется внезависимости от того, кто являетсяинициатором подключения.

Настройки правила

Протокол Протоколы сетевого и транспортного уровня, покоторым осуществляется подключение.

Поддерживаются следующие протоколы сетевогоуровня:

IPv4;

IPv6;

IP all – протокол IP любой версии.

Поддерживаются следующие протоколытранспортного уровня:

TCP;

UDP;

TCP & UDP – протокол TCP или UDP;

RAW.




Входящий/Исходящийадрес

IP-адрес удаленного хоста, участвующего вподключении. Вы можете указывать какконкретный адрес (Равен), так и диапазонадресов (В диапазоне), а также маску конкретной подсети (Маска) или маски всехподсетей, в которых ваш компьютер имеетсетевой адрес (MY_NETWORK).

Чтобы задать правило для всех хостов, выберитевариант Любой.

Входящий/Исходящийпорт

Порт, по которому осуществляетсяподключение. Вы можете указывать какконкретный порт (Равен), так и диапазонпортов (В диапазоне).

Чтобы задать правило для всех портов,выберите вариант Любой.

2. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопкуОтменить для отказа от изменений.



10.3.2. Раздел Интерфейсы

На странице настроек сетевых интерфейсов (Настройкисетевых интерфейсов) вы можете указать, какой набор правилфильтрации применять для пакетов, передающихся черезопределенный сетевой интерфейс.

Набор правил для интерфейса

1. Чтобы задать набор правил фильтрации пакетов,передающихся через определенный интерфейс, в окненастроек Брандмауэра выберите раздел Интерфейсы.

2. Найдите в списке интересующий вас интерфейс исопоставьте ему соответствующий набор правил.Если подходящий набор правил отсутствует в списке,создайте его.

3. Чтобы сохранить настройки, нажмите кнопку OK.



Для того чтобы увидеть все доступные интерфейсы, нажмитекнопку Полный список. В открывшемся окне вы можетеуказать, какие интерфейсы должны всегда отображаться втаблице. Активные интерфейсы будут отображаться в таблицеавтоматически.

Для того чтобы настроить правила для интерфейсов, нажмитекнопку Настроить.

Фильтр пакетов

Фильтрация на уровне пакетов позволяет контролировать доступк сети вне зависимости от программ, инициирующихподключение. Правила применяются ко всем сетевым пакетамопределенного типа, которые передаются через один изсетевых интерфейсов вашего компьютера.

Данный вид фильтрации предоставляет вам общие механизмыконтроля, в отличие от фильтра приложений.

Брандмауэр поставляется со следующими предустановленныминаборами правил:

Default Rule – правила, описывающие наиболее частовстречающиеся конфигурации сети и распространенныеатаки (используется по умолчанию для всех новыхинтерфейсов);

Allow All – все пакеты пропускаются.

Block All – все пакеты блокируются.

Для удобства использования и быстрого переключения междурежимами фильтрации вы можете задать дополнительныенаборы правил.



Набор правил для интерфейса

1. Чтобы задать параметры работы пакетного фильтра, вокне настроек Брандмауэра выберите разделИнтерфейсы и нажмите кнопку Настроить.

2. На этой странице вы можете:

формировать наборы правил фильтрации, создаваяновые, редактируя существующие или удаляяненужные правила;

задать дополнительные параметры фильтрации.

Формирование набора правил

Для формирования набора правил выполните одно из следующихдействий:

чтобы создать набор правил для новой программы,нажмите кнопку Создать;

чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набора правил,нажмите кнопку Копировать. Копия добавляется подвыбранным набором;



чтобы удалить выбранный набор правил, нажмите кнопкуУдалить.

Дополнительные настройки

Чтобы задать дополнительные настройки фильтрации пакетов, вокне Настройки пакетного фильтра установите следующиефлажки:


Включитьдинамическуюфильтрациюпакетов

Установите этот флажок, чтобы учитывать прифильтрации состояние TCP-соединения ипропускать только те пакеты, содержимое которыхсоответствует текущему состоянию. В такомслучае все пакеты, передаваемые в рамкахсоединения, но не соответствующиеспецификации протокола, блокируются. Этотмеханизм позволяет лучше защитить вашкомпьютер от DoS-атак (отказ в обслуживании),сканирования ресурсов, внедрения данных идругих злонамеренных операций.

Также рекомендуется устанавливать этот флажокпри использовании протоколов со сложнымиалгоритмами передачи данных (FTP, SIP и т. п.).

Снимите этот флажок, чтобы фильтровать пакетыбез учета TCP-соединений.

ОбрабатыватьфрагментированныеIP пакеты

Установите этот флажок, чтобы корректнообрабатывать передачу больших объемов данных.Размер максимального пакета (MTU – MaximumTransmission Unit) для разных сетей можетварьироваться, поэтому часть IP-пакетов припередаче может быть разбита на несколькофрагментов. При использовании данной опции ковсем фрагментарным пакетам применяется одно ито же действие, предусмотренное правиламифильтрации для головного (первого) пакета.

Снимите этот флажок, чтобы обрабатывать всепакеты по отдельности.



Набор правил

В окне Редактирование набора правил отображается списокправил фильтрации пакетов, входящих в конкретный набор. Выможете формировать список, добавляя новые или редактируясуществующие правила фильтрации, а также изменяя порядок ихвыполнения. Правила применяются последовательно, согласноочередности в списке.

Вы можете формировать список, добавляя новые или редактируясуществующие правила фильтрации, а также изменяя порядок ихвыполнения. Правила применяются последовательно, согласноочередности в списке.

Для каждого правила в списке предоставляется следующаякраткая информация:


Включено Состояние правила.

Действие Указывает на действие, выполняемоеБрандмауэром при обработке пакета:

Блокировать пакеты – блокировать пакет;

Разрешать пакеты – передать пакет.

Имя правила Имя правила.




Направление Отправитель пакета:

– правило применяется, если принимаетсяпакет из сети;

– правило применяется, если пакетотправляется с вашего компьютера;

– правило применяется вне зависимостиот того, кто является отправителем пакета.

Журналирование Режим регистрации событий. Указывает на то, какаяинформация должна быть занесена в отчет:

Только заголовки – заносить в отчеттолько заголовки пакетов;

Весь пакет – заносить в отчет пакетыцеликом;

Выключено – не сохранять информацию опакете.


Редактирование набора правил

1. Если на странице Настройки пакетного фильтра вывыбрали создание или редактирование набора правил, воткрывшемся окне задайте название набора правил.

2. Создайте правила фильтрации, используя следующиеопции:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в начало списка;

чтобы отредактировать выбранное правило, нажмитекнопку Изменить;

чтобы добавить копию выбранного правила, нажмитекнопку Копировать. Копия добавляется передвыбранным правилом;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

3. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры.



4. Используйте стрелочки справа от списка, чтобыопределить порядок выполнения правил. Правилавыполняются последовательно, согласно очередности всписке.

5. По окончании редактирования списка нажмите кнопку ОКдля сохранения внесенных изменений или на кнопкуОтмена для отказа от изменений.

Те пакеты, для которых нет правил в наборе, автоматическиблокируются. Исключения составляют те пакеты, которыеразрешаются правилами в Фильтре приложений.

Создание правил фильтрации

Добавление или редактирование правилафильтрации

1. В окне редактирования набора правил для пакетногофильтра нажмите кнопку Создать или кнопку Изменить.Откроется окно создания или редактирования правилапакетной фильтрации.



2. Задайте следующие параметры правила:


Имя правила Имя создаваемого/редактируемого правила.


Действие Указывает на действие, выполняемоеБрандмауэром при обработке пакета:

Блокировать пакеты – блокироватьпакет;

Разрешать пакеты – передатьпакет.


Входящее – правило применяется,если принимается пакет из сети;

Исходящее – правило применяется,если пакет отправляется с вашегокомпьютера;

Любое – правило применяется внезависимости от того, кто являетсяотправителем пакета.

Журналирование Режим регистрации событий. Указывает нато, какая информация должна быть занесенав отчет:

Только заголовки – заносить вотчет только заголовки пакетов;

Весь пакет – заносить в отчетпакеты целиком;

Выключено – не сохранятьинформацию о пакете.

Критерий Критерий фильтрации. Например,транспортный или сетевой протокол. Чтобыдобавить критерий фильтрации, выберитенужный критерий в выпадающем списке инажмите кнопку Добавить. Вы можетедобавить любое необходимое количествокритериев. Для некоторых заголовковдоступны дополнительные критериифильтрации.



3. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопку Отменадля отказа от изменений.

Если вы не добавите ни одного критерия фильтрации, то данноеправило будет разрешать или блокировать все пакеты (взависимости от настройки в поле Действие).

Например, правило для пакетного фильтра, разрешающее всепакеты из подсети, может выглядеть следующим образом:

Если в данном правиле внутри заголовка IPv4 для параметровЛокальный IP-адрес и Удаленный IP-адрес указатьзначение Любой, правило сработает для любого пакета,содержащего заголовок IPv4 и отправленного с физическогоадреса локального компьютера.




В этом разделе вы можете задать режим работы Брандмауэра,а также общие настройки фильтрации для всех приложений.Режим работы задает реакцию Брандмауэра на сетевыеподключения на уровне приложений.

Выбор режима работы

1. В окне настроек Брандмауэра выберите разделДополнительно.

2. Выберите один из следующих режимов работы:

Разрешать неизвестные соединения – режим,при котором всем неизвестным приложениямпредоставляется доступ к сетевым ресурсам;

Режим обучения (создавать правила дляизвестных приложений автоматически) –режим обучения, при котором правила для известныхприложений добавляются автоматически(используется по умолчанию);



Интерактивный режим – режим обучения, прикотором пользователю предоставляется полныйконтроль над реакцией Брандмауэра;

Блокировать неизвестные соединения – режим,при котором все неизвестные подключенияавтоматически блокируются. Известные соединенияобрабатываются Брандмауэром согласно заданнымправилам фильтрации.

3. Нажмите кнопку OK.

Режим обучения

В этом режиме правила для известных приложений добавляютсяавтоматически. Для других приложений Брандмауэрпредоставляет вам возможность вручную запрещать илиразрешать неизвестное соединение, а также создавать для негоправило.

При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевымресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила отсутствуют, то выводитсясоответствующее предупреждение, где вам предлагаетсявыбрать либо временное решение, либо создать правило, покоторому в дальнейшем подобные подключения будутобрабатываться.

Этот режим используется по умолчанию.

Интерактивный режим

В этом режиме вам предоставляется полный контроль надреакцией Брандмауэра на обнаружение неизвестногоподключения, и таким образом производится обучениепрограммы в процессе вашей работы за компьютером.



При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевымресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила отсутствуют, то выводитсясоответствующее предупреждение, где вам предлагаетсявыбрать либо временное решение, либо создать правило, покоторому в дальнейшем подобные подключения будутобрабатываться.

Режим блокировки неизвестных подключений

В этом режиме все неизвестные подключения к сетевымресурсам, включая Интернет, автоматически блокируются.

При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевымресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила фильтрации отсутствуют, тоБрандмауэр автоматически блокирует доступ к сети и невыводит никаких сообщений. Если правила фильтрации дляданного подключения заданы, то выполняются указанные в нихдействия.

Режим разрешения неизвестных подключений

В этом режиме доступ к сетевым ресурсам, включая Интернет,предоставляется всем неизвестным приложениям, для которых незаданы правила фильтрации. При обнаружении попыткиподключения Брандмауэр не выводит никаких сообщений.



Дополнительные настройки

Настройка Разрешать локальные соединения позволяет всемприложениям беспрепятственно устанавливать соединения навашем компьютере. К таким подключениям правила применятьсяне будут. Снимите этот флажок, чтобы применять правилафильтрации вне зависимости от того, происходит ли соединениепо сети или в рамках вашего компьютера.




Все события, обработанные Брандмауэром, регистрируются вследующих журналах:

Журнал приложений, хранящий информацию о попыткахподключения к сети со стороны приложений и примененныхправилах фильтрации;

Журнал пакетного фильтра, хранящий информацию обобработанных Брандмауэром пакетах, примененныхправилах фильтрации и интерфейсах, через которые этипакеты были переданы. Уровень детализации зависит отнастроек конкретных правил пакетной фильтрации.

В окне Активные приложения также отображаетсясписок приложений, подключенных к сети в данный момент.

Для доступа к журналам откройте меню значка SpIDer Agent и в подменю Брандмауэр выберите пункт Статистика.



10.4.1. Активные приложения

Список активных приложений отображает информацию оприложениях, подключенных к сети в данный момент.

Для каждого приложения доступна следующая информация обактивных соединениях:

Столбец Описание

Имя Название приложения.

Направление Инициатор подключения:

Входящее – правило применяется, еслиинициируется подключение из сети к программена вашем компьютере;

Исходящее – правило применяется, еслиподключение инициирует программа на вашемкомпьютере;

Ожидает подключение – приложение навашем компьютере ждет подключения из сети.




Протокол Протокол, по которому осуществляется передачаданных.

Локальныйадрес

Протокол и адрес хоста, с которого совершаетсяпопытка подключения.

Удаленныйадрес

Протокол и адрес хоста, к которому совершаетсяпопытка подключения.

Отправлено Количество байт, отправленных через данноесоединение.

Получено Количество байт, полученных через данноесоединение.

В окне статистики активных приложений вы можете завершитьактивный процесс. Для этого щелкните правой кнопкой мыши попроцессу в таблице и выберите опцию Завершить процесс.

Для того чтобы завершить любой активный процесс,необходимы права администратора. В противном случае можнозавершить только те процессы, которые запущены от именипользователя.

Также с помощью контекстного меню вы можете заблокироватьактивное соединение или разрешить заблокированное(заблокированные соединения отмечены в таблице краснымцветом).



10.4.2. Журнал приложений

Журнал приложений хранит информацию о попыткахподключения к сети, совершенных установленными на вашемкомпьютере программами.


Время Дата и время попытки подключения.

Приложение Полный путь к исполняемому файлу приложения,совершавшего попытку подключения, его имя иидентификатор процесса (PID).

Имя правила Название правила, согласно которому попытка былаобработана.

Направление Инициатор подключения:

Входящее – правило применяется, еслиинициируется подключение из сети к программена вашем компьютере;




Исходящее – правило применяется, еслиподключение инициирует программа на вашемкомпьютере;

Любое – правило применяется внезависимости от того, кто является инициаторомподключения.

Результат Указывает на действие, выполненное Брандмауэромпри попытке подключения:

Заблокирован – попытка подключения былазаблокирована;

Разрешен – подключение было разрешено.

Целевой адрес Протокол, адрес удаленного хоста и порт, по которымосуществлялось подключение.

Вы можете сохранить информацию в отчете или очиститьжурнал.

Сохранение журнала

Чтобы сохранить информацию о попытках приложенийподключиться к сети, нажмите кнопку Сохранить и укажите имяфайла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию о попыткахприложений подключиться к сети, нажмите кнопку Очистить.



10.4.3. Журнал пакетного фильтра

Журнал пакетного фильтра хранит информацию о пакетах,переданных через установленные на вашем компьютере сетевыеинтерфейсы, если для этих пакетов указан режим регистрациисобытий Только заголовки или Весь пакет. Если для пакетабыл выбран режим Выключено, информация о нем отражатьсяне будет.


Время Дата и время обработки пакета.


– пакет был принят из сети;

– пакет был отправлен с вашегокомпьютера;

– пакет, идущий из сети, был заблокирован;

– пакет, отправленный с вашегокомпьютера, был заблокирован.




Имя правила Название правила, согласно которому пакет былобработан.

Подключение Сетевой интерфейс, через который был передан пакет.

Содержимое Информация о содержимом пакета. Подробностьдетализации зависит от настроек правил пакетнойфильтрации (параметр Режим отчета).

Вы можете сохранить информацию в отчете или очиститьжурнал.

Сохранение журнала

Чтобы сохранить информацию о пакетах, обработанныхБрандмауэром Dr.Web, нажмите кнопку Сохранить и укажитеимя файла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию о пакетах,обработанных Брандмауэром, нажмите кнопку Очистить.




Для обнаружения вредоносных объектов антивирусы компании«Доктор Веб» используют специальные вирусные базыDr.Web, в которых содержится информация обо всех известныхвредоносных программах. Так как каждый день появляютсяновые вирусные угрозы, то эти базы требуют периодическогообновления. Такое обновление позволяет обнаруживать ранеенеизвестные вирусы, блокировать их распространение, а в рядеслучаев – излечивать ранее неизлечимые зараженные файлы.

Время от времени совершенствуются антивирусные алгоритмы,реализованные в виде исполняемых файлов и программныхбиблиотек. Благодаря опыту эксплуатации продуктов Dr.Webисправляются обнаруженные в программах ошибки, обновляетсясистема помощи и документация.

Для поддержания актуальности вирусных баз и программныхалгоритмов компанией «Доктор Веб» реализована системараспространения обновлений через сеть Интернет. Модульобновления Dr.Web позволяет вам в течение срока действиялицензии загружать и устанавливать дополнения к вируснымбазам и обновленные программные модули.



11.1. Запуск обновления

Для запуска Модуля обновления вы можете использовать одноиз следующих средств:

в режиме командной строки вызвать исполняемый файлdrwupsrv.exe из каталога установки программы Dr.WebSecurity Space;

пункт Обновление меню SpIDer Agent в областиуведомлений Windows.

После запуска Модуля обновления появится диалоговое окно,в котором отображается информация об актуальности вирусныхбаз и компонентов, а также дата последнего обновления. Принеобходимости из этого окна вы можете запустить обновление.Настроить необходимые параметры вы можете в разделеОбновление Основных настроек работы программы.

Отчёт записывается в файл dwupdater.log, который находитсяв каталоге %allusersprofile%\Application Data\Doctor Web\Logs$в Windows 7 в каталоге %allusersprofile%\Doctor Web\Logs$.



Запуск обновления

При запуске обновления программа проверяет наличиелицензионного ключевого файла в каталоге установки. Приотсутствии ключевого файла обновление невозможно.

При наличии ключевого файла программа проверяет на серверахкомпании «Доктор Веб», не является ли ключевой файлзаблокированным (блокировка файла производится в случае егодискредитации, т. е. выявления фактов его незаконногораспространения). В случае блокировки обновление непроизводится, компоненты программы Dr.Web Security Spaceмогут быть заблокированы; пользователю выдаетсясоответствующее сообщение.

В случае блокировки вашего ключевого файла свяжитесь сдилером, у которого вы приобрели Dr.Web Security Space.

После успешной проверки ключевого файла происходитобновление. Программа автоматически загружает всеобновленные файлы, соответствующие вашей версии программыDr.Web Security Space, а если условия вашей подпискиразрешают это, загружают новую версию (в случае ее выхода).

При обновлении исполняемых файлов и библиотек можетпотребоваться перезагрузка компьютера. Пользовательизвещается об этом при помощи информационного окна.

Сканер, SpIDer Guard и SpIDer Mail начинают использоватьобновленные базы автоматически.

При запуске модуля автоматического обновления по расписаниюили в режиме командной строки используются параметрыкомандной строки (см. Приложение A).



Приложения

Приложение А. Дополнительныепараметры командной строки

Дополнительные параметры командной строки (ключи)используются для задания параметров программам, которыезапускаются открытием на выполнение исполняемого файла. Этоотносится к Сканеру Dr.Web, Консольному сканеру и кМодулю автоматического обновления.

Ключи начинаются с символа «/» и, как и остальные параметрыкомандной строки, разделяются пробелами.

Параметры перечислены в алфавитном порядке.

Параметры для Сканера и Консольногосканера

/AA – автоматически применять действия к обнаруженным

угрозам. (Только для Сканера).

/AC – проверять инсталляционные пакеты. По

умолчанию – опция включена.

/AFS – использовать прямой слеш при указании

вложенности внутри архива. По умолчанию – опцияотключена.

/AR – проверять архивы. По умолчанию – опция

включена.

/ARC:<коэффициент_сжатия> – максимальный уровень

сжатия. Если сканер определяет, что коэффициент сжатияархива превышает указанный, распаковка и проверка непроизводится. По умолчанию – без ограничений.



/ARL:<уровень_вложенности> – максимальный уровень

вложенности проверяемого архива. По умолчанию – безограничений.

/ARS:<размер> – максимальный размер проверяемого

архива, в килобайтах. По умолчанию – без ограничений.

/ART:<размер> – порог проверки уровня сжатия

(минимальный размер файла внутри архива, начиная скоторого будет производиться проверка коэффициентасжатия), в килобайтах. По умолчанию – без ограничений.

/ARX:<размер> – максимальный размер проверяемых

объектов в архивах, в килобайтах. По умолчанию – безограничений.

/BI – вывести информацию о вирусных базах. По

умолчанию – опция включена.

/DR – рекурсивно проверять директории (проверять

поддиректории). По умолчанию – опция включена.

/E:<количество_потоков> – провести проверку в

указанное количество потоков.

/FAST – произвести быструю проверку системы. (Только

для Сканера).

/FL:<имя_файла> – проверять пути, указанные в файле.

/FM:<маска> – проверять файлы по маске. По

умолчанию – проверяются все файлы.

/FR:<регулярное_выражение> – проверять файлы по

регулярному выражению. По умолчанию – проверяютсявсе файлы.

/FULL – произвести полную проверку всех жестких

дисков и сменных носителей (включая загрузочныесекторы). (Только для Сканера).

/FX:<маска> – не проверять файлы, соответствующие

маске. (Только для Консольного Сканера).

/H или /? – вывести на экран краткую справку о работе с

программой. (Только для Консольного Сканера).

/HA – производить эвристический анализ файлов и поиск

в них неизвестных вирусов. По умолчанию – опциявключена.



/KEY:<ключевой_файл> – указать путь к ключевому

файлу. Параметр необходим в том случае, если ключевойфайл находится не в той же директории, что и сканер. Поумолчанию – используется drweb32.key или другойподходящий ключевой файл из директории c:\Program Files\DrWeb\.

/LITE – произвести стартовую проверку системы, при

которой проверяются оперативная память, загрузочныесекторы всех дисков, а также провести проверку наналичие руткитов. (Только для Сканера).

/LN – проверять файлы, на которые указывают ярлыки.

По умолчанию – опция отключена.

/LS – проверять под учетной записью LocalSystem. По

умолчанию – опция отключена.

/MA – проверять почтовые файлы. По умолчанию – опция

включена.

/MC:<число_попыток> – установить максимальное число

попыток вылечить файл. По умолчанию – без ограничений.

/NB – не создавать резервные копии вылеченных/

удаленных файлов. По умолчанию – опция отключена.

/NI[:X] – уровень использования ресурсов системы, в

процентах. Определяет количество памяти используемойдля проверки и системный приоритет задачи проверки. Поумолчанию – без ограничений.

/NOREBOOT – отменяет перезагрузку и выключение после

проверки. (Только для Сканера).

/NT – проверять NTFS-потоки. По умолчанию – опция

включена.

/OK – выводить полный список проверяемых объектов,

сопровождая незараженные пометкой Ok. По умолчанию –опция отключена.



/P:<приоритет> – приоритет запущенной задачи

проверки в общей очереди задач на проверку:

0 – низший.

L – низкий.

N – обычный. Приоритет по умолчанию.

H – высокий.

M – максимальный.

/PAL:<уровень_вложенности> – максимальный уровень

вложенности упаковщиков исполняемого файла. Еслиуровень вложенности превышает указанный, проверкабудет производиться только до указанного уровнявложенности. По умолчанию – 1000.

/QL – вывести список всех файлов, помещенных в

карантин на всех дисках. (Только для КонсольногоСканера).

/QL:<имя_логического_диска> – вывести список всех

файлов, помещенных в карантин на указанном логическомдиске. (Только для Консольного Сканера).

/QNA – выводить пути в двойных кавычках.

/QR[:[d][:p]] – удалить файлы с указанного диска

<d> (имя_логического_диска), находящие в карантинедольше <p> (количество) дней. Если <d> и <p> не указаны,то будут удалены все файлы, находящиеся в карантине, совсех логических дисков. (Только для КонсольногоСканера).

/QUIT – закрыть Сканер после проверки (вне

зависимости от того, были ли применены действия кобнаруженным угрозам). (Только для Сканера).

/RA:<имя файла> – дописать отчет о работе программы в

указанный файл. По умолчанию отчет не создается.

/REP – проверять по символьным ссылкам. По


/RP:<имя файла> – записать отчет о работе программы в

указанный файл. По умолчанию отчет не создается.

/RPC:<сек> – таймаут соединения c Scanning Engine, в

секундах. По умолчанию – 30 секунд. (Только дляКонсольного Сканера).



/RPCD – использовать динамический идентификатор RPC.

(Только для Консольного Сканера).

/RPCE – использовать динамический целевой адрес RPC.

(Только для Консольного Сканера).

/RPCE:<целевой_адрес> – использовать указанный

целевой адрес RPC. (Только для Консольного Сканера).

/RPCH:<имя_хоста> – использовать указанное имя хоста

для вызовов RPC. (Только для Консольного Сканера).

/RPCP:<протокол> – использовать указанный протокол

RPC. Возможно использование протоколов: lpc, np, tcp.(Только для Консольного Сканера).

/SCC – выводить содержимое составных объектов. По


/SCN – выводить название инсталляционного пакета. По


/SILENTMODE – запустить проверку в фоновом режиме.

Если при проверке будут обнаружены угрозы, откроетсяокно Сканера Dr.Web со списком угроз. В противномслучае окно не будет отображено. (Только для Сканера).

/SLS – выводить логи на экран. По умолчанию – опция

включена. (Только для Консольного Сканера).

/SPN – выводить название упаковщика. По умолчанию –

опция включена.

/SPS – отображать процесс проведения проверки. По

умолчанию – опция включена. (Только для КонсольногоСканера).

/SST – выводить время проверки файла. По умолчанию –

опция отключена.

/TB – выполнять проверку загрузочных секторов и

главных загрузочных секторов (MBR) жесткого диска.

/TM – выполнять поиск угроз в оперативной памяти

(включая системную область Windows).

/TR – проверять системные точки восстановления.

/W:<сек> – максимальное время проверки, в секундах. По

умолчанию – без ограничений.



/WCL – вывод, совместимый с drwebwcl. (Только для

Консольного Сканера).

/X:S[:R] – по окончании проверки перевести машину в

указанный режим: выключение/перезагрузка/ждущийрежим/спящий режим.

Задание действий с различными объектами (C – вылечить, Q –переместить в карантин, D – удалить, I – игнорировать, R –информировать. Действие R возможно только для КонсольногоСканера. По умолчанию для всех – информировать (такжетолько для Консольного Сканера)):

/AAD:<действие> – действия для рекламных программ

(возможные действия: DQIR, по умолчанию –информирование)

/AAR:<действие> – действия с инфицированными

архивами (возможные действия: DQIR, по умолчанию –информирование)

/ACN:<действие> – действия с инфицированными

инсталляционными пакетами (возможные действия: DQIR,по умолчанию – информирование)

/ADL:<действие> – действия с программами дозвона


/AHT:<действие> – действия с программами взлома


/AIC:<действие> – действия с неизлечимыми файлами

(возможные действия: DQR, по умолчанию –информирование)

/AIN:<действие> – действия с инфицированными

файлами (возможные действия: CDQR, по умолчанию –информирование)

/AJK:<действие> – действия с программами-шутками


/AML:<действие> – действия с инфицированными

почтовыми файлами (возможные действия: QIR, поумолчанию – информирование)



/ARW:<действие> – действия с потенциально опасными

файлами (возможные действия: DQIR, по умолчанию –информирование)

/ASU:<действие> – действия с подозрительными файлами


Некоторые ключи могут иметь модификаторы, с помощьюкоторых режим явно включается либо отключается. Например:

/AC- режим явно отключается,

/AC, /AC+ режим явно включается.

Такая возможность может быть полезна в случае, если режимвключен/отключен по умолчанию или по выполненным ранееустановкам в конфигурационном файле. Список ключей,допускающих применение модификаторов: /AR /AC /AFS /BI/DR /HA /LN /LS /MA /NB /NT /OK /QNA /REP /SCC /SCN /SPN /SLS /SPS /SST /TB /TM /TR /WCL.

Для ключа /FL модификатор «-» означает: проверять пути,

перечисленные в указанном файле, и удалить этот файл.

Для ключей /ARC /ARL /ARS /ART /ARX /NI[:X] /PAL /RPC /W значение параметра «0» означает, что параметр

используется без ограничений.

Пример использования ключей при запуске Консольногосканера:

[<путь_к_программе>] dwscancl /AR- /AIN:C /AIC:Q C:\

проверить все файлы, за исключением архивов, на диске C,

инфицированные файлы лечить, неизлечимые поместить вкарантин. Для аналогичного запуска Сканера для Windowsнеобходимо набрать имя команды dwscanner.



Параметры для Модуля обновления

Общие параметры:


-h [ --help ] Вывести на экран краткую справку оработе с программой.

-v [ --verbosity ] arg Уровень детализации отчета: error(стандартный), info (расширенный),debug (отладочный).

-d [ --data-dir ] arg Каталог, в котором размещенырепозиторий и настройки.

--log-dir arg Каталог, в котором будет сохраненотчет.

--log-file arg (=dwupdater.log) Имя файла отчета.

-r [ --repo-dir ] arg Каталог репозитория, (по умолчанию<data_dir>/repo).

-t [ --trace ] Включить трассировку.

-c [ --command ] arg (=update) Выполняемая команда: getversions –получить версии, getcomponents –получить компоненты, init –инициализация, update – обновление,uninstall – удалить, exec – выполнить,keyupdate – обновить ключ, download –скачать.

-z [ --zone ] arg Список зон, который будетиспользоваться вместо заданных вконфигурационном файле.

Параметры команды инициализации (init):


-s [ --version ] arg Номер версии.

-p [ --product ] arg Название продукта.




-a [ --path ] arg Путь, по которому будет установленпродукт. Этот каталог будетиспользоваться по умолчанию вкачестве каталога для всех компонентов,включенных в продукт. Модульобновления будет проверять наличиеключевого файла именно в этомкаталоге.

-n [ --component ] arg Имя компонента и каталог установки вформате <name>, <install path>.

-u [ --user ] arg Имя пользователя прокси-сервера.

-k [ --password ] arg Пароль пользователя прокси-сервера.

-g [ --proxy ] arg Прокси-сервер для обновления вформате <адрес>: <порт>.

-e [ --exclude ] arg Имя компонента, который будетисключен из продукта при установке.

Параметры команды обновления (update):


-p [ --product ] arg Название продукта. Если названиеуказано, то будет произведенообновление только этого продукта. Еслипродукт не указан и не указаныконкретные компоненты, будетпроизведено обновление всехпродуктов. Если указаны компоненты,будет произведено обновлениеуказанных компонентов.

-n [ --component ] arg Перечень компонентов, которыенеобходимо обновить до определенноймодификации. Формат: <name>, <target revision>.




-x [ --selfrestart ] arg (=yes) Перезапуск после обновления модуляобновления. По умолчанию значениеyes. Если указано значение no, то

выводится предупреждение онеобходимости перезапуска.

--geo-update Получить список IP-адресовupdate.drweb.com перед обновлением.

--type arg (=normal) Может быть одним из следующих:

reset-all – принудительноеобновление всех компонентов;

reset-failed – сбросить всеизменения для поврежденныхкомпонентов;

normal-failed – попытатьсяобновить компоненты, включаяповрежденные, до последнейлибо до указанной версии;

update-revision – обновитькомпоненты в пределах текущейревизии;

normal – обновить всекомпоненты.




--param arg Передать дополнительные параметры вскрипт. Формат: <имя>: <значение>.

-l [ --progress-to-console ] Вывести на консоль информацию озагрузке и выполнении скрипта.



Особые параметры команды исполнения (exec):


-s [ --script ] arg Выполнить указанный скрипт.

-f [ --func ] arg Выполнить функцию скрипта.

-p [ --param ] arg Передать дополнительные параметры вскрипт. Формат: <имя>: <значение>.

-l [ --progress-to-console ] Вывести на консоль информацию опрогрессе выполнения скрипта.

Параметры команды получения компонентов(getcomponents):



-p [ --product ] arg Укажите имя продукта, чтобы увидеть,какие компоненты он включает. Еслипродукт не указан, будут выведены всекомпоненты этой версии.

Параметры команды получения изменений (getrevisions):



-n [ --component ] arg Имя компонента.



Параметры команды удаления (uninstall):


-n [ --component ] arg Имя компонента, который необходимоудалить.

-l [ --progress-to-console ] Вывести информацию о выполнениикоманды на консоль.

--param arg Передать дополнительные параметры вскрипт. Формат: <имя>: <значение>.

-e [ --add-to-exclude ] Компоненты, которые будут удалены иих обновление производиться не будет.

Параметры команды автоматического обновления ключа(keyupdate):


-m [ --md5 ] arg Контрольная сумма md5 старогоключевого файла.

-o [ --output ] arg Имя файла.

-b [ --backup ] Резервное копирование старогоключевого файла, если он существует.




-l [ --progress-to-console ] Вывести на консоль информацию озагрузке ключевого файла.



Параметры команды скачивания (download):


--zones arg Файл, содержащий список зон.

--key-dir arg Каталог, в котором находится ключевойфайл.

-l [ --progress-to-console ] Вывести информацию о выполнениикоманды на консоль.




-s [ --version ] arg Имя версии

-p [ --product ] arg Название продукта, который необходимоскачать.



Коды возврата

Возможные значения кода возврата и соответствующие имсобытия следующие:

Код возврата Событие

0 OK, не обнаружено вирусов или подозрений на вирусы

1 Обнаружены известные вирусы

2 Обнаружены модификации известных вирусов

4 Обнаружены подозрительные на вирус объекты

8 В архиве, контейнере или почтовом ящике обнаруженыизвестные вирусы

16 В архиве, контейнере или почтовом ящике обнаруженымодификации известных вирусов

32 В архиве, контейнере или почтовом ящике обнаруженыподозрительные на вирус объекты

64 Успешно выполнено лечение хотя бы одногозараженного вирусом объекта

128 Выполнено удаление/переименование/перемещениехотя бы одного зараженного файла

Результирующий код возврата, формируемый по завершениюпроверки, равен сумме кодов тех событий, которые произошли вовремя проверки (и его слагаемые могут однозначно быть по немувосстановлены).

Например, код возврата 9 = 1 + 8 означает, что во времяпроверки обнаружены известные вирусы (вирус), в том числе вархиве; обезвреживание не проводилось; больше никаких«вирусных» событий не было.



Приложение Б. Угрозы и способы ихобезвреживания

С развитием компьютерных технологий и сетевых решений, всебольшее распространение получают различные вредоносныепрограммы, направленные на то, чтобы так или иначе нанестивред пользователям. Их развитие началось еще в эпохузарождения вычислительной техники, и параллельно развивалисьсредства защиты от них. Тем не менее, до сих пор не существуетединой классификации всех возможных угроз, что связано, впервую очередь, с непредсказуемым характером их развития ипостоянным совершенствованием применяемых технологий.

Вредоносные программы могут распространяться через Интернет,локальную сеть, электронную почту и съемные носителиинформации. Некоторые рассчитаны на неосторожность инеопытность пользователя и могут действовать полностьюавтономно, другие являются лишь инструментами подуправлением компьютерных взломщиков и способны нанестивред даже надежно защищенным системам.

В данной главе представлены описания всех основных инаиболее распространенных типов вредоносных программ, наборьбу с которыми в первую очередь и направлены разработки«Доктор Веб».



Классификация угроз

Компьютерные вирусы

Главной особенностью таких программ является способность квнедрению своего кода в исполняемый код других программ.Такое внедрение называется инфицированием (или заражением).В большинстве случаев инфицированный файл сам становитсяносителем вируса, причем внедренная часть кода не обязательнобудет совпадать с оригиналом. Действия большинства вирусовнаправлены на повреждение или уничтожение данных. Вирусы,которые внедряются в файлы операционной системы (восновном, исполняемые файлы и динамические библиотеки),активируются при запуске пораженной программы и затемраспространяются, называются файловыми.

Некоторые вирусы внедряются не в файлы, а в загрузочныезаписи дискет, разделы жестких дисков, а также MBR (MasterBoot Record) жестких дисков. Такие вирусы называютсязагрузочными, занимают небольшой объем памяти и пребывают всостоянии готовности к продолжению выполнения своей задачидо выгрузки, перезагрузки или выключения компьютера.

Макровирусы – это вирусы, заражающие файлы документов,используемые приложениями Microsoft Office и другимипрограммами, допускающими наличие макрокоманд (чаще всегона языке Visual Basic). Макрокоманды – это встроенныепрограммы (макросы) на полнофункциональном языкепрограммирования. Например, в Microsoft Word эти макросымогут автоматически запускаться при открытии любогодокумента, его закрытии, сохранении и т. д.

Вирусы, которые способны активизироваться и выполнятьзаданные вирусописателем действия, например, при достижениикомпьютером определенного состояния называютсярезидентными.



Большинство вирусов обладают той или иной защитой отобнаружения. Способы защиты постоянно совершенствуются ивместе с ними разрабатываются новые технологии борьбы.

Например, шифрованные вирусы шифруют свой код при каждомновом заражении для затруднения его обнаружения в файле,памяти или загрузочном секторе. Каждый экземпляр такоговируса содержит только короткий общий фрагмент (процедурурасшифровки), который можно выбрать в качестве сигнатуры.

Существуют также полиморфные вирусы, использующие помимошифрования кода специальную процедуру расшифровки,изменяющую саму себя в каждом новом экземпляре вируса, чтоведет к отсутствию у такого вируса байтовых сигнатур.

Стелс вирусы (вирусы-невидимки) – вирусные программы,предпринимающие специальные действия для маскировки своейдеятельности с целью сокрытия своего присутствия взараженных объектах. Такой вирус снимает перед заражениемхарактеристики инфицируемой программы, а затем подсовываетстарые данные программе, ищущей измененные файлы.

Вирусы также можно классифицировать по языку, на котором онинаписаны (большинство пишутся на ассемблере,высокоуровневых языках программирования, скриптовых языкахи т. д.) и по поражаемым операционным системам.

Компьютерные черви

В последнее время, черви стали гораздо более распространены,чем вирусы и прочие вредоносные программы. Как и вирусы,такие программы способны размножать свои копии, но они немогут заражать другие компьютерные программы. Червьпроникает на компьютер из сети (чаще всего как вложение всообщениях электронной почты или через сеть Интернет) ирассылает свои функциональные копии в другие компьютерныесети. Причем для начала распространения черви могутиспользовать как действия пользователя, так и автоматическийрежим выбора и атаки компьютера.



Черви не всегда целиком состоят из одного файла (тела червя).У многих червей есть так называемая инфекционная часть (шелл-код), которая загружается в ОЗУ и «догружает» по сетинепосредственно само тело в виде исполняемого файла. Пока всистеме нет тела червя, от него можно избавиться перезагрузкойкомпьютера (при которой происходит сброс ОЗУ). Если же всистеме оказывается тело червя, то справиться с ним можеттолько антивирус.

За счет интенсивного распространения, черви способны вывестииз строя целые сети, даже если они не несут никакой полезнойнагрузки (не наносят прямой вред системе).

Троянские программы (троянские кони, трояны)

Этот тип вредоносных программ не способен к саморепликации.Трояны подменяют какую-либо из часто запускаемых программ ивыполняют ее функции (или имитируют исполнение этихфункций), одновременно производя какие-либо вредоносныедействия (повреждение и удаление данных, пересылкаконфиденциальной информации и т. д.), либо делая возможнымнесанкционированное использование компьютера другим лицом,например для нанесения вреда третьему лицу.

Троянец обладает схожими с вирусом маскировочными ивредоносными функциями и даже может быть модулем вируса, нов основном троянские программы распространяются, какотдельные исполняемые файлы (выкладываются на файл-сервера, записываются на носители информации илипересылаются в виде приложений к сообщениям), которыезапускаются либо самим пользователем, либо определеннымпроцессом системы.



Руткит

Это вредоносная программа, предназначенная для перехватасистемных функций операционной системы с целью сокрытиясвоего присутствия в системе. Кроме того, руткит можетмаскировать процессы других программ, различные ключиреестра, папки, файлы. Руткит распространяется каксамостоятельная программа или как дополнительный компонентв составе другой вредоносной программы. По сути – это наборутилит, которые взломщик устанавливает в систему, к которойполучил первоначальный доступ.

По принципу своей работы руткиты условно разделяют на двегруппы: User Mode Rootkits (UMR) – работающие в режимепользователя (перехват функций библиотек пользовательскогорежима), и Kernel Mode Rootkits (KMR) – работающие в режимеядра (перехват функций на уровне системного ядра, чтозначительно усложняет его обнаружение и обезвреживание).

Программы взлома

К данному типу вредоносных программ относятся различныеинструменты, которыми злоумышленники пользуются для взломакомпьютеров и сетей. Наиболее распространенными среди нихявляются сканеры портов, которые выявляют уязвимости всистеме защиты компьютера. Помимо взломщиков, подобнымипрограммами пользуются администраторы для контролябезопасности своих сетей. Иногда к программам взломапричисляют различное распространенное ПО, которое можетиспользоваться для взлома, а также некоторые программы,использующие методы социальной инженерии (получениеконфиденциальной информации у пользователей путем введенияих в заблуждение).



Шпионские программы

Этот тип вредоносных программ, предназначен для слежения засистемой и отсылкой собранной информации третьей стороне –создателю или заказчику такой программы. Заказчикамишпионских программ могут быть: распространители спама ирекламы, маркетинговые агентства, скам-агентства, преступныегруппировки, деятели промышленного шпионажа.

Такие программы тайно закачиваются на компьютер вместе скаким-либо программным обеспечением или при просмотреопределенных HTML-страниц и всплывающих рекламных окон исамоустанавливаются без информирования об этомпользователя. Побочные эффекты от присутствия шпионскихпрограмм на компьютере – нестабильная работа браузера изамедление производительности системы.

Рекламные программы

Чаще всего под этим термином понимают программный код,встроенный в различное бесплатное программное обеспечение,при использовании которого пользователю принудительнопоказывается реклама. Но иногда такой код может скрытнораспространяться посредством других вредоносных программ идемонстрировать рекламу, например, в интеренет-браузерах.Зачастую рекламные программы работают на основании данных,собранных шпионскими программами.

Программы-шутки

Это тип вредоносных программ, которые, как и рекламныепрограммы, не наносят прямого вреда системе. Чаще всего онигенерируют сообщения о несуществующих ошибках и угрожаютдействиями, которые могут привести к повреждению данных. Ихосновной функцией является запугивание пользователя, либонавязчивое его раздражение.



Программы дозвона

Это специальные компьютерные программы, разработанные длясканирования некоего диапазона телефонных номеров длянахождения такого, на который ответит модем. В дальнейшемзлоумышленники используют найденные номера длянакручивания оплаты за телефон жертве или для незаметногоподключения пользователя через модем к дорогостоящимплатным телефонным службам.

Все вышеперечисленные типы программ считаютсявредоносными, т. к. представляют угрозу либо даннымпользователя, либо его правам на конфиденциальностьинформации. К вредоносным не принято причислять программы,не скрывающие своего внедрения в систему, программы длярассылки спама и анализаторы трафика, хотя потенциально иони могут при определенных обстоятельствах нанести вредпользователю.

Среди программных продуктов также выделяется целый класспотенциально опасных программ, которые не создавались длянанесения вреда, но в силу своих особенностей могутпредставлять угрозу для безопасности системы. Причем, это нетолько программы, которые могут случайно повредить илиудалить данные, но и те, которые могут использоваться хакерамиили другими программами для нанесения вреда системе. К нимможно отнести различные программы удаленного общения иадминистрирования, FTP-сервера и т. д.



Ниже приведены некоторые виды хакерских атак иинтернет-мошенничества:

Атаки методом подбора пароля – специальная троянскаяпрограмма вычисляет необходимый для проникновения всеть пароль методом подбора на основании заложенного вэту программу словаря паролей или генерируя случайныепоследовательности символов.

DoS-атаки (отказ обслуживания) и DDoS-атаки(распределенный отказ обслуживания) – вид сетевых атак,граничащий с терроризмом, заключающийся в посылкеогромного числа запросов с требованием услуги наатакуемый сервер. При достижении определенногоколичества запросов (ограниченного аппаратнымивозможностями сервера), сервер перестает с нимисправляться, что приводит к отказу в обслуживании. DDoS-атаки отличаются от DoS-атак тем, что осуществляютсясразу с большого количества IP-адресов.

Почтовые бомбы – один из простейших видов сетевыхатак. Злоумышленником посылается на компьютерпользователя или почтовый сервер компании одноогромное сообщение, или множество (десятки тысяч)почтовых сообщений, что приводит к выводу системы изстроя. В антивирусных продуктах Dr.Web для почтовыхсерверов предусмотрен специальный механизм защиты оттаких атак.

Сниффинг – вид сетевой атаки, также называется«пассивное прослушивание сети». Несанкционированноепрослушивание сети и наблюдение за данными, котороепроизводятся при помощи специальной невредоноснойпрограммы – пакетного сниффера, который осуществляетперехват всех сетевых пакетов домена, за которым идетнаблюдение.

Спуфинг – вид сетевой атаки, заключающейся в полученииобманным путем доступа в сеть посредством имитациисоединения.



Фишинг (Phishing) – технология интернет-мошенничества,заключающаяся в краже личных конфиденциальныхданных, таких как пароли доступа, данные банковских иидентификационных карт и т. д. При помощи спамерскихрассылок или почтовых червей потенциальным жертвамрассылаются подложные письма, якобы от имени легальныхорганизаций, в которых их просят зайти на подделанныйпреступниками интернет-сайт такого учреждения иподтвердить пароли, PIN-коды и другую личнуюинформацию, в последствии используемуюзлоумышленниками для кражи денег со счета жертвы и вдругих преступлениях.

Вишинг (Vishing) – технология интернет-мошенничества,разновидность фишинга, отличающаяся использованиемвместо электронной почты war diallers (автонабирателей) ивозможностей Интернет-телефонии (VoIP).

Действия для обезвреживания угроз

Существует множество различных методов борьбы скомпьютерными угрозами. Для надежной защиты компьютеров исетей продукты «Доктор Веб» объединяют в себе эти методыпри помощи гибких настроек и комплексного подхода кобеспечению безопасности. Основными действиями дляобезвреживания вредоносных программ являются:

1. Лечение – действие, применяемое к вирусам, червям итроянам. Оно подразумевает удаление вредоносного кодаиз зараженных файлов либо удаление функциональныхкопий вредоносных программ, а также, по возможности,восстановление работоспособности пораженных объектов(т. е. возвращение структуры и функционала программы ксостоянию, которое было до заражения). Далеко не всевредоносные программы могут быть вылечены, однакоименно продукты «Доктор Веб» предоставляют самыеэффективные алгоритмы лечения и восстановленияфайлов, подвергшихся заражению.



2. Перемещение в карантин – действие, при которомвредоносный объект помещается в специальную папку,где изолируется от остальной системы. Данное действиеявляется предпочтительным при невозможности лечения,а также для всех подозрительных объектов. Копии такихфайлов желательно пересылать для анализа в вируснуюлабораторию «Доктор Веб».

3. Удаление – эффективное действие для борьбы скомпьютерными угрозами. Оно применимо для любоготипа вредоносных объектов. Следует отметить, что иногдаудаление будет применено к некоторым файлам, длякоторых было выбрано лечение. Это происходит в случае,когда весь файл целиком состоит из вредоносного кода ине содержит никакой полезной информации. Так,например, под лечением компьютерного червяподразумевается удаление всех его функциональныхкопий.

4. Блокировка, переименование – это также действия,позволяющие обезвредить вредоносные программы, прикоторых, однако, в файловой системе остаются ихполноценные копии. В первом случае блокируются любыепопытки обращения от и к вредоносному объекту. Вовтором случае, расширение файла изменяется, что делаетего неработоспособным.



Приложение В. Принципы именованияугроз

При обнаружении вирусного кода компоненты Dr.Webсообщают пользователю средствами интерфейса и заносят вфайл отчета имя вируса, присвоенное ему специалистами«Доктор Веб». Эти имена строятся по определенным принципами отражают конструкцию вируса, классы уязвимых объектов,среду распространения (ОС и прикладные пакеты) и ряд другихособенностей. Знание этих принципов может быть полезно длявыявления программных и организационных уязвимостейзащищаемой системы. Ниже дается краткое изложениепринципов именования вирусов; более полная и постояннообновляемая версия описания доступна по адресуhttp://vms.drweb.com/classification/.

Эта классификация в ряде случаев условна, посколькуконкретные виды вирусов могут обладать одновременнонесколькими приведенными признаками. Кроме того, она неможет считаться исчерпывающей, поскольку постояннопоявляются новые виды вирусов и, соответственно, идет работапо уточнению классификации.

Полное имя вируса состоит из нескольких элементов,разделенных точками. При этом некоторые элементы, стоящие вначале полного имени (префиксы) и в конце (суффиксы),являются типовыми в соответствии с принятой классификацией.

http://vms.drweb.com/classification/



Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называниявирусов, инфицирующих исполняемые файлы определенныхплатформ (ОС):

Win – 16-разрядные программы ОС Windows 3.1;

Win95 – 32-разрядные программы ОС Windows 95,

ОС Windows 98, ОС Windows Me;

WinNT – 32-разрядные программы ОС Windows NT,

ОС Windows 2000, ОС Windows XP, ОС Windows Vista;

Win32 – 32-разрядные программы различных сред ОС

Windows 95, ОС Windows 98, ОС Windows Me и ОС WindowsNT, ОС Windows 2000, ОС Windows XP, ОС Windows Vista;

Win32.NET – программы в ОС Microsoft .NET Framework;

OS2 – программы ОС OS/2;

Unix – программы различных UNIX-систем;

Linux – программы ОС Linux;

FreeBSD – программы ОС FreeBSD;

SunOS – программы ОС SunOS (Solaris);

Symbian – программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вирусы могут заражать программы однойсистемы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office(указан язык макросов, поражаемых данным типом вирусов):

WM – Word Basic (MS Word 6.0-7.0);

XM – VBA3 (MS Excel 5.0-7.0);

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0);



X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0);

A97M – базы данных MS Access'97/2000;

PP97M – файлы-презентации MS PowerPoint;

O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус

заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования вирусов,

написанных на языках программирования высокого уровня, такихкак C, C++, Pascal, Basic и другие. Используются модификаторы,указывающие на базовый алгоритм функционирования, вчастности:

HLLW – черви;

HLLM – почтовые черви;

HLLO – вирусы, перезаписывающие код программы

жертвы;

HLLP – вирусы-паразиты;

HLLC – вирусы-спутники.

К группе префиксов языка разработки можно также отнести:

Java – вирусы для среды виртуальной машины Java.

Троянские кони

Trojan – общее название для различных Троянских коней

(троянцев). Во многих случаях префиксы этой группыиспользуются совместно с префиксом Trojan.

PWS – троянец, ворующий пароли;

Backdoor – троянец с RAT-функцией (Remote

Administration Tool – утилита удаленногоадминистрирования);

IRC – троянец, использующий для своего

функционирования среду Internet Relayed Chat channels;



DownLoader – троянец, скрытно от пользователя

загружающий различные вредоносные файлы из Интернета;

MulDrop – троянец, скрытно от пользователя

загружающий различные вирусы, содержащиесянепосредственно в его теле;

Proxy – троянец, позволяющий злоумышленнику работать

в Интернете анонимно через пораженный компьютер;

StartPage (синоним: Seeker) – троянец,

несанкционированно подменяющий адрес страницы,указанной браузеру в качестве домашней (стартовой);

Click – троянец, организующий перенаправление

пользовательских запросов браузеру на определенный сайт(или сайты);

KeyLogger – троянец-шпион; отслеживает и записывает

нажатия клавиш на клавиатуре; может периодическипересылать собранные данные злоумышленнику;

AVKill – останавливает работу программ антивирусной

защиты, сетевые экраны и т. п.; также может удалять этипрограммы с диска;

KillFiles, KillDisk, DiskEraser – удаляют

некоторое множество файлов (файлы в определенныхкаталогах, файлы по маске, все файлы на диске и т. п.);

DelWin – удаляет необходимые для работы операционной

системы (Windows) файлы;

FormatC – форматирует диск C: (синоним: FormatAll –

форматирует несколько или все диски);

KillMBR – портит или стирает содержимое главного

загрузочного сектора (MBR);

KillCMOS – портит или стирает содержимое CMOS.

Средство использования уязвимостей

Exploit – средство, использующее известные уязвимости

некоторой операционной системы или приложения длявнедрения в систему вредоносного кода, вируса иливыполнения каких-либо несанкционированных действий.



Средства для сетевых атак

Nuke – средства для сетевых атак на некоторые известные

уязвимости операционных систем с целью вызватьаварийное завершение работы атакуемой системы;

DDoS – программа-агент для проведения распределенных

сетевых атак типа «отказ в обслуживании» (DistributedDenial Of Service);

FDOS (синоним: Flooder) – Flooder Denial Of Service –

программы для разного рода вредоносных действий в Сети,так или иначе использующие идею атаки типа «отказ вобслуживании»; в отличие от DDoS, где против одной целиодновременно используется множество агентов,работающих на разных компьютерах, FDOS-программаработает как отдельная, «самодостаточная» программа.

Скрипт-вирусы

Префиксы вирусов, написанных на различных языках сценариев:

VBS – Visual Basic Script;

JS – Java Script;

Wscript – Visual Basic Script и/или Java Script;

Perl – Perl;

PHP – PHP;

BAT – язык командного интерпретатора ОС MS-DOS.

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а инымивредоносными программами:

Adware – рекламная программа;



Dialer – программа дозвона (перенаправляющая звонок

модема на заранее запрограммированный платный номерили платный ресурс);

Joke – программа-шутка;

Program – потенциально опасная программа (riskware);

Tool – программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса,

обозначающего среду или метод разработки, для обозначениятипичного представителя этого типа вирусов. Такой вирус необладает никакими характерными признаками (как текстовыестроки, специальные эффекты и т. д.), которые позволили быприсвоить ему какое-то особенное название.

Ранее для именования простейших безликих вирусовиспользовался префикс Silly с различными модификаторами.

Суффиксы

Суффиксы используются для именования некоторыхспецифических вирусных объектов:

generator – объект является не вирусом, а вирусным

генератором;

based – вирус разработан с помощью указанного

вирусного генератора или путем видоизменения указанноговируса. В обоих случаях имена этого типа являютсяродовыми и могут обозначать сотни и иногда даже тысячивирусов;

dropper – указывает, что объект является не вирусом, а

инсталлятором указанного вируса.



Приложение Г. Техническаяподдержка

Страница службы технической поддержки компании«Доктор Веб» находится по адресу http://support.drweb.com/.

При возникновении проблем с установкой или работой продуктовкомпании, прежде чем обращаться за помощью в отделтехнической поддержки, настоятельно рекомендуетсяпопробовать найти решение одним из следующих способов:

ознакомиться с последними версиями описаний и руководствпо адресу http://download.drweb.com/doc;

прочитать раздел часто задаваемых вопросов по адресуhttp://support.drweb.com;

посетить форумы Dr.Web по адресу http://forum.drweb.com/.

Если после этого вам не удалось решить проблему, то выможете заполнить веб-форму вопроса в соответствующей секциираздела http://support.drweb.com/.

Найти ближайшее к вам представительство «Доктор Веб» и всюконтактную информацию, необходимую пользователю, выможете по адресу http://company.drweb.com/contacts/moscow.

http://support.drweb.com/

http://download.drweb.com/doc

http://support.drweb.com

http://forum.drweb.com/

http://support.drweb.com/

http://company.drweb.com/contacts/moscow