Drweb 700 Win Ru

«Доктор Веб», Центральный офис в России125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Веб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информацию о региональных представительствах и офисах Выможете найти на официальном сайте компании.

Антивирус Dr.Web для WindowsВерсия 7.0Руководство пользователя28.12.2011

© «Доктор Веб», 2003-2011. Все права защищены.

Материалы, приведенные в данном документе, являютсясобственностью «Доктор Веб» и могут быть использованыисключительно для личных целей приобретателя продукта. Никакаячасть данного документа не может быть скопирована, размещена насетевом ресурсе или передана по каналам связи и в средствахмассовой информации или использована любым другим образомкроме использования для личных целей без ссылки на источник.

ТОРГОВЫЕ ЗНАКИDr.Web, SpIDer Mail, SpIDer Guard, CureIt!, CureNet!, AV-desk илоготипы Dr.WEB являются зарегистрированными товарнымизнаками «Доктор Веб» в России и/или других странах. Иныезарегистрированные товарные знаки, логотипы и наименованиякомпаний, упомянутые в данном документе, являютсясобственностью их владельцев.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИНи при каких обстоятельствах «Доктор Веб» и его поставщики ненесут ответственности за ошибки и/или упущения, допущенные вданном документе, и понесенные в связи с ними убыткиприобретателя продукта (прямые или косвенные, включаяупущенную выгоду).

«Доктор Веб»

Мы благодарны пользователям за поддержкурешений семейства Dr.Web!

«Доктор Веб» - российский разработчик средствинформационной безопасности.

«Доктор Веб» предлагает эффективные антивирусные иантиспам-решения как для государственных организаций и

крупных компаний, так и для частных пользователей.

Антивирусные решения семейства Dr.Web разрабатываются с 1992 года и неизменно демонстрируют превосходныерезультаты детектирования вредоносных программ,соответствуют мировым стандартам безопасности.

Сертификаты и награды, а также обширная географияпользователей свидетельствуют об исключительном доверии

к продуктам компании.

Руководство пользователя

4

Содержание

71. Введение

91.1. О чем эта документация

101.2. Используемые обозначения и сокращения

111.3. Системные требования

131.4. Лицензирование

131.4.1. Ключевой файл

151.4.2. Получение ключевого файла

171.4.3. Продление лицензии

191.5. Методы обнаружения

211.6. Проверка антивируса

222. Установка программы

222.1. Первая установка

352.2. Повторная установка и удаление

372.3. Процедура получения ключевого файла

403. Приступая к работе

433.1. Модуль управления SpIDer Agent

453.2. Общие настройки

503.3. Менеджер лицензий

523.4. Менеджер Карантина

564. Сканер Dr.Web

574.1. Проверка компьютера

614.2. Действия при обнаружении вирусов

634.3. Настройка Сканера


5

674.4. Запуск Сканера из командной строки

684.5. Консольный сканер

705. SpIDer Guard

715.1. Управление SpIDer Guard

735.2. Настройка SpIDer Guard

796. SpIDer Mail

826.1. Управление SpIDer Mail

836.2. Настройка SpIDer Mail

907. Dr.Web для Outlook

907.1. Настройка Dr.Web для Outlook

927.2. Обнаружение угроз

927.2.1. Вредоносные объекты

937.2.2. Действия

957.4. Регистрация событий

967.4.1. Журнал операционной системы

977.4.2. Текстовый журнал отладки

987.5. Статистика проверки

1008. Брандмауэр Dr.Web

1008.1. Обучение Брандмауэра

1078.2. Управление Брандмауэром

1098.3. Настройка Брандмауэра

1108.3.1. Фильтр приложений

1178.3.2. Родительские процессы

1188.3.3. Интерфейсы

1288.3.4. Дополнительные настройки

1328.3.5. Восстановление исходных настроек


6


1348.4.1. Активные приложения

1368.4.2. Журнал приложений

1388.4.3. Журнал пакетного фильтра

1409. Автоматическое обновление

1409.1. Запуск обновления

143Приложения

143

Приложение А. Дополнительные параметрыкомандной строки

143Параметры для Консольного сканера

150Параметры для Модуля обновления

156Коды возврата

157

Приложение Б. Угрозы и способы ихобезвреживания

158Классификация угроз

164Действия для обезвреживания угроз

166Приложение В. Принципы именования угроз

172

Приложение Г. Централизованная антивируснаязащита

175Приложение Д. Техническая поддержка


7Введение

1. Введение

Антивирус Dr.Web для Windows обеспечивает многоуровневуюзащиту системной памяти, жестких дисков и сменных носителей отпроникновений вирусов, руткитов, троянских программ,шпионского и рекламного ПО, хакерских утилит и различныхвредоносных объектов из любых внешних источников.

Важной особенностью программы Антивирус Dr.Web являетсямодульная архитектура. Антивирус Dr.Web используетпрограммное ядро и вирусные базы, общие для всех компонентови различных сред. В настоящее время наряду с программойАнтивирус Dr.Web поставляются версии антивируса для IBM®OS/2®, Novell® NetWare®, Macintosh®, Microsoft WindowsMobile®, Andorid®, Symbian®, а также ряда систем семействаUnix® (например, Linux®, FreeBSD® и Solaris®).

Антивирус Dr.Web использует удобную и эффективнуюпроцедуру обновления вирусных баз и версий программногообеспечения через Интернет.

Антивирус Dr.Web способен также обнаруживать и удалять скомпьютера различные нежелательные программы (рекламныепрограммы, программы дозвона, программы-шутки, потенциальноопасные программы, программы взлома). Для обнаружениянежелательных программ и действий над содержащими ихфайлами применяются стандартные средства антивирусныхкомпонентов Антивирус Dr.Web.

Антивирус Dr.Web может включать в себя следующиекомпоненты:

Сканер Dr.Web – антивирусный сканер с графическиминтерфейсом, который запускается по запросу пользователяили по расписанию и проводит антивирусную проверкукомпьютера. Существует также версия программы синтерфейсом командной строки (Консольный сканер дляWindows);

SpIDer Guard® – антивирусный сторож, который


8Введение

постоянно находится в оперативной памяти, осуществляяпроверку файлов и памяти «на лету», а также обнаруживаяпроявления вирусной активности;

SpIDer Mail® – почтовый антивирусный сторож, которыйперехватывает обращения любых почтовых клиентовкомпьютера к почтовым серверам по протоколам POP3/SMTP/IMAP4/NNTP (под IMAP4 имеется в виду IMAPv4rev1),обнаруживает и обезвреживает почтовые вирусы дополучения писем почтовым клиентом с сервера или доотправки письма на почтовый сервер;

Dr.Web для Outlook – подключаемый модуль, которыйпроверяет почтовые ящики Microsoft Outlook на вирусы;

Брандмауэр Dr.Web – персональный межсетевой экран,предназначенный для защиты компьютера отнесанкционированного доступа извне и предотвращенияутечки важных данных по сети;

Модуль обновления Dr.Web – компонент, которыйпозволяет зарегистрированным пользователям получатьобновления вирусных баз и других файлов Dr.Web, а такжепроизводит их автоматическую установку;

SpIDer Agent – модуль управления, с помощью которогоосуществляется запуск и настройка компонентов программыАнтивирус Dr.Web.

Организация централизованного управления антивируснойзащитой описана в Приложении Г.


9Введение

1.1. О чем эта документация

Настоящее руководство содержит необходимые сведения поустановке и эффективному использованию программы АнтивирусDr.Web.

Подробное описание всех элементов графического интерфейсасодержится в справочной системе, доступной для запуска излюбого компонента программы.

Настоящее руководство содержит подробное описание процессаустановки, а также начальные рекомендации по егоиспользованию для решения наиболее типичных проблем,связанных с вирусными угрозами. В основном рассматриваютсянаиболее стандартные режимы работы компонентов программыАнтивирус Dr.Web (настройки по умолчанию).

В Приложениях содержится подробная справочная информация понастройке программы Антивирус Dr.Web, предназначенная дляопытных пользователей.

В связи с постоянным развитием интерфейс программы можетне совпадать с представленными в данном документеизображениями. Всегда актуальную справочную информацию

вы можете найти по адресу http://products.drweb.com.

http://products.drweb.com/?lng=ru


10Введение

1.2. Используемые обозначения исокращения

В данном руководстве используются обозначения, приведенные втаблице 1.

Таблица 1. Обозначения

Обозначение Комментарий

Полужирноеначертание

Названия элементов графического интерфейса ипримеры ввода, который необходимо выполнить вточности так, как он приведен в справке.

Зеленое иполужирноеначертание

Наименования продуктов «Доктор Веб» или ихкомпонентов.

Зеленое иподчеркнутоеначертание

Ссылки на страницы справки и веб-сайты.

Моноширинныйшрифт

Примеры кода, ввода для командной строки иинформации, выводимой пользователюприложением.

Курсив Термины и замещающий текст (приводится вместоинформации, которую необходимо ввестипользователю). В случае примеров вводакомандной строки курсив указывает на значенияпараметров.

ЗАГЛАВНЫЕБУКВЫ

Названия клавиш клавиатуры.

Знак плюс («+») Указывает на одновременность нажатия клавишклавиатуры. Например, запись ALT+F1 обозначает,что необходимо нажать клавишу F1, удерживаянажатой клавишу ALT.

Восклицательныйзнак

Важное замечание или предупреждение опотенциально опасных или чреватых ошибкамиситуациях.


11Введение

1.3. Системные требования

Перед установкой программы Антивирус Dr.Web следует:

удалить с компьютера другие антивирусные пакеты дляпредотвращения возможной несовместимости ихрезидентных компонентов с резидентнымикомпонентами Dr.Web;

в случае установки Брандмауэра, удалить скомпьютера другие межсетевые экраны;

установить все рекомендуемые производителемоперационной системы критические обновления.

Использование программы Антивирус Dr.Web возможно накомпьютере, удовлетворяющем следующим требованиям:

Компонент Требование

Операционнаясистема

Одна из следующих:

Microsoft® Windows® 2000 Workstation с пакетомобновлений SP4 и Update Rollup 1;

Windows® XP с пакетом обновлений SP2;

Windows® Vista;

Microsoft® Windows® 7.

Поддерживаются 32- и 64-битные версииоперационных систем.

Возможно, потребуется загрузить с сайта Microsoft иустановить обновления ряда системных компонентов.Антивирус Dr.Web сообщит вам, при необходимости,их наименования и URL.

Место нажестком диске

330 МБ для размещения компонентов продукта.

Файлы, создаваемые в ходе установки, потребуютдополнительного места.

Процессор Полная поддержка системы команд i686.


12Введение

Компонент Требование

Оперативнаяпамять

512 МБ и больше.

Прочее Подключение к сети Интернет для обновления

вирусных баз и компонентов программы АнтивирусDr.Web.


13Введение

1.4. Лицензирование

Права пользователя на использование Антивируса Dr.Webрегулируются при помощи специального файла, называемогоключевым файлом.

Для работы программы Антивирус Dr.Web вам необходимополучить и установить ключевой файл.

Дополнительную информацию о сроках и типах лицензированияможно найти на официальном сайте «Доктор Веб» по адресуhttp://www.drweb.com/.

1.4.1. Ключевой файл

Ключевой файл имеет расширение .key и содержит, в частности,следующую информацию:

перечень компонентов, которые разрешено использоватьданному пользователю;

период, в течение которого разрешено использованиеантивируса;

другие ограничения (в частности, количество компьютеров,на которых разрешено использовать антивирус).

Существует три типа ключевых файлов:

лицензионный ключевой файл, который приобретаетсявместе с программой Антивирус Dr.Web и позволяет какпользоваться продуктом, так и получать техническуюподдержку. Параметры этого ключевого файла,регулирующие права пользователя, установлены всоответствии с пользовательским договором. В такой файлтакже заносится информация о пользователе и продавцепродукта;

демонстрационный ключевой файл, который используетсядля ознакомления с продуктом. Такой ключевой файлобеспечивает полную функциональность основных

http://www.drweb.com/


14Введение

компонентов, но имеет ограниченный срок действия — 30дней;

Демонстрационный ключ выдается на одну и ту жемашину не чаще чем 1 раз в 4 месяца.

временный ключевой файл, который используется в томслучае, если при установке вы не указываете лицензионныйили демонстрационный ключевой файл. Такой ключевойфайл обеспечивает полную функциональность компонентовпрограммы Антивирус Dr.Web, однако обновления небудут загружаться до тех пор, пока вы не установителицензионный или демонстрационный ключевой файл.Также в меню SpIDer Agent будут отсутствовать пункты МойDr.Web и Обновление.

Ключевой файл Dr.Web является действительным приодновременном выполнении следующих условий:

срок действия лицензии не истек;

ключ распространяется на все используемые программоймодули;

целостность ключа не нарушена.

При нарушении любого из условий ключевой файл становитсянедействительным, при этом Антивирус Dr.Web перестаетобнаруживать и обезвреживать вредоносные программы.


15Введение

1.4.2. Получение ключевого файла

Ключевой файл поставляется в виде файла c расширением .keyили в виде ZIP-архива, содержащего этот файл.

Вы можете получить ключевой лицензионный файл одним изследующих способов:

в процессе регистрации продукта на официальном сайте«Доктор Веб»;

в процессе установки продукта или его первого обновления;

вместе с дистрибутивом продукта, если лицензионный файлбыл включен в комплект поставки;

на отдельном носителе.

Ключевые файлы, полученные в процессе установки или вкомплекте дистрибутива, устанавливаются автоматически.Ключевые файлы, полученные другим путем, необходимоустановить.

Получение ключевого файла в процессе регистрациина сайте

Регистрация на сайте и загрузка ключевого файлаосуществляется по сети Интернет. Перед началом установкиубедитесь, что ваш компьютер имеет действующее интернет-соединение.

Для получения лицензионного ключевого файла необходимрегистрационный серийный номер продукта. Во время даннойпроцедуры получение демонстрационного файла невозможно.

1. Зайдите на сайт, адрес которого указан в регистрационнойкарточке, прилагаемой к продукту.

2. Заполните форму со сведениями о покупателе.

3. Введите регистрационный серийный номер (находится нарегистрационной карточке).


16Введение

4. Сформированный ключевой файл высылается поэлектронной почте в виде ZIP-архива, содержащего файл срасширением .key. Также вы можете загрузить архив состраницы регистрации.

5. После получения ключевого файла установите его навашем компьютере.

Получение ключевого файла в процессе установкипрограммы Антивирус Dr.Web

Регистрация на сайте и загрузка ключевого файлаосуществляется по сети Интернет. Перед началом установкиубедитесь, что ваш компьютер имеет действующее интернет-соединение. Во время данной процедуры возможно получениедемонстрационного файла.

1. Запустите установку продукта (см. разделПервая установка).

2. На шаге Ключевой файл Dr.Web выберите Получитьфайл в процессе установки.

3. Выполните остальные шаги установки в обычном режиме.На завершающей стадии установки запустится процедураполучения ключевого файла. По завершении процедурыАнтивирус Dr.Web автоматически загрузит и установитключевой лицензионный файл.

Рекомендуется сохранять лицензионный ключевой файл доистечения срока его действия. При переустановке продукта или вслучае установки на несколько компьютеров повторнаярегистрация серийного номера не требуется. Вы можетеиспользовать ключевой файл, полученный при первойрегистрации.

Демонстрационный ключ может использоваться только на томкомпьютере, на котором вы проходили регистрацию.


17Введение

Повторная регистрация

Повторная регистрация может потребоваться в случае утратыключевого файла. При повторной регистрации необходимо указатьте же персональные данные, которые вы ввели при первойрегистрации. Допускается использовать другой адрес электроннойпочты – в таком случае ключевой файл будет выслан по новомуадресу.

В случае использования демонстрационного ключа выдаетсятот же ключевой файл, который был выдан ранее.

Количество запросов на получение ключевого файла ограничено –регистрация с одним и тем же серийным номером допускается неболее 25 раз. Если это число превышено, ключевой файл не будетвыслан. В этом случае обратитесь в службутехнической поддержки (в запросе следует подробно описатьситуацию, указать персональные данные, введенные прирегистрации, и серийный номер). Ключевой файл будет высланвам службой технической поддержки по электронной почте.

1.4.3. Продление лицензии

В некоторых случаях, например, при окончании срока действиялицензии или при изменении характеристик защищаемой системыили требований к ее безопасности, вы можете принять решение оприобретении новой или расширенной лицензии на АнтивирусDr.Web. В таком случае вам потребуется заменить ужесуществующий и зарегистрированный в системе лицензионныйключевой файл. Антивирус Dr.Web поддерживает обновлениелицензии «на лету», при котором не требуется переустанавливатьантивирус или прерывать его работу.

http://support.drweb.com/request/

http://support.drweb.com/request/


18Введение

Замена ключевого файла

1. Чтобы продлить лицензию, используйтеМенеджер лицензий. Для приобретения новой илипродления текущей лицензии вы также можетевоспользоваться вашей персональной страничкой наофициальном сайте компании «Доктор Веб», котораяоткрывается в окне интернет-браузера по умолчанию привыборе пункта Мой Dr.Web как в Менеджере лицензий,так и в меню SpiDer Agent.

2. Если текущий ключевой файл недействителен, АнтивирусDr.Web переключится на использование нового ключевогофайла.


19Введение

1.5. Методы обнаружения

Все антивирусы Dr.Web одновременно используют несколькометодов обнаружения вредоносных объектов, что позволяетмаксимально тщательно проверить подозрительные файлы.

1. В первую очередь применяется сигнатурный анализ. Онвыполняется путем анализа кода подозрительных файловна предмет соответствия сигнатурам известных вирусов(сигнатурой называется непрерывная конечнаяпоследовательность байт, необходимая и достаточная дляопознания вируса). При этом сравнение проводится поконтрольным суммам сигнатур, что позволяет значительноснизить размер записей в вирусных базах данных, сохранивпри этом однозначность соответствия и, следовательно,корректность обнаружения и лечения зараженных файлов.Вирусные базы Dr.Web составлены таким образом, чтоблагодаря одной записи можно обнаруживать целыеклассы угроз.

2. После завершения сигнатурного анализа применяетсяуникальная технология Origins Tracing, котораяпозволяет определить новые или модифицированныевирусы, использующие известные механизмы зараженияфайлов. Так, например, эта технология защищаетпользователей антивирусных решений Dr.Web от такихвирусов, как вирус-шантажист Trojan.Encoder.18 (такжеизвестный под названием gpcode). Кроме того, именновведение Origins Tracing™ позволяет значительноснизить количество ложных срабатываний эвристическогоанализатора.

3. Работа эвристического анализатора основывается на некихзнаниях (эвристиках) о характерных признаках вирусногои, наоборот, безопасного кода. Каждый признак имеетопределенный вес (число, показывающее серьезность идостоверность данного признака). На основаниисуммарного веса, характеризующего каждый конкретныйфайл, эвристический анализатор вычисляет вероятностьзаражения файла неизвестным вирусом. Как и любаясистема проверки гипотез в условиях неопределенности,


20Введение

эвристический анализатор может допускать ошибки какпервого (пропуск неизвестных вирусов), так и второго рода(ложная тревога).

Во время любой из проверок компоненты антивирусов Dr.Webиспользуют самую свежую информацию о всех известныхвредоносных программах. Сигнатуры вирусов, информация об ихпризнаках и моделях поведения обновляется сразу же, как толькоспециалисты Антивирусной лаборатории «Доктор Веб»обнаруживают новые угрозы, иногда – до нескольких раз в час.Даже если новейший вирус проникает на компьютер, минуярезидентные средства защиты, после обновления вирусных баз онбудет обнаружен в списке процессов и нейтрализован.


21Введение

1.6. Проверка антивируса

Вы можете проверить работоспособность антивирусных программ,обнаруживающих вирусы по их сигнатурам, с использованиемтестового файла EICAR (European Institute for Computer Anti-VirusResearch).

Многими разработчиками антивирусов принято для этой целииспользовать одну и ту же стандартную программу test.com. Этапрограмма была специально разработана для того, чтобыпользователь, не подвергая свой компьютер опасности, могпосмотреть, как установленный антивирус будет сигнализироватьоб обнаружении вируса. Программа test.com не является сама посебе вредоносной, но специально обрабатывается большинствомантивирусных программ как вирус. Антивирус Dr.Web называетэтот «вирус» следующим образом: EICAR Test File (Not aVirus!). Примерно так его называют и другие антивирусные

программы.

Программа test.com представляет собой 68-байтный COM-файл, врезультате исполнения которого на консоль выводится текстовоесообщение EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Файл test.com состоит только из текстовых символов, которыеформируют следующую строку:

X5O!P%@AP[4\PZX54(P )̂7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Если вы создадите файл, содержащий приведенную выше строку исохраните его под именем test.com, то в результате получитсяпрограмма, которая и будет описанным выше «вирусом».

SpIDer Guard в оптимальном режиме не определяет тестовыйфайл EICAR как вредоносную программу, так как он являетсяDOS-приложением и не представляет угрозы для компьютера.


22Установка Антивирус Dr.Web

2. Установка программы

Перед установкой программы Антивирус Dr.Web настоятельнорекомендуется:

установить все критические обновления, выпущенныекомпанией Microsoft для вашей версии операционнойсистемы (их можно загрузить и установить с сайтаобновлений компании по адресу http://windowsupdate.microsoft.com);

проверить при помощи системных средств файловуюсистему и устранить обнаруженные дефекты;

закрыть активные приложения.

Перед установкой следует также удалить с компьютера другиеантивирусные пакеты и межсетевые экраны дляпредотвращения возможной несовместимости их резидентныхкомпонентов.

2.1. Первая установка

Для установки Dr.Web необходимы права Администратора.

Установка программы Антивирус Dr.Web возможна в любом изследующих режимов:

в фоновом режиме;

в обычном режиме.

Установка в фоновом режиме

Для запуска установки программы Антивирус Dr.Web в фоновомрежиме, в командной строке введите имя исполняемого файла с

http://windowsupdate.microsoft.com

http://windowsupdate.microsoft.com



необходимыми параметрами (параметры влияют на ведениеотчета, перезагрузку после окончания установки и установкуБрандмауэра):

Установка Параметры

Без перезагрузкии без веденияотчета

/S /V/qn

С перезагрузкойи без веденияотчета

/S /V"/qn REBOOT=Force"

или

/S /V"/qn REBOOT=F"

Без перезагрузкии с ведениемотчета

/S /V"/qn /lv* \"<путь>\drweb-setup.log\""

С перезагрузкойи с ведениемотчета

/S /V"/qn /lv* \"<путь>\drweb-setup.log\"REBOOT=F"

или

/S /V"/qn /lv* \"<путь>\drweb-setup.log\"REBOOT=Force"

С установкойБрандмауэраи с перезагрузкой

/S /V"/qn INSTALL_FIREWALL=1 REBOOT=F"

или

/S /V"/qn INSTALL_FIREWALL=1 REBOOT=Force"

Например, при запуске следующей команды будет проведенаустановка программы Антивирус Dr.Web, создан файл отчета ипроведена перезагрузка после установки:

C:\Documents and Settings\drweb-700-win.exe /S/V"/qn /lv* \"%temp%\drweb-setup.log\"REBOOT=F"

Если необходимо установить Антивирус Dr.Web наопределенном языке, то дополнительно необходимо задатьследующий параметр:

/L<код_языка>



Например:

/L1049 /S /V"/qn REBOOT=Force"

Список языков:

Код Язык

1033 английский

1026 болгарский

1038 венгерский

1032 греческий

1034 испанский

1040 итальянский

1028 китайский (традиционный)

2052 китайский (упрощенный)

1062 латышский

1063 литовский

1031 немецкий

1045 польский

2070 португальский

1049 русский

1051 словацкий

1055 турецкий

1058 украинский

1036 французский

1061 эстонский

1041 японский

Независимо от выбранного языка будет дополнительноустановлен английский язык.



Установка в обычном режиме

Чтобы запустить установку в обычном режиме, воспользуйтесьодним из следующих методов:

в случае поставки установочного комплекта в виде единогоисполняемого файла запустите на исполнение этот файл;

в случае поставки установочного комплекта на фирменномдиске вставьте диск в привод. Если для привода включенрежим автозапуска диска, процедура установки запуститсяавтоматически. Если режим автозапуска отключен,запустите на выполнение файл autorun.exe, расположенныйна диске. Откроется окно, содержащее меню автозапуска.Нажмите кнопку Установить.

Следуйте указаниям программы установки. На любом шаге доначала копирования файлов на компьютер вы можете выполнитьследующее:

чтобы вернуться к предыдущему шагу программы установки,нажмите кнопку Назад;

чтобы перейти на следующий шаг программы, нажмитекнопку Далее;

чтобы прервать установку, нажмите кнопку Отмена.

Процедура установки:

1. На первом шаге выберите язык установки, который будетиспользоваться в интерфейсе. Независимо от вашеговыбора дополнительно будет установлен английский язык.

2. На следующем шаге ознакомьтесь с лицензионнымсоглашением. Для продолжения установки его необходимопринять.

3. На следующем шаге программа установки предупредит васо возможной несовместимости Антивируса Dr.Web ииных антивирусов, установленных на вашем компьютере, ипредложит удалить их. Выполните одно из следующихдействий:



если на вашем компьютере установлены другиеантивирусы, то рекомендуется нажать кнопку Отменаи прервать установку, удалить или дезактивироватьэти антивирусы и после этого начать установкузаново;

если на вашем компьютере не установлены другиеантивирусы, для продолжения установите флажок Яподтверждаю, что на компьютере нет другихантивирусных программ и нажмите кнопкуДалее.

4. На следующем шаге вам будет предложено установитьБрандмауэр.



Также вы можете принять участие в пополнении базыизвестных приложений для Брандмауэра. Установитефлажок Отправлять в «Доктор Веб» сведения осозданных правилах, чтобы разрешить Брандмауэруавтоматически отправлять сведения о созданных вамиправилах.

5. Если на предыдущем шаге вы установили флагУстановить Dr.Web Брандмауэр, то программаустановки предупредит вас о возможной несовместимостипрограммы Антивирус Dr.Web и других межсетевыхэкранов, установленных на вашем компьютере, ипредложит удалить их. Выполните одно из следующихдействий:

если на вашем компьютере установлен другоймежсетевой экран, то рекомендуется нажать кнопкуОтмена и прервать установку, удалить илидезактивировать межсетевой экран и после этогоначать установку заново;



если на вашем компьютере не установлены другиемежсетевые экраны, для продолжения установитефлажок Я подтверждаю, что на компьютере нетдругих межсетевых экранов и нажмите кнопкуДалее.

6. На шаге Ключевой файл Dr.Web программа установкипредупредит вас о том, что для работы программыАнтивирус Dr.Web необходим ключевой файл(лицензионный или демонстрационный). Выполните одноиз следующих действий:

если у вас есть ключевой файл и он находится нажестком диске или сменном носителе, нажмите кнопкуОбзор и выберите ключевой файл в стандартном окнеоткрытия файла;

если у вас нет ключевого файла, но вы готовы егополучить в процессе установки, выберите Получитьфайл в процессе установки;

для продолжения установки свременным ключевым файлом выберите Получитьключевой файл позднее. Обновления не будутзагружаться до тех пор, пока вы не укажетелицензионный или демонстрационный ключевой файл.

Нажмите кнопку Далее.



Используйте только ключевой файл вариантаАнтивирус Dr.Web. Ключевой файл должен иметьрасширение .key. Если файл находится в архиве,необходимо извлечь его соответствующимархиватором.

7. На следующем шаге вам будет предложено выбрать типустановки:

Установка по умолчанию предполагает установкувсех компонентов, а также всех вспомогательныхпрограмм, причем этапы установки до шага 12 будутпроведены автоматически;

Пользовательская установка предназначена дляопытных пользователей. В процессе пользовательскойустановки вам будет предложено самостоятельновыбрать устанавливаемые компоненты, указатьнастройки прокси-сервера и некоторыедополнительные параметры установки.



Выберите необходимый тип установки и нажмите кнопкуДалее.

8. Если вы выбрали режим установки по умолчанию, топерейдите к описанию шага 12. Если вы выбрали режимПользовательской установки, то в открывшемся окневыберите устанавливаемые компоненты, принеобходимости измените каталог установки и нажмитекнопку Далее.



9. На следующем шаге вам будет предложено настроитьсоздание ярлыков для запуска программы АнтивирусDr.Web. Укажите необходимые пункты и нажмите кнопкуДалее.

10. На следующем шаге вам будет предложено указатьнастройки подключения к прокси-серверу. Выберите одиниз следующих вариантов:

если для выхода в Интернет прокси-сервер неиспользуется, выберите Не использовать прокси-сервер;

если вы хотите задать настройки прокси-сервера,выберите пункт Задать IP-адрес и порт прокси-сервера вручную и укажите необходимые параметры.




11. Если на шаге 6 вы указали действующий ключевой файл иливыбрали пункт Получить файл в процессе установки, то на следующем шаге вы можете установить флажокЗагрузить обновления во время установки, чтобы впроцессе установки были загружены актуальные вирусныебазы и другие модули антивируса.




12. Откроется информационное окно с сообщением оготовности к установке. Вы можете выполнить одно изследующих действий:

чтобы запустить процесс копирования файлов,нажмите кнопку Установить;

чтобы изменить параметры установки, нажмите кнопку Назад.

13. Если на шаге 6 вы выбрали Получить файл в процессеустановки, то на следующем шаге программа попытаетсяполучить ключевой файл через Интернет при помощипроцедуры регистрации пользователя.

14. Если в процессе установки вы указали или получилидействующий ключевой файл и на шаге 11 установилифлажок Загрузить обновления во время установки, атакже во время установки по умолчанию, будет выполненпроцесс обновления вирусных баз и других компонентовпрограммы Антивирус Dr.Web. Обновление проводитсяавтоматически и не требует дополнительных действий.



15. По завершении установки запустится Сканер, которыйпроведет быструю проверку. В случае обнаруженияинфицированных файлов выберите необходимые действиядля этих объектов. После завершения проверки закройтеСканер.

Известна проблема несовместимости Cканера спрограммой WindowBlinds, позволяющей настраиватьэлементы графического интерфейса операционныхсистем семейства Windows. Для корректной работыантивируса необходимо отключить возможностьизменения интерфейса программы Антивирус Dr.Webв настройках программы WindowBlinds, добавив файлdwscanner.exe в список исключаемых программ.

16. Для завершения процесса установки выполнитеперезагрузку компьютера.



2.2. Повторная установка и удаление

С помощью программы установки вы также можете:

изменить состав установленных компонентов;

удалить все установленные компоненты с компьютера.

Изменение и удаление программы

1. Чтобы запустить установку, воспользуйтесь одним изследующих методов:

в случае поставки установочного комплекта в видеединого исполняемого файла запустите на исполнениеэтот файл;

в случае поставки установочного комплекта нафирменном диске вставьте диск в привод. Если дляпривода включен режим автозапуска диска, процедураустановки запустится автоматически. Если режимавтозапуска отключен, запустите на выполнение файлautorun.exe, расположенный на диске сдистрибутивом. Откроется окно, содержащее менюавтозапуска. Нажмите кнопку Установить;

запустите программу установки при помощи утилитыустановки и удаления программ операционнойсистемы Windows.

2. В открывшемся окне выберите режим работы программыустановки:

чтобы изменить состав устанавливаемых компонентов,выберите вариант Изменить;

чтобы удалить все установленные компоненты,выберите пункт Удалить.



4. Для удаления программы Антивирус Dr.Web илиизменения состава компонентов программе установкипотребуется отключить самозащиту. Для этого введите кодподтверждения, изображенный в открывшемся окне, илипароль (если на вкладке Дополнительно настроек SpIDerAgent вы установили флажок Защищать паролемнастройки Dr.Web).

5. При необходимости по просьбе программы перезагрузитекомпьютер для завершения процедуры удаления илиизменения состава компонентов.



2.3. Процедура получения ключевогофайла

Процедура получения ключевого файла запускаетсяавтоматически в процессе установки или из меню SpIDer Agentпосле завершения установки и помогает подключиться кофициальному сайту «Доктор Веб» и зарегистрироватьпродукт.

Получение ключевого файла

1. На первом шаге вам будет предложено выбрать: получитьдемонстрационный или лицензионный ключевой файл(подробно о ключевом файле см. Ключевой файл).

Если у вас имеется регистрационный серийный номер,выданный вам при приобретении антивируса, выберитевариант Лицензионный ключевой файл и введитесерийный номер. Если вы устанавливаете программу сознакомительными целями, выберите пунктДемонстрационный ключевой файл и перейдите кшагу 2.

Если вы ранее уже являлись пользователем программы Антивирус Dr.Web, то вы можете продлить действиеприобретенной лицензии на 150 дополнительных дней.Для этого укажите серийный номер либо лицензионныйключевой файл предыдущей регистрации.

Нажмите кнопку Далее. Откроется окно вводарегистрационных данных.



2. В окне ввода персональных данных, необходимых дляполучения ключевого файла, заполните все поля инажмите кнопку Далее.



3. Запускается процедура загрузки и установки ключевогофайла. Если получение ключевого файла завершилосьуспешно, выводится соответствующее сообщение иуказывается срок действия лицензии. В противном случаевыводится сообщение об ошибке.




Программа установки позволяет установить на компьютерследующие компоненты антивирусной защиты:

Сканер Dr.Web для Windows (с GUI-интерфейсом иконсольную версию);

сторож SpIDer Guard;

почтовый сторож SpIDer Mail;

подключаемый модуль Dr.Web для Outlook;

межсетевой экран Брандмауэр Dr.Web;

Модуль автоматического обновления Dr.Web;

модуль управления SpIDer Agent.

Компоненты антивирусной защиты используют общие вирусныебазы и единые алгоритмы обнаружения вирусов в проверяемыхобъектах. Однако методика выбора объектов для проверкисущественно различается, что позволяет использовать этикомпоненты для организации существенно разных,взаимодополняющих стратегий защиты компьютера.

Так, Сканер Dr.Web проверяет (по команде пользователя илиавтоматически, по расписанию) определенные файлы (все файлы,выбранные логические диски, каталоги и т. д.). При этом поумолчанию проверяется также оперативная память и все файлыавтозапуска. Так как время запуска задания выбираетсяпользователем, можно не опасаться нехватки вычислительныхресурсов для других важных процессов.

Сторож SpIDer Guard постоянно находится в памяти компьютераи перехватывает обращения к объектам файловой системы. Поумолчанию программа проверяет на наличие вирусовоткрываемые файлы на сменных носителях и запускаемые,создаваемые или изменяемые файлы на жестких дисках.Благодаря менее детализированному способу проверки программапрактически не создает помех другим процессам на компьютере,однако, это осуществляется за счет незначительного снижениянадежности обнаружения вирусов.



Достоинством программы является непрерывный, в течение всеговремени работы компьютера, контроль вирусной ситуации. Крометого, некоторые вирусы могут быть обнаружены только сторожемпо специфичным для них действиям.

Почтовый сторож SpIDer Mail также постоянно находится впамяти. Программа перехватывает все обращения почтовыхклиентов вашего компьютера к почтовым серверам по протоколамPOP3/SMTP/IMAP4/NNTP и проверяет входящую (и исходящую)почту до ее приема (или отправки) почтовым клиентом.SpIDer Mail ориентирован на проверку всего текущего почтовоготрафика, проходящего через компьютер, в результате чегопроверка почтовых ящиков становится более эффективной именее ресурсоемкой. В частности, могут отслеживаться попыткимассовой рассылки почтовыми червями своих копий по адреснойкниге пользователя с помощью собственных реализаций почтовыхклиентов, которые могут быть встроены в функциональностьвирусов. Это также позволяет отключить проверку почтовыхфайлов в SpIDer Guard, что значительно снижает потреблениересурсов компьютера.

Персональный межсетевой экран Брандмауэр Dr.Webпредназначен для защиты вашего компьютера отнесанкционированного доступа извне и предотвращения утечкиважных данных по сети. Брандмауэр позволяет вамконтролировать подключение и передачу данных по сетиИнтернет и блокировать подозрительные соединения на уровнепакетов и приложений.

Организация антивирусной защиты

Для организации эффективной антивирусной защиты можнорекомендовать следующую схему использования компонентовDr.Web:

при помощи Сканера Dr.Web произвести сканированиевсей файловой системы компьютера с предусмотренными поумолчанию (максимальными) настройками подробностисканирования;

сохранить настройки SpIDer Guard по умолчанию;



осуществлять полную проверку почты при помощи SpIDerMail;

блокировать все неизвестные соединения с помощью Брандмауэра Dr.Web;

периодически, по мере обновления вирусных баз, повторятьполное сканирование компьютера (не реже раза в неделю);

в случае временного отключения SpIDer Guard, если в этотпериод компьютер подключался к сети Интернет илипроизводилась загрузка файлов со сменного носителя,провести полное сканирование немедленно.

Антивирусная защита может быть эффективной только приусловии своевременного (желательно ежечасного) полученияобновлений вирусных баз и других файлов Dr.Web (см.Автоматическое обновление).

Использование компонентов программы Антивирус Dr.Webподробнее описано в следующих разделах.



3.1. Модуль управления SpIDer Agent

После установки программы Антивирус Dr.Web в область

уведомлений Windows добавляется значок SpIDer Agent .

При наведении курсора мыши на значок появляется всплывающаяподсказка с информацией о запущенных компонентах, а такжедатой последнего обновления антивируса и количеством записей ввирусных базах. Также, в соответствии с настройками, надзначком SpIDer Agent могут появляться различные подсказки-уведомления.

С помощью контекстного меню значка модуля управленияосуществляется запуск и настройка компонентов программыАнтивирус Dr.Web.

Пункт О программе открывает окно с информацией о версияхкомпонентов программы Антивирус Dr.Web, а также о вирусныхбазах.

Пункт Зарегистрировать лицензию запускает процедурурегистрации пользователя для получения ключевого файла ссервера компании «Доктор Веб».



Пункт Мой Dr.Web открывает вашу персональную страницу насайте компании «Доктор Веб». На данной странице вы сможетеполучить информацию о вашей лицензии (срок действия,серийный номер), продлить срок ее действия, задать вопросслужбе поддержки и многое другое.

Пункт Справка открывает файл справки программы АнтивирусDr.Web.

Пункты SpIDer Guard, SpIDer Mail, Брандмауэр, Обновлениеоткрывают доступ к настройкам и управлению соответствующихкомпонентов.

Пункт Сканер запускает Сканер Dr.Web.

Пункт Отключить/Включить Самозащиту позволяетотключить/включить защиту файлов, веток реестра и запущенныхпроцессов Dr.Web от повреждений и удаления.

Отключение самозащиты:

1. В меню SpIDer Agent выберите пункт ОтключитьСамозащиту.

2. Введите код подтверждения.

3. В меню SpIDer Agent пункт Отключить Самозащитузаменится на пункт Включить Самозащиту.

Отключение самозащиты возможно только вАдминистративном режиме. Отключать самозащиту нерекомендуется.

В случае возникновения проблем при использованиипрограмм дефрагментации рекомендуется временноотключить модуль самозащиты.

Пункт Инструменты открывает меню, предоставляющее доступ:

к Менеджеру лицензий (см. раздел Менеджер лицензий);

к настройкам общих параметров работы программыАнтивирус Dr.Web (см. Общие настройки);



к Менеджеру Карантина (см. Менеджер Карантина);

к созданию отчета.

При обращении в службу технической поддержки компании«Доктор Веб» вы можете сформировать отчет о вашейоперационной системе и работе программы Антивирус Dr.Web. Для настройки параметров в открывшемся окненажмите Параметры отчета. Отчет будет сохранен в видеархива в каталоге Doctor Web, расположенном в папкепрофиля пользователя %USERPROFILE%.

Пункт Административный/Пользовательский режимпозволяет переключаться между полнофункциональнымАдминистративным режимом и ограниченнымПользовательским режимом работы с программойАнтивирус Dr.Web. В Пользовательском режиме действуютследующие ограничения: недоступны настройки компонентов,пункт Менеджер лицензий, а также функции отключения всехкомпонентов и самозащиты. Для переключения вАдминистративный режим вам необходимы праваадминистратора.

Данный пункт отображается только при отсутствииадминистративных привилегий. Например, при работе в средеоперационных систем Microsoft Windows 2000 или Windows XP впользовательском режиме, или в среде Windows Vista илиMicrosoft Windows 7 при включенной системе контроля учетнойзаписи UAC. В противном случае данный пункт недоступен иАнтивирус Dr.Web постоянно работает вполнофункциональном режиме.

3.2. Общие настройки

Настройка общих параметров работы программы Антивирус Dr.Web осуществляется в разделах окна Настройки Dr.Web. Чтобы

открыть данное окно, щелкните значок SpIDer Agent вобласти уведомлений Windows и в подменю Инструментывыберите пункт Настройки.



Раздел Настройки

В данном разделе производится выбор языка интерфейсапрограммы Антивирус Dr.Web. Если в выпадающем списке вывыберете язык, который не был установлен, то вам будетпредложено его установить.

Также в этом разделе производится настройка типов подсказок-уведомлений, появляющиеся в виде всплывающего окна над

значком SpIDer Agent в области уведомлений Windows.Компоненты, перечисленные в данной группе, посылаютуведомления в случае срабатывания соответствующей защиты.Также уведомление может появляться при каждом обновлениивирусных баз и в том случае, если сканирование системы непроводилось более 7 дней (флаг Уведомления о проблемахбезопасности).



Раздел Компоненты

В данном разделе вы можете выбрать режим автоматическойзагрузки компонентов программы Антивирус Dr.Web при стартеоперационной системы.

Раздел Обновление



В данном разделе вы можете настроить параметры обновленияпрограммы Антивирус Dr.Web. Вы можете указать, какиекомпоненты необходимо обновлять, а также периодичность, скоторой будут происходить обновления.

Вы можете настроить параметры доступа к сети. Для этого вгруппе Параметры доступа к сети нажмите кнопку Изменить ивыберите один из следующих вариантов:

если для выхода в сеть Интернет прокси-сервер неиспользуется, выберите Прямое подключение;

если вы хотите задать настройки прокси-сервера, выберитепункт Пользовательские настройки и укажитенеобходимые параметры.

Также вы можете установить флаг Вести подробный отчет, длятого чтобы об изменениях сохранялась детальная информация.Отчет записывается в файл dwupdater.log, который находится вкаталоге %allusersprofile%\Application Data\Doctor Web\Logs\ (вWindows 7, %allusersprofile%\Doctor Web\Logs).

Раздел Дополнительно



В данном разделе вы можете настроить параметры самозащиты, атакже запретить некоторые действия, которые могут поставитьпод угрозу безопасность вашего компьютера.

Если при установке важных обновлений от Microsoft или приустановке и работе программ (в том числе программдефрагментации) возникают проблемы, отключитесоответствующие опции в этой группе настроек.

Сертификат «Доктор Веб»

Если вы хотите включить в проверку данные, передаваемые покриптографическому протоколу SSL (например, в SpIDer Mail выможете настроить параметры проверки данных, передаваемыхпо протоколам POP3S, SMTPS, IMAPS), то для работы некоторыхклиентов, которые передают и получают такие данные и при этомне обращаются к хранилищу сертификатов системы Windows,может потребоваться сертификат компании «Доктор Веб».Нажмите кнопку Экспортировать и сохраните сертификат вудобный для вас каталог.

Защита паролем

Вы также можете:

разрешить удаленный доступ к Антивирус Dr.Web навашем компьютере. Задайте пароль, который будетзапрашиваться при удаленном подключении к вашемуантивирусу;

установить пароль для доступа к настройкам Антивирус Dr.Web на вашем компьютере. Задайте пароль, который будетзапрашиваться при обращении к настройкам Антивирус Dr.Web.



3.3. Менеджер лицензий

Менеджер лицензий в доступном виде отображаетинформацию, содержащуюся в имеющихся у вас ключевых файлах программы Антивирус Dr.Web. Чтобы открыть Менеджер

лицензий, щелкните значок SpIDer Agent в областиуведомлений Windows и в подменю Инструменты выберитепункт Менеджер лицензий.

Пункт Менеджер лицензий доступен только вАдминистративном режиме.

В группе Компоненты выделены те компоненты, с которымисогласно лицензии работает Антивирус Dr.Web.

Получение ключевого файла

Для получения ключевого файла с сервера компании «ДокторВеб» нажмите кнопку Получить новую лицензию и ввыпадающем списке выберите через сеть Интернет.Запустится процедура получения ключевого файла.

Для работы программы Антивирус Dr.Web требуется установить



в защищаемой системе ключевой файл.

Установка полученного ключевого файла

1. Нажмите кнопку Получить новую лицензию. Ввыпадающем списке выберите указав путь к файлу надиске.

2. Укажите путь до ключевого файла. Если вы получилиключевой файл в виде ZIP-архива, распаковывать егонеобязательно.

3. Антивирус Dr.Web автоматически начнет использоватьключевой файл.

При получении ключевого файла в процессе установки или вкомплекте дистрибутива установка ключевого файла производитсяавтоматически и никаких дополнительных действий не требует.

Для того чтобы удалить ключевой файл из списка, нажмитекнопку Удалить текущую лицензию. Последний используемыйключ не может быть удален.

При работе программы ключевой файл по умолчанию долженнаходиться в каталоге установки. Антивирус Dr.Webрегулярно проверяет наличие и корректность ключевогофайла. Во избежание порчи ключа не модифицируйтеключевой файл.

При отсутствии действительного ключевого файла(лицензионного или демонстрационного) активность всехкомпонентов блокируется. Единственное разрешенное в такойситуации действие – запуск модуля автоматическогообновления с целью регистрации и получения ключевогофайла.



3.4. Менеджер Карантина

Менеджер Карантина отображает данные о содержимомКарантина Dr.Web, который служит для изоляции файлов,подозрительных на наличие вредоносных объектов. ПапкиКарантина создаются отдельно на каждом логическом диске, гдебыли обнаружены подозрительные файлы. При обнаружениизараженных объектов на съемном носителе, если запись наносителе возможна, на нем создается папка Карантин и в неепереносится зараженный объект.

Чтобы открыть Менеджер Карантина, щелкните значок SpIDer

Agent в области уведомлений Windows и в подменюИнструменты выберите пункт Менеджер Карантина.

В центральной части окна отображается таблица с информацией осостоянии карантина, включающая следующие поля:

Имя – список имен объектов, находящихся в карантине;

Угроза – классификация вредоносной программы,определяемая программой Антивирус Dr.Web приавтоматическом перемещении объекта в карантин;



Путь – полный путь, по которому находился объект доперемещения в карантин.

В нижней части окна карантина отображается подробнаяинформация о выделенных объектах карантина. Вы можетевключить отображение столбцов с подробной информацией обобъекте, аналогичной данным в нижней части окна.

Настройка отображения столбцов

1. Чтобы задать параметры отображения информации втаблице Карантина, щелкните правой кнопки мыши позаголовку таблицы и выберите пункт Настроить колонки.

2. В открывшемся окне установите флажки напротив техпунктов, которые вы хотите включить в таблицу объектов.Чтобы исключить столбцы из таблицы объектов, снимитефлажки напротив соответствующих пунктов. Также выможете выполнить одно из следующих действий:

чтобы установить флажки напротив всех объектовсразу, нажмите кнопку Отметить все;

чтобы снять все флажки, нажмите кнопку Снятьотметки.

3. Для изменения порядка следования столбцов в таблицевыберите соответствующий столбец в списке и нажмите наодну из следующих кнопок:

Вверх – для перемещения столбца ближе к началутаблицы (вверх по списку в настройках и левее втаблице объектов).

Вниз – для перемещения столбца ближе к концутаблицы (вниз по списку в настройках и правее втаблице объектов).

4. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.

Боковая панель слева служит для фильтрации объектовкарантина, которые будут отображены. При нажатии насоответствующий пункт, в центральной части окна будут показанывсе объекты карантина или только заданные группы объектов:файлы, почтовые объекты, веб-страницы или все остальные



объекты, не попадающие в данные категории.

В окне карантина файлы могут видеть только те пользователи,которые имеют права доступа к этим файлам.

В окне карантина доступны следующие кнопки управления:

Добавить – добавить файл в карантин. В открывшемсябраузере по файловой системе выберите нужный файл;

Восстановить – переместить файл из карантина ивосстановить первоначальное местоположение файла накомпьютере (восстановить файл под тем же именем и впапку, в которой он находился до перемещения в карантин).

Используйте данную функцию только в том случае, есливы уверены, что объект безопасен.

В выпадающем меню вы можете выбрать вариантВосстановить в – переместить файл под заданным именем впапку, указанную администратором;

Пересканировать – сканировать файл из карантинаповторно;

Удалить – удалить файл из карантина и из системы.

В контекстном меню в таблице доступны следующие опции:

Отправить файл(ы) в лабораторию «Доктор Веб» –отправить в Антивирусную Лабораторию «ДокторВеб» файл на проверку;

Копировать хэш в буфер обмена – копировать хэшфайла, полученный с помощью алгоритма MD5 или SHA256,в буфер обмена Windows.

Для работы одновременно с несколькими файлами выберитенеобходимые файлы, удерживая клавиши SHIFT или CTRL, затемщелкните правой кнопкой мыши на любой строчке таблицы ивыберите необходимое действие.



Для настройки свойств Карантина нажмите кнопку

Настройки в окне Карантина. Откроется окно Свойствакарантина, в котором вы можете изменять следующиепараметры:

в разделе Задать размер карантина вы можете управлятьобъемом дискового пространства, занимаемого папкойКарантина;

в разделе Вид вы можете установить флаг Показыватьрезервные копии, чтобы отобразить в таблице объектоврезервные копии файлов, находящихся в Карантине.

Резервные копии создаются автоматически при перемещениифайлов в Карантин. Даже при хранении файлов в Карантинебессрочно их резервные копии сохраняются временно.




По умолчанию Сканер Dr.Web производит антивирусноесканирование всех файлов с использованием как вирусных баз,так и эвристического анализатора (алгоритма, позволяющего сбольшой вероятностью обнаруживать неизвестные программевирусы на основе общих принципов их создания). Исполняемыефайлы, упакованные специальными упаковщиками, при проверкераспаковываются. Проверяются файлы в архивах всех основныхраспространенных типов (ACE, ALZIP, AR, ARJ, BGA, 7-ZIP, BZIP2,CAB, GZIP, DZ, HA, HKI, LHA, RAR, TAR, ZIP и др.), файловыхконтейнерах (1C, CHM, MSI, RTF, ISO, CPIO, DEB, RPM и др.), атакже файлы в составе писем в почтовых ящиках почтовыхпрограмм (формат писем должен соответствовать RFC822).



4.1. Проверка компьютера

Сканер устанавливается как обычное приложение Windows изапускается по команде пользователя.

Запуск Сканера

Рекомендуется запускать Сканер от имени пользователя,обладающего правами администратора. В противном случае тефайлы и папки, к которым непривилегированный пользовательне имеет доступа (в том числе и системные папки), не будутподвергнуты проверке.

1. Для запуска Сканера используйте одно из следующихсредств:

значок Сканера на Рабочем столе;

пункт Сканер контекстного меню значка SpIDer

Agent в области уведомлений Windows;

пункт меню Сканер Dr.Web в папке Dr.Web Главногоменю Windows (открывается по кнопке Пуск);

специальную команду операционной системы Windows(подробнее см. п. Запуск Сканера из командной строки).

Чтобы запустить Сканер с настройками по умолчанию дляпроверки конкретного файла или каталога, воспользуйтесьодним из следующих способов:

выберите в контекстном меню значка файла иликаталога (на Рабочем столе или в Проводникеоперационной системы Windows) пункт ПроверитьDr.Web;

перетащите значок файла или каталога на значок илиоткрытое главное окно Сканера.

2. После запуска Сканера открывается его главное окно.

Если вы запускаете Сканер на проверку файла иликаталога, то после этого немедленно начинаетсясканирование заданного объекта.



3. На выбор предоставляется три возможных режимапроверки: Быстрая, Полная и Выборочная.

Во время быстрой проверки проверяются:

оперативная память;

загрузочные секторы всех дисков;

объекты автозапуска;

корневой каталог загрузочного диска;

корневой каталог диска установки Windows;

системный каталог Windows;

папка Мои Документы;

временный каталог системы;

временный каталог пользователя;

наличие руткитов (если процесс проверки запущен отимени администратора).

В режиме полной проверки производится полноесканирование оперативной памяти и всех жестких дисков(включая загрузочные секторы), а также осуществляетсяпроверка на наличие руткитов.



В режиме выборочной проверки пользователюпредоставляет возможность выбирать любые файлы и папкидля антивирусной проверки.

4. При выборе выборочного режима в окне Сканера Dr.Web втаблице задаются объекты для проверки: любые файлы ипапки, а также такие объекты, как оперативная память,объекты автозапуска, загрузочные секторы и т.п.). Для началапроверки выбранных объектов нажмите кнопку Запуститьпроверку. В случае полной или быстрой проверки выбиратьобъекты не требуется.

6. После начала сканирования в правой части окна становятсядоступными кнопки Пауза и Стоп. На любом этапепроверки вы можете сделать следующее:

чтобы приостановить проверку, нажмите кнопкуПауза. Для того чтобы возобновить проверку послепаузы, снова нажмите кнопку Старт;

чтобы полностью остановить проверку, нажмитекнопку Стоп.



Кнопка Пауза активна только при проверкефайлов, объектов автозапуска, точеквосстановления системы, а также при проверкена наличие руткитов. В остальных случаях кнопкаПауза недоступна.



4.2. Действия при обнаружениивирусов

По умолчанию Сканер лишь информирует пользователя обо всехзараженных и подозрительных объектах.

Вы можете обезвредить все обнаруженные угрозы одновременно.Для этого нажмите кнопку Обезвредить – Сканер применитоптимальные действия по умолчанию для всех обнаруженныхугроз.

При необходимости вы можете применить действия для каждойугрозы в отдельности. Вы можете восстановить функциональностьзараженного объекта (вылечить его), а при невозможности –устранить исходящую от него угрозу (удалить объект).



Выбор действия

1. В поле Действие в выпадающем списке выберитенеобходимое действие для каждого объекта (по умолчанию Сканер Dr.Web предлагает оптимальное значение).

2. Нажмите кнопку Обезвредить. Сканер Dr.Webобезвредит все обнаруженные угрозы одновременно.

Подозрительные файлы, перемещенные в Карантин,рекомендуется передавать для дальнейшего анализа вантивирусную лабораторию «Доктор Веб», используяпункт Отправить файл(ы) в лабораторию «Доктор Веб»в контекстном меню Карантина.

Существуют следующие ограничения:

лечение подозрительных объектов невозможно;

перемещение, переименование или удаление объектов, неявляющихся файлами (например, загрузочных секторов),невозможно;

любые действия для отдельных файлов внутри архивов,контейнеров или в составе писем невозможны – действие втаких случаях применяется только ко всему объектуцеликом.

Подробный отчет о работе программы сохраняется в виде файлаотчета dwscanner.log, который находится в каталоге %allusersprofile%\Application Data\Doctor Web\Logs\ (в Windows 7, %allusersprofile%\Doctor Web\Logs\).



4.3. Настройка Сканера

Изменение настроек программы

1. Чтобы вызвать Настройки Сканера, щелкните на панели

инструментов иконку Настройки .

Откроется окно настроек, содержащее несколько вкладок.

2. Внесите необходимые изменения.

3. Для более подробной информации о настройках,задаваемых на каждой вкладке, воспользуйтесь кнопкойСправка.

4. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.

Вкладка Основные

На этой вкладке задаются основные параметры работы СканераDr.Web.

Вы можете включить звуковое сопровождение событий, а такжеуказать Сканеру Dr.Web автоматически применять действия кугрозам и настроить взаимодействие программы с операционнойсистемой.

Рекомендуется запускать Сканер от имени пользователя,обладающего правами администратора. В противном случае тефайлы и папки, к которым непривилегированный пользователь неимеет доступа (в том числе и системные папки), не будутподвергнуты проверке. Для этого установите флажок Запускатьпроцесс проверки от имени администратора.



Настройка обезвреживания угроз

1. Перейдите в окне настроек на вкладку Действия.



2. Выберите в выпадающем списке Инфицированныереакцию Сканера на обнаружение инфицированногообъекта.

Оптимальным является значение Лечить.

3. Выберите в выпадающем списке Неизлечимые реакциюСканера на обнаружение неизлечимого объекта. Этодействие аналогично рассмотренному в предыдущемпункте, с той разницей, что вариант Лечить отсутствует.

В большинстве случаев оптимальным является вариантПеремещать в карантин.

4. Выберите в выпадающем списке Подозрительныереакцию Сканера на обнаружение подозрительногообъекта (полностью аналогично предыдущему пункту).

5. Аналогично настраивается реакция Сканера наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.

6. Аналогично настраиваются автоматические действияСканера при обнаружении вирусов или подозрительногокода в файловых архивах, контейнерах и почтовых ящиках.Действия по отношению к вышеуказанным объектамвыполняются над всем объектом, а не только надзараженной его частью. По умолчанию во всех этихслучаях предусмотрено информирование.

7. Для успешного завершения лечения некоторых зараженных(инфицированных) файлов требуется перезагрузкаоперационной системы. Вы можете выбрать один извариантов:

Перезагружать компьютер автоматически. Этотрежим может привести к потере несохраненныхданных;

Предлагать перезагрузку.



Вкладка Отчет

На этой вкладке вы можете настроить параметры ведения файлаотчета.

Большинство параметров, заданных по умолчанию, следуетсохранить, однако по мере накопления опыта работы с отчетом выможете изменить степень детальности протоколирования событий(в отчет всегда включаются сведения о зараженных иподозрительных объектах; сведения о проверке упакованныхфайлов и архивов и сведения об успешной проверке остальныхфайлов по умолчанию не включаются).



4.4. Запуск Сканера из команднойстроки

Вы можете запускать Сканер Dr.Web в режиме команднойстроки. Такой способ позволяет задать настройки текущего сеансасканирования и перечень сканируемых объектов в качествепараметров вызова.

Запуск Сканера из командной строки

Чтобы запустить Сканер с дополнительными параметрамикомандной строки, воспользуйтесь следующей командой:

[<путь_к_программе>]dwscanner [<объекты>] [<ключи>],где

<объекты> – список объектов для проверки;

<ключи> – это параметры командной строки, которыезадают настройки работы Сканера. При их отсутствиипроверка выполняется с ранее сохраненныминастройками (или настройками по умолчанию, если выне меняли их).

Список объектов для проверки может быть пуст или содержатьнесколько элементов, разделенных пробелами. Наиболеераспространенными являются следующие объекты проверки:

/LITE – произвести стартовую проверку системы, при

которой проверяются оперативная память, загрузочныесекторы всех дисков и объекты автозапуска, а такжепровести проверку на наличие руткитов.

/FAST – произвести быструю проверку системы;

/FULL – произвести полную проверку всех жестких дисков

и сменных носителей (включая загрузочные секторы).



4.5. Консольный сканер

Также в состав программы Антивирус Dr.Web входитКонсольный сканер, который позволяет проводить проверку врежиме командной строки, а также предоставляет большиевозможности настройки.

Файлы, подозрительные на наличие вредоносных объектов,Консольный сканер помещает в Карантин.

Запуск Консольного сканера

Чтобы запустить Консольный сканер, воспользуйтесьследующей командой:

[<путь_к_программе>]dwscancl [<ключи>][<объекты>],где

<объекты> – список объектов для проверки;

<ключи> – список параметров командной строки,которые задают настройки работы Консольногосканера.

Список объектов для проверки может быть пуст или содержатьнесколько элементов, разделенных пробелами.

Все ключи командной строки начинается с символа «/» иразделяются пробелами. Список ключей Консольного сканерасодержится в Приложении А.

После выполнения Консольный сканер возвращает один изследующих кодов:

0 – сканирование успешно завершено, инфицированныеобъекты не найдены;

1 – сканирование успешно завершено, найденыинфицированные объекты;

10 – указаны некорректные ключи;

11 – ключевой файл не найден либо не поддерживаетКонсольный сканер;



12 – не запущен Scanning Engine;

255 – сканирование прервано пользователем.


705. SpIDer Guard

5. SpIDer Guard

SpIDer Guard – это антивирусный сторож, который постояннонаходится в оперативной памяти, осуществляя проверку файлов ипамяти «на лету», а также обнаруживая проявления вируснойактивности.

При настройках по умолчанию сторож «на лету» проверяет нажестком диске – только создаваемые или изменяемые файлы, насменных носителях – все открываемые файлы. Кроме того, сторожпостоянно отслеживает действия запущенных процессов,характерные для вирусов, и при их обнаружении блокирует этипроцессы. При обнаружении зараженных объектов cторож SpIDerGuard применяет к ним действия согласно установленнымнастройкам.

Соответствующим изменением настроек вы можете задатьавтоматическую реакцию сторожа SpIDer Guard на вирусныесобытия. Вы сможете следить за ней с помощью окна статистики ифайла отчета.

По умолчанию SpIDer Guard запускается автоматически прикаждой загрузке операционной системы, при этом запущенныйсторож SpIDer Guard не может быть выгружен в течениетекущего сеанса работы операционной системы. Принеобходимости можно на некоторое время приостановить работусторожа (например, при выполнении критически чувствительногок загрузке процессора задания в реальном масштабе времени).


715. SpIDer Guard

5.1. Управление SpIDer Guard

Основные средства настройки и управления сторожем SpIDerGuard находятся в подменю SpIDer Guard, которое открывается

по щелчку на значке SpIDer Agent в области уведомленийWindows.

При выборе пункта Статистика открывается окно, содержащеесведения о работе сторожа в течение текущего сеанса (количествопроверенных, зараженных и подозрительных объектов,предпринятые действия и др.).

При выборе пункта пункта Настройки открывается окно настроексторожа (см. Настройка SpIDer Guard).

Пункт Отключить/Включить позволяет приостановить/включить SpIDer Guard (доступно только пользователю,имеющему права администратора данного компьютера).


725. SpIDer Guard

При отключении SpIDer Guard запрашивается кодподтверждения.

Пункты Настройки, Отключить/Запустить доступны тольков Административном режиме.


735. SpIDer Guard

5.2. Настройка SpIDer Guard

Основные параметры работы сторожа SpIDer Guardсосредоточены в разделах окна Настройки SpIDer Guard.

Изменение настроек сторожа

1. Щелкните значок SpIDer Agent в области уведомленийWindows и выберите в подменю SpIDer Guard пунктНастройки.

2. Внесите необходимые изменения в разделах настроек.

3. Чтобы получить информацию о настройках,

расположенных в разделе, нажмите кнопку Справка .

4. По окончании редактирования настроек:

чтобы сохранить изменения, нажмите кнопку ОК;

чтобы отказаться от внесенных изменений, нажмитекнопку Отмена.

Раздел Проверка

По умолчанию установлен режим проверки Оптимальный:сканирование на жестких дисках – только запускаемых,создаваемых или изменяемых файлов, на сменных носителях –всех открываемых файлов.

В оптимальном режиме SpIDer Guard не определяеттестовый файл EICAR как вредоносную программу, так как онявляется DOS-приложением и не представляет угрозы длякомпьютера.

В режиме Параноидальный производится проверка всехоткрываемых, создаваемых или изменяемых файлов на жесткихдисках, сменных носителях и сетевых дисках.

Флажок Использовать эвристический анализ включает режимэвристического анализатора (режим поиска неизвестных вирусов


745. SpIDer Guard

на основании анализа структуры файла).

Группа настроек Дополнительные возможности позволяетзадать параметры проверки «на лету», которые будут применятьсявне зависимости от выбранного режима работы сторожа SpIDerGuard. Также вы можете запретить автоматический запускактивного содержимого внешних носителей данных (CD/DVDдисков, флеш-памяти и т.д.), установив флажок Блокироватьавтозапуск со сменных носителей. Использование этойнастройки помогает предотвратить заражение вашего компьютерачерез внешние носители.

В случае возникновения проблем при установке программ,обращающихся к файлу autorun.inf, рекомендуется временноснять флажок Блокировать автозапуск со сменныхносителей.

Здесь вы можете задать проверку:

файлов запускаемых процессов вне зависимости от ихрасположения;

установочных файлов;

файлов на сетевых дисках;


755. SpIDer Guard

файлов и загрузочных секторов на съемных носителях.

Некоторые внешние накопители (в частности, мобильныевинчестеры с интерфейсом USB) могут представляться в системекак жесткие диски. Поэтому такие устройства следуетиспользовать с особой осторожностью, проверяя на вирусы приподключении к компьютеру с помощью антивирусного Сканера.

Отказ от проверки архивов в условиях постоянной работысторожа не ведет к проникновению вирусов на компьютер, алишь откладывает момент их обнаружения. При распаковкезараженного архива (открытии зараженного письма) будетсделана попытка записать инфицированный объект на диск, приэтом сторож его неминуемо обнаружит.

Задание исключений

В разделе Исключения задается список каталогов и файлов,исключаемых из проверки.

В поле Список исключаемых путей и файлов приводитсясписок каталогов и файлов, которые не проверяются сторожемSpIDer Guard. В таком качестве могут выступать каталогикарантина, рабочие каталоги некоторых программ, временныефайлы (файлы подкачки) и т. п.

По умолчанию список пуст. Вы можете добавить к исключениямконкретные каталоги и файлы или использовать маски, чтобызапретить проверку определенной группы файлов.

Вы можете формировать список исключений следующим образом:

чтобы указать конкретный существующий каталог или файл,нажмите кнопку Обзор и выберите каталог или файл встандартном окне открытия файла. Вы также можетевручную ввести полный путь к файлу или каталогу в полеввода;

чтобы исключить из проверки все файлы или каталоги сопределенным именем, введите это имя в поле ввода.


765. SpIDer Guard

Указывать путь к каталогу или файлу при этом не требуется;

чтобы исключить из проверки файлы или каталогиопределенного вида, введите определяющую их маску вполе ввода. Маска задает общую часть имени объекта. Приэтом:

символ «*» заменяет любую, возможно пустуюпоследовательность символов;

символ «?» заменяет любой, но только один символ;

остальные символы маски ничего не заменяют иозначают, что на данном месте в имени файла иликаталога должен находиться именно этот символ.

Пример:

отчет*.doc – маска, задающая все документы MicrosoftWord, название которых начинается с подстроки«отчет», например, файлы отчет-февраль.doc,отчет121209.doc и т.д.;

*.exe – маска, задающая все исполняемые файлы cрасширением EXE, например, setup.exe, iTunes.exe и т.д.;

photo????09.jpg – маска, задающая все файлыизображений формата JPG, название которыхначинается с подстроки «photo» и заканчиваетсяподстрокой «09», при этом между двумя этимиподстроками в названии файла стоит ровно четырепроизвольных символа, например, photo121209.jpg,photoмама09.jpg или photo----09.jpg.

Кнопка Добавить позволяет добавить к списку исключение,указанное в поле ввода.

Кнопка Удалить позволяет удалить из списка выбранноеисключение.


775. SpIDer Guard

Настройка действий

В разделе Действия вы можете настроить автоматическиедействия сторожа с зараженными объектами.

Состав доступных реакций зависит от типа вирусного события.

Реакции Лечить, Перемещать в карантин, Игнорировать иУдалить аналогичны таким же реакциям Сканера. Действия собнаруженными угрозами рассмотрены в п.Действия при обнаружении вирусов.


1. В окне Настройки SpIDer Guard выберите разделДействия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта. Рекомендуется установитьдействие Лечить.

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимогообъекта. Рекомендуется установить действие Перемещать


785. SpIDer Guard

в карантин.

4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружениеподозрительного объекта. Рекомендуется установитьдействие Игнорировать или Перемещать в карантин.

5. Выберите в выпадающих списках Рекламные программыи Программы дозвона реакцию программы наобнаружение подозрительного объекта. Рекомендуетсяустановить действие Перемещать в карантин.

6. Аналогично настраивается реакция программы наобнаружение объектов, содержащих программы-шутки,потенциально опасные программы и программы взлома.Рекомендуется установить действие Игнорировать.

7. Нажмите кнопку ОК.

Раздел Отчет

В этом разделе вы можете задать одну из следующих степенейдетальности ведения отчета:

Стандартный – в данном режиме в отчете фиксируютсятолько наиболее значимые события, такие как проведениеобновлений, запуск и остановка сторожа SpIDer Guard ивирусные события. Данный режим ведения отчета подходитдля большинства применений;

Расширенный – в данном режиме в отчете помимо общихсобытий фиксируются данные о проверяемых файлах,именах упаковщиков и содержимом проверяемых составныхобъектов (архивов, файлов электронной почты илифайловых контейнеров);

Отладочный – в данном режиме в отчете фиксируетсямаксимальное количество информации о работе сторожаSpIDer Guard, что может привести к значительномуувеличению файла отчета.

Отчет сторожа SpIDer Guard хранится в файле spiderg3.log,расположенном в каталоге %allusersprofile%\ApplicationData\Doctor Web\Logs\ (в Windows 7, %allusersprofile%\DoctorWeb\Logs).


796. SpIDer Mail

6. SpIDer Mail

Почтовый сторож SpIDer Mail перехватывает обращения любыхпочтовых клиентов компьютера к почтовым серверам попротоколам POP3/SMTP/IMAP4/NNTP (под IMAP4 имеется в видуIMAPv4rev1), обнаруживает и обезвреживает почтовые вирусы дополучения писем почтовым клиентом с сервера или до отправкиписьма на почтовый сервер.

При настройках по умолчанию SpIDer Mail автоматическиперехватывает все обращения любых почтовых программ вашегокомпьютера к POP3-серверам по порту 110, к SMTP-серверам по25, к IMAP4-серверам по порту 143 и к NNTP-серверам по порту119.

Настройки программы по умолчанию являются оптимальными дляначинающего пользователя, обеспечивая максимальный уровеньзащиты при наименьшем вмешательстве пользователя. При этом,однако, блокируется ряд возможностей почтовых программ(например, направление письма по многим адресам может бытьвоспринято как рассылка, полученный спам не распознается), атакже утрачивается возможность получения полезнойинформации из автоматически уничтоженных писем (изнезараженной текстовой части). Более опытные пользователимогут изменить параметры сканирования почты и настройкиреакции программы на события.

В ряде случаев автоматический перехват POP3-, SMTP-, IMAP4- иNNTP-соединений невозможен; в таком случае программапредоставляет возможность настроить перехват соединенийвручную.

SpIDer Mail постоянно находится в оперативной памятикомпьютера и по умолчанию запускается при загрузкеоперационной системы автоматически. Вы можете изменитьрежим автоматического запуска в общих настройках работыпрограммы Антивирус Dr.Web или на некоторое времяприостановить работу почтового сторожа.


806. SpIDer Mail

Принцип работы почтового сторожа

Антивирусный почтовый сторож получает все входящие письмавместо почтового клиента и подвергает их антивирусномусканированию с максимальной степенью подробности. Приотсутствии вирусов или подозрительных объектов письмапередаются почтовой программе «прозрачным» образом – так, какесли бы они поступили непосредственно с сервера. Аналогичнопроверяются исходящие письма до отправки на сервер.

Реакция программы на инфицированные и подозрительныевходящие письма, а также письма, не прошедшие проверку(например, с чрезмерно сложной структурой), по умолчаниюследующая (об изменении этих настроек см. п.Настройка SpIDer Mail):

из зараженных писем удаляется вредоносная информация(лечение);

письма с подозрительными объектами перемещаются в видеотдельных файлов в карантин, почтовой программепосылается сообщение об этом;

письма, не прошедшие проверку, пропускаются, как инезараженные;

все удаленные или перемещенные письма также удаляютсяс POP3- или IMAP4-сервера.

Инфицированные или подозрительные исходящие письма непередаются на сервер, пользователь оповещается об отказеотправить письмо (как правило, почтовая программа при этом егосохранит).

При наличии на компьютере неизвестного вируса,распространяющегося через электронную почту, программа можетопределять признаки типичного для таких вирусов «поведения»(массовые рассылки). По умолчанию эта возможность включена.

Сканер Dr.Web также может обнаруживать вирусы в почтовыхящиках некоторых форматов, однако почтовый сторож SpIDerMail имеет перед Сканером ряд преимуществ:


816. SpIDer Mail

далеко не все форматы почтовых ящиков популярныхпрограмм поддерживаются Сканером; напротив, прииспользовании почтового сторожа зараженные письма дажене попадают в почтовые ящики;

Сканер проверяет почтовые ящики, но только по запросупользователя или по расписанию, а не в момент полученияпочты, причем данное действие является чрезвычайноресурсоемким и занимает значительное время.

Таким образом, при настройках всех компонентов по умолчаниюпочтовый сторож SpIDer Mail первым обнаруживает и недопускает на компьютер вирусы и подозрительные объекты,распространяющиеся по электронной почте. Его работа являетсявесьма экономичной с точки зрения расхода вычислительныхресурсов; остальные компоненты могут не использоваться дляпроверки почтовых файлов.


826. SpIDer Mail

6.1. Управление SpIDer Mail

Основные средства настройки и управления почтовым сторожемSpIDer Mail находятся в подменю SpIDer Mail, которое

открывается по щелчку на значке SpIDer Agent в областиуведомлений Windows.

При выборе пункта Статистика открывается окно с информациейо работе программы в текущем сеансе (количество проверенных,зараженных, подозрительных объектов и предпринятые действия).

При выборе пункта Настройки открывается окно настроекпочтового сторожа (см. Настройка SpIDer Mail).

Пункт Отключить/Включить позволяет запустить/остановитьработу SpIDer Mail.

Пункт Настройки доступен только в Административном режиме.


836. SpIDer Mail

6.2. Настройка SpIDer Mail

Основные параметры работы почтового сторожа SpIDer Mailсосредоточены в разделах окна Настройки SpIDer Mail (см.ниже). Большинство настроек по умолчанию являютсяоптимальными в большинстве случаев. Ниже описываютсяпараметры, для которых чаще всего возникает необходимость внастройках, отличных от заданных по умолчанию.


1. Щелкните значок SpIDer Agent в области уведомленийWindows и выберите в подменю SpIDer Mail пунктНастройки.

2. Внесите необходимые изменения в разделах настроек.

3. Чтобы получить информацию о настройках,

расположенных в разделе, нажмите кнопку Справка .

4. По окончании редактирования настроек:

чтобы сохранить изменения, нажмите кнопку ОК;


846. SpIDer Mail

чтобы отказаться от внесенных изменений, нажмитекнопку Отмена.

Настройка действий над сообщениями приобнаружении угрозы

Вы можете настроить реакцию программы в разделе Действия.

Реакция программы для каждого типа угрозы выбирается ввыпадающих списках. Рекомендуется установить следующиедействия:

для Инфицированных писем – действие Лечить;

для Неизлечимых сообщений и Подозрительных –действие Перемещать в карантин;

для Непроверенных и Поврежденных писем – действиеИгнорировать;

для рекламных программ и программ дозвона – действиеПеремещать в карантин;

для программ-шуток, программ взлома и потенциальноопасных программ – действие Игнорировать.

Защиту от подозрительных писем можно отключать только втом случае, когда компьютер дополнительно защищенпостоянно загруженным сторожем SpIDer Guard.

Вы можете увеличить надежность антивирусной защиты посравнению с уровнем, предусмотренным по умолчанию, выбрав всписке Непроверенные письма пункт Перемещатьв карантин. Файлы с перемещенными письмами в этом случаерекомендуется проверить Сканером.

Опытные пользователи могут также отказаться от режима, вкотором удаленные или перемещенные программой письма такженемедленно удаляются на POP3/IMAP4-сервере, удаляя такиеписьма вручную или с использованием более гибких настроекпочтовой программы. Для этого снимите флаг Удалятьмодифицированные письма на сервере в дополнительныхнастройках.


856. SpIDer Mail

Для доступа к дополнительным настройкам сканирования нажмитекнопку Дополнительно.

В открывшемся диалоговом окне вы можете настроитьособенности проверки, действия над письмом, а такжеоптимизацию сканирования:

Таймаут проверки письма - максимальное время, втечение которого письмо проверяется. По истеченииуказанного времени проверка письма прекращается;

Максимальную длину файла при распаковке. Еслипрограмма определяет, что после распаковки архив будетбольше указанной длины, проверка и распаковкапроизводиться не будет;

Максимальный коэффициент сжатия архива. Еслипрограмма определяет, что коэффициент сжатия архивапревышает указанный, распаковка и проверкапроизводиться не будут;

Максимальный уровень вложенности в архив. Еслиуровень вложенности в архив превышает указанный,проверка будет производиться только до указанного уровнявложенности.


866. SpIDer Mail

Раздел Перехват

По умолчанию сторож автоматически перехватывает почтовыйтрафик всех пользовательских приложений на вашем компьютере.Отключить проверку почтового трафика некоторых программ выможете в разделе Исключения. Для этого добавьте необходимоеприложение в список исключений.

Управление перехватом соединений с почтовыми серверамисосредоточено в разделе Перехват.

По умолчанию перехват производится автоматически. Списокперехватываемых адресов находится в дополнительном окне, дляоткрытия которого нажмите кнопку Настройка соединения.


876. SpIDer Mail

По умолчанию список автоматически перехватываемых обращенийвключает все IP-адреса (задано при помощи символа *) и

порты 143 (стандартный для IMAP4-протокола), 119 (стандартныйдля NNTP-протокола), 110 (стандартный для POP3-протокола) и 25(стандартный для SMTP-протокола).

Для того чтобы удалить какой-либо элемент из списка, выберитеего в списке и нажмите кнопку Удалить.

Для того чтобы добавить какой-либо сервер или группу серверов всписок, введите его адрес (доменное имя или IP-адрес) в полеАдрес, а номер порта, к которому происходит обращение, в полеПорт, и нажмите кнопку Добавить.

Адрес localhost не перехватывается при указании символа

*. Данный адрес при необходимости следует указывать в

списке перехвата в явном виде.

Настройка перехвата вручную

1. В приведенном выше окне выбора способа перехвата (см.выше) выберите вариант Ручная настройка соединенийи нажмите кнопку Настройки соединения. Откроетсяокно настройки соединений в ручном режиме.


886. SpIDer Mail

2. Составьте список ресурсов (POP3/SMTP/IMAP4/NNTP-серверов), обращения к которым предполагаетсяперехватывать. Перенумеруйте их без пропусков, начиная счисла 7000. Эти номера далее будут именоваться портамиSpIDer Mail.

3. Для каждого из ресурсов введите в поле Порт SpIDer Mailприсвоенный ему номер, в поле Адрес сервера – доменноеимя сервера либо его IP-адрес, в поле Порт сервера –номер порта, к которому происходит обращение, и нажмитекнопку Добавить.

4. Повторите эти действия для каждого ресурса.

5. Нажмите кнопку ОК.

В настройках почтового клиента вместо адреса и порта POP3/SMTP/IMAP4/NNTP-сервера укажите адрес localhost:<порт_SpIDer_Mail>, где <порт_SpIDer_Mail> – порт,назначенный соответствующему POP3/SMTP/IMAP4/NNTP-серверу.

Безопасные соединения

Вы можете включить в проверку данные, передаваемые побезопасным протоколам POP3S, SMTPS, IMAPS. Для этогоустановите флажок Проверять зашифрованный трафик(POP3S/SMTPS/IMAPS) в разделе Безопасные соединения.Если клиент, который получает и передает такие данные, необращается к хранилищу сертификатов системы Windows, тонеобходимо будет экспортировать сертификат.


896. SpIDer Mail

Раздел Отчет

Вы можете задать одну из следующих степеней детальностиведения отчета:

Стандартный – в данном режиме в отчете фиксируютсятолько наиболее значимые события, такие как проведениеобновлений, запуск и останов почтового сторожа SpIDerMail и вирусные события. Данный режим ведения отчетаподходит для большинства применений;

Расширенный – в данном режиме в отчете помимо общихсобытий фиксируются параметры перехвата соединений, атакже данные о проверяемых файлах, именах упаковщиков исодержимом проверяемых архивов;

Отладочный – в данном режиме в отчете фиксируетсямаксимальное количество информации о работе сторожаSpIDer Mail, что может привести к значительномуувеличению файла отчета и снизить производительностьработы операционной системы.

Отчет почтового сторожа SpIDer Mail записывается в файлnetfilter.log, который находится в каталоге %allusersprofile%\Application Data\Doctor Web\Logs\ (в Windows 7, %allusersprofile%\Doctor Web\Logs\).




Основные функции компонента

Подключаемый модуль Dr.Web для Outlook выполняетследующие функции:

антивирусная проверка вложенных файлов почтовыхсообщений;

проверка почты, поступающей по зашифрованномусоединению SSL;

обнаружение и нейтрализация вредоносного программногообеспечения;

использование эвристического анализатора длядополнительной защиты от неизвестных вирусов.

7.1. Настройка Dr.Web для Outlook

Настройка параметров и просмотр статистики работы программыосуществляется в почтовом приложении Microsoft Outlook вразделе Сервис Параметры вкладка Антивирус Dr.Web(для Microsoft Outlook 2010 в разделе Файл Параметры Надстройки необходимо выбрать модуль Dr.Web для Outlook инажать кнопку Параметры Надстройки).

Вкладка Антивирус Dr.Web в настройках приложенияMicrosoft Outlook доступна только при наличии у пользователяправ, позволяющих изменять данные настройки.



На вкладке Антивирус Dr.Web отображается текущее состояниезащиты (включена/выключена). Кроме того, она предоставляетдоступ к следующим функциям программы:

Журнал – позволяет настроить регистрацию событийпрограммы;

Проверка вложений – позволяет настроить проверкуэлектронной почты и определить действия программы дляобнаруженных вредоносных объектов;

Статистика – показывает данные об объектах, проверенныхи обработанных программой.



7.2. Обнаружение угроз

Dr.Web для Outlook использует различные методы обнаружениявирусов и других угроз безопасности компьютера. К найденнымвредоносным объектам применяются определяемыепользователем действия: лечение инфицированных объектов,удаление или перемещение в Карантин для их изоляции ибезопасного хранения.

7.2.1. Вредоносные объекты

Dr.Web для Outlook обнаруживает следующие вредоносныеобъекты:

инфицированные объекты;

файлы-бомбы или архивы-бомбы;

рекламные программы;

программы взлома;

программы дозвона;

программы-шутки;

потенциально опасные программы;

шпионские программы;

троянские программы;

компьютерные черви и вирусы.



7.2.2. Действия

Dr.Web для Outlook позволяет задать реакцию программы наобнаружение зараженных или подозрительных файлов ивредоносных программ при проверке вложений электроннойпочты.

Чтобы настроить проверку вложений и определить действияпрограммы для обнаруженных вредоносных объектов, в почтовомприложении Microsoft Outlook в разделе Сервис Параметры вкладка Антивирус Dr.Web нажмите кнопку Проверкавложений (для Microsoft Outlook 2010 в разделе Файл Параметры Надстройки необходимо выбрать модуль Dr.Webдля Outlook и нажать кнопку Параметры Надстройки).



Окно Проверка вложений доступно только при наличии упользователя прав администратора системы.

Для ОС Windows Vista и старше при нажатии кнопки Проверкавложений:

При включенном UAC: администратору будет выданзапрос на подтверждение действий программы,пользователю без административных прав будет выданзапрос на ввод учетных данных администраторасистемы;

При выключенном UAC: администратор сможет изменятьнастройки программы, пользователь не сможет получитьдоступ к изменению настроек.

В окне Проверка вложений вы можете задать действияпрограммы для различных категорий проверяемых объектов, атакже для случая, когда при проверке возникли ошибки. Крометого, вы можете включить или выключить проверку архивов.

Для задания действий над обнаруженными вредоноснымиобъектами служат следующие настройки:

Выпадающий список Инфицированные задает реакцию наобнаружение объектов, зараженных известными и(предположительно) излечимыми вирусами;

Выпадающий список Невылеченные задает реакцию наобнаружение объектов, зараженных известным неизлечимымвирусом, а также когда предпринятая попытка излечения непринесла успеха.

Выпадающий список Подозрительные задает реакцию наобнаружение объектов, предположительно зараженныхвирусом (срабатывание эвристического анализатора).

Раздел Вредоносные программы задает реакцию наобнаружение следующего нежелательного ПО:

рекламные программы;

программы дозвона;

программы шутки;



программы взлома;

потенциально опасные.

Выпадающий список При ошибке проверки позволяетнастроить действия программы в случае, если проверкавложения невозможна, например, если оно представляетсобой поврежденный или защищенный паролем файл.

Флаг Проверка архивов позволяет включить илиотключить проверку вложенных файлов, представляющихсобой архивы. Установите данный флаг для включенияпроверки, снимите - для отключения.

Состав доступных реакций зависит от типа вирусного события.

Предусмотрены следующие действия над обнаруженнымиобъектами:

Вылечить (действие доступно только для инфицированныхобъектов) – означает, что программа предпримет попыткувылечить инфицированный объект;

Как для невылеченных (действие доступно только дляинфицированных объектов) – означает, что кинфицированному вложению будет применено действие,выбранное для невылеченных объектов;

Удалить – означает, что объект будет удален;

Переместить в карантин – означает, что объект будетизолирован в каталоге Карантина;

Пропустить – означает, что объект будет пропущен безизменений.


Dr.Web для Outlook регистрирует ошибки и происходящиесобытия в следующих журналах регистрации:

журнал регистрации событий операционной системы (EventLog);

текстовый журнал отладки.



7.4.1. Журнал операционной системы

В журнал регистрации событий операционной системы (Event Log)заносится следующая информация:

сообщения о запуске и остановке программы;

параметры лицензионного ключевого файла:действительность или недействительность лицензии, срокдействия лицензии (информация заносится при запускепрограммы, в процессе ее работы и при заменелицензионного ключевого файла);

параметры модулей программы: сканера, ядра, вирусных баз(информация заносится при запуске программы и приобновлении модулей);

сообщение о недействительности лицензии: отсутствиеключевого файла, отсутствие в ключевом файле разрешенияна использование модулей программы, лицензиязаблокирована, нарушение целостности ключевого файла(информация заносится при запуске программы и в процессеее работы);

сообщения об обнаружении вирусов;

уведомления о завершении срока действия лицензии(информация заносится за 30, 15, 7, 3, 2 и 1 дней доокончания срока).

Просмотр журнала регистрации событийоперационной системы

1. Откройте Панель управления операционной системы.

2. Выберите раздел Администрирование ПросмотрСобытий.

3. В левой части окна Просмотр Событий выберите пунктПриложение. Откроется список событий,зарегистрированных в журнале пользовательскимиприложениями. Источником сообщений Dr.Web дляOutlook является приложение Dr.Web for Outlook.



7.4.2. Текстовый журнал отладки

В текстовый журнал отладки заносится следующая информация:

сообщения о действительности или недействительностилицензии;

сообщения об обнаружении вирусов;

сообщения об ошибках записи или чтения файлов, ошибкаханализа архивов или файлов, защищенных паролем;

параметры модулей программы: сканера, ядра, вирусныхбаз;

сообщения об экстренных остановках ядра программы;

уведомления о завершении срока действия лицензии(информация заносится за 30, 15, 7, 3, 2 и 1 дней доокончания срока).

Ведение текстового журнала программы приводит к снижениюбыстродействия системы, поэтому рекомендуется включатьрегистрацию событий только в случае возникновения ошибокработы Dr.Web для Outlook.

Настройка регистрации событий

1. На вкладке Антивирус Dr.Web нажмите кнопку Журнал.Откроется окно настроек журнала.

2. Выберите уровень детализации (от 0 до 5) для записисобытий:

уровень 0 означает, что регистрация событий втекстовом журнале отладки не ведется;

уровень 5 соответствует максимальной детализациирегистрируемых событий.

По умолчанию регистрация событий отключена.

3. Задайте максимальный размер (в килобайтах) файлажурнала.

4. Нажмите кнопку ОК для сохранения изменений.



Окно Журнал доступно только при наличии у пользователяправ администратора системы.

Просмотр журнала событий

Для просмотра текстового журнала событий программынажмите кнопку Показать в папке. Откроется каталог, вкотором хранится журнал.

7.5. Статистика проверки

В почтовом приложении Microsoft Outlook в разделе Сервис Параметры вкладка Антивирус Dr.Web (для Microsoft Outlook2010 в разделе Файл Параметры Надстройки необходимовыбрать модуль Dr.Web для Outlook и нажать кнопкуПараметры Надстройки) содержится статистическаяинформация об общем количестве объектов, проверенных иобработанных программой.

Объекты разделяются на следующие категории:

Проверено – общее количество проверенных писем;

Инфицированных – количество писем, содержащиевирусы;

Подозрительных – количество писем, предположительнозараженных вирусом (срабатывание эвристическогоанализатора);

Вылечено – количество объектов, успешно вылеченныхпрограммой;

Непроверенных – количество объектов, проверка которыхневозможна или при проверке которых возникли ошибки;

Чистых – количество писем, не содержащих вредоносныхобъектов.

Затем указывается количество объектов, к которым былиприменены действия:



Перемещено – количество объектов, перемещенных вКарантин;

Удалено – количество объектов, удаленных из системы;

Пропущено – количество объектов, пропущенных безизменений.

По умолчанию статистика сохраняется в файлеdrwebforoutlook.stat, который находится в каталоге

%USERPROFILE%\DoctorWeb (в Windows 7, C:\Users\<имяпользователя>\DoctorWeb).

Файл статистики drwebforoutlook.stat ведется отдельно длякаждого пользователя системы.




Dr.Web® Брандмауэр предназначен для защиты вашегокомпьютера от несанкционированного доступа извне ипредотвращения утечки важных данных по сети. Этот компонентпозволяет вам контролировать подключение и передачу данныхпо сети Интернет и блокировать подозрительные соединения науровне пакетов и приложений.

Брандмауэр предоставляет вам следующие преимущества:

контроль и фильтрация всего входящего и исходящеготрафика;

контроль подключения на уровне приложений;

фильтрация пакетов на сетевом уровне;

быстрое переключение между наборами правил;

регистрация событий.

8.1. Обучение Брандмауэра

После установки Брандмауэра некоторое время в процессевашей работы за компьютером производится обучение программы.При обнаружении попытки со стороны операционной системы илипользовательских приложений подключиться к сети Брандмауэрпроверяет, заданы ли для этих программ правила фильтрации, и,если правила отсутствуют, выводит соответствующеепредупреждение:



При работе под ограниченной учетной записью (Гость)Брандмауэр Dr.Web не выдает пользователюпредупреждения о попытках доступа к сети. Предупреждениябудут выдаваться под учетной записью с правамиадминистратора, если такая сессия активна одновременно сгостевой.



Обработка сообщений

1. При обнаружении попытки подключения к сети со стороныприложения, ознакомьтесь со следующей информацией:

Поле Описание

Приложение Наименование программы.Удостоверьтесь, что путь к нему,указанный в поле Путь к приложению,соответствует правильному расположениюпрограммы.

Путь к приложению Полный путь к исполняемому файлуприложения и его имя.

Цифровая подпись Цифровая подпись приложения.

Целевой адрес Протокол и адрес хоста, к которомусовершается попытка подключения.

Порт Порт, по которому совершается попыткаподключения.

Направление Тип соединения.

2. Примите решение о подходящей для данного случаяоперации и выберите соответствующее действие в нижнейчасти окна:

чтобы однократно блокировать данное подключение,выберите действие Запретить однократно;

чтобы однократно позволить приложению данноеподключение, выберите действие Разрешитьоднократно;

чтобы перейти к форме создания правила фильтрации,выберите действие Создать правило. Откроетсяокно, в котором вы можете либо выбратьпредустановленное правило, либо вручную создатьправило для приложений.



3. Нажмите кнопку OK. Брандмауэр выполнит указаннуювами операцию, и окно оповещения будет закрыто.

Для создания правил необходимы права администратора.

В случаях, когда программа, осуществляющая попыткуподключения, уже известна Брандмауэру (то есть для неезаданы правила фильтрации), но запускается другим неизвестнымприложением (родительским процессом), Брандмауэр выводитсоответствующее предупреждение:



Правила для родительских процессов

1. При обнаружении попытки подключения к сети со стороныприложения, запущенного неизвестной для Брандмауэрапрограммой, ознакомьтесь с информацией об исполняемомфайле родительской программы.

2. Когда вы примете решение о подходящей для данногослучая операции, выполните одно из следующий действий:

чтобы однократно блокировать подключениеприложения к сети, нажмите кнопку Запретить;

чтобы однократно позволить приложениюподключиться к сети, нажмите кнопку Разрешить;

чтобы создать правило, нажмите Создать правило ив открывшемся окне задайте необходимые настройкидля родительского процесса.



3. Брандмауэр выполнит указанную вами операцию, и окнооповещения будет закрыто.

Также возможна ситуация, при которой неизвестное приложениезапускается другим неизвестным приложением, в таком случае впредупреждении будет выведена соответствующая информация ипри выборе Создать правило откроется окно, в котором выможете настроить правила и для приложений, и для родительскихпроцессов:





8.2. Управление Брандмауэром

Брандмауэр устанавливается как компонент сетевогоподключения и запускается автоматически при загрузкеоперационной системы. При необходимости вы можете временноприостановить работу Брандмауэра, просмотреть статистикуфильтрации и изменить настройки программы.

После открытия сессии под ограниченной учетной записью(Гость) Брандмауэр выдаст сообщение об ошибке доступа.При этом в SpIDer Agent состояние Брандмауэраотображается как неактивное. Однако Брандмауэр включен иработает в соответствии с настройками по умолчанию или снастройками, заданными ранее в административном режиме.

Управление Брандмауэром осуществляется с помощьюкомпонента SpIDer Agent:

Управление Брандмауэром

1. Щелкните значок SpIDer Agent в области уведомленийWindows и выберите пункт Брандмауэр.

2. В открывшемся меню выберите необходимый пункт:



Пункт Описание

Статистика Выберите этот пункт, чтобы открыть окно сосведениями об обработанных Брандмауэромсобытиях.

Настройки Выберите этот пункт, чтобы получить доступ косновной части настраиваемых параметровпрограммы.

На странице Сброс настроек окна настройкиБрандмауэра вы можете восстановитьпараметры работы программы, используемыепо умолчанию.

Отключить Выберите этот пункт, чтобы временноотключить межсетевой экран. Временноеотключение доступно только пользователю,обладающему правами администратора.Прибегайте к этой возможности состорожностью.

Запустить Выберите этот пункт, чтобы запуститьотключенный межсетевой экран. Этот пунктпоявляется в меню в том случае, когда работаБрандмауэра была временноприостановлена.

При отключении Брандмауэра запрашивается кодподтверждения.

Пункты Настройки, Отключить/Запустить доступны тольков Административном режиме.



8.3. Настройка Брандмауэра

Настройки Брандмауэра недоступны в пользовательскомрежиме.

Для начала работы с Брандмауэром необходимо:

выбрать режим работы программы;

настроить список авторизованных приложений.

После перезагрузки операционной системы, если не выбрано иное,Брандмауэр начнет работу в режиме обучения. Вне зависимостиот режима работы автоматически начнется регистрация событий.

В случае возникновения проблем с общим доступом кподключению Интернета (т.е. блокируется доступ в Интернет скомпьютеров, подключенных к узловому), настройте на узловомкомпьютере правило для пакетного фильтра, разрешающее всепакеты из подсети, согласно вашим локальным настройкам.



8.3.1. Фильтр приложений

Фильтрация на уровне приложений позволяет контролироватьдоступ конкретных программ и процессов к сетевым ресурсам. Выможете задавать правила как для пользовательских, так и длясистемных приложений.

На странице Настройки фильтра приложений (разделПриложения) вы можете формировать наборы правилфильтрации, создавая новые, редактируя существующие илиудаляя ненужные правила. Приложение однозначноидентифицируется полным путем к исполняемому файлу. Дляуказания ядра операционной системы Microsoft Windows (процессsystem, для которого нет соответствующего исполняемого файла)используется имя SYSTEM.

Если файл приложения, для которого было создано правило,изменился (например, было установлено обновление), тоБрандмауэр предложит подтвердить, что приложение можетобращаться к сетевым ресурсам.



Формирование набора правил

Для формирования набора правил выполните одно изследующий действий:

чтобы создать набор правил для новой программы,нажмите кнопку Создать;

чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набора правил,нажмите кнопку Копировать. Копия добавляется подвыбранным набором;

чтобы удалить все правила для программы, выберитесоответствующий набор в списке и нажмите кнопкуУдалить.

Для каждой программы может быть не более одного набораправил фильтрации.

Правила для приложений

В окне Создание нового набора правил (илиРедактирование набора правил) отображается тип правиладля конкретного приложения или процесса, а также списокправил, если выбран тип правила Особый. Вы можете изменятьтип правила, формировать список, добавляя новые илиредактируя существующие правила фильтрации, а также изменяяпорядок их выполнения. Правила применяются последовательно,согласно очередности в списке.

Вы можете создать правило при помощи окна настроекБрандмауэра. При работе в режиме обучения вы можетеинициировать создание правила непосредственно из окнаоповещения о попытке несанкционированного подключения.



Для каждого правила в списке предоставляется следующаякраткая информация:

Параметр Описание

Включено Состояние правила.

Действие Указывает на действие, выполняемоеБрандмауэром при попытке программыподключиться к сети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;

Разрешать пакеты – разрешитьподключение.

Имя правила Название правила.

Тип соединения Указывает на инициатора подключения:

Входящее – правило применяется, еслиинициируется подключение из сети кпрограмме на вашем компьютере;




Исходящее – правило применяется, еслиподключение инициирует программа навашем компьютере;

Любое – правило применяется внезависимости от того, кто являетсяинициатором подключения.

Описание Пользовательское описание правила.

Редактирование правил

1. Если на странице Настройки фильтра приложений вывыбрали создание или редактирование набора правил, воткрывшемся окне задайте программу или процесс, длякоторых будет применяться набор правил. Для этоговыполните одно из следующих действий:

чтобы задать набор правил для программы, нажмите

кнопку Обзор и выберите исполняемыйфайл программы;

чтобы задать набор правил для процесса, нажмите

стрелку на кнопке Обзор , выберитеЗапущенное приложение и укажите процесс;

2. Выберите тип правила:

Разрешать – все соединения приложения будутразрешены;

Запрещать – все соединения приложениязапрещены;

Особый – в этом режиме вы можете создать наборправил, разрешающих или запрещающих те или иныесоединения приложения.

3. Если вы выбрали тип правила Особый, создайте наборправил для приложения используя следующие опции:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в конец списка;

чтобы отредактировать выбранное правило, нажмитекнопку Изменить;



чтобы добавить копию выбранного правила, нажмитекнопку Копировать. Копия добавляется послевыбранного правила;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

4. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры вотобразившемся окне.

5. По окончании редактирования списка нажмите кнопку ОКдля сохранения внесенных изменений или на кнопкуОтмена для отказа от изменений.

Настройка параметров правила

Правила фильтрации регулируют сетевое взаимодействиепрограммы с конкретными хостами сети.



Создание правила

1. Задайте следующие параметры правила:


Общее

Имя правила Имя создаваемого/редактируемого правила.

Описание Краткое описание правила.

Состояние Состояние правила:

Активно – правило применяется;

Неактивно – правило временно неприменяется.

Типсоединения

Инициатор подключения:




Действие Указывает на действие, выполняемоеБрандмауэром при попытке программыподключиться к сети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;

Разрешать пакеты – разрешитьподключение.

Настройки правила

Протокол Протоколы сетевого и транспортного уровня, покоторым осуществляется подключение.

Поддерживаются следующие протоколысетевого уровня:

IPv4;




IPv6;

IP all - протокол IP любой версии.

Поддерживаются следующие протоколытранспортного уровня:

TCP;

UDP;

TCP & UDP - протокол TCP или UDP.

Входящий/Исходящийадрес

IP-адрес удаленного хоста, участвующего вподключении. Вы можете указывать какконкретный адрес (Равен), так и диапазонадресов (В диапазоне), а также маскуконкретной подсети (Маска) или маски всехподсетей, в которых ваш компьютер имеетсетевой адрес (MY_NETWORK).

Чтобы задать правило для всех хостов, выберитевариант Любой.

Входящий/Исходящийпорт

Порт, по которому осуществляется подключение.Вы можете указывать как конкретный порт(Равен), так и диапазон портов (В диапазоне).

Чтобы задать правило для всех портов,выберите вариант Любой.

2. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопку Отмена дляотказа от изменений.



8.3.2. Родительские процессы

Чтобы разрешить или запретить процессам и приложениямзапускать другие приложения, в разделе Родительскиепроцессы задайте необходимые правила.

Создание правил для родительских процессов

1. Выберите родительский процесс:

чтобы задать правило для программы, нажмите кнопкуСоздать и выберите исполняемый файл программы;

чтобы задать правило для процесса, нажмите стрелкуна кнопке Создать, выберите Запущенноеприложение и укажите процесс.

2. Установите необходимое действие:

Блокировать, чтобы запретить приложениюзапускать процессы;

Разрешить, чтобы разрешить приложению запускатьпроцессы.

По умолчанию добавляемый родительский процесс блокируется.



Если файл родительского приложения, для которого былосоздано правило, изменился (например, было установленообновление), то Брандмауэр предложит подтвердить, чтоприложение может запускать другие приложения.

8.3.3. Интерфейсы

На странице настроек сетевых интерфейсов (Настройки сетевыхинтерфейсов) вы можете указать, какой набор правилфильтрации применять для пакетов, передающихся черезопределенный сетевой интерфейс.

Набор правил для интерфейса

1. Чтобы задать набор правил фильтрации пакетов,передающихся через определенный интерфейс, в окненастроек Брандмауэра выберите раздел Интерфейсы.

2. Найдите в списке интересующий вас интерфейс исопоставьте ему соответствующий набор правил. Если



подходящий набор правил отсутствует в списке, создайтеего.

3. Чтобы сохранить настройки, нажмите кнопку OK.

Для того чтобы увидеть все доступные интерфейсы, нажмитекнопку Полный список. В открывшемся окне вы можете указать,какие интерфейсы должны всегда отображаться в таблице.Активные интерфейсы будут отображаться в таблицеавтоматически.

Для того чтобы настроить правила для интерфейсов, нажмитекнопку Настроить.

Фильтр пакетов

Фильтрация на уровне пакетов позволяет контролировать доступ ксети вне зависимости от программ, инициирующих подключение.Правила применяются ко всем сетевым пакетам определенноготипа, которые передаются через один из сетевых интерфейсоввашего компьютера.

Данный вид фильтрации предоставляет вам общие механизмыконтроля, в отличие от фильтра приложений.

Брандмауэр поставляется со следующими предустановленныминаборами правил:

Allow all – все пакеты пропускаются;

Deny all – все пакеты блокируются;

Default rule – правила, описывающие наиболее частовстречающиеся конфигурации сети и распространенныеатаки (используется по умолчанию для всех новыхинтерфейсов).

Для удобства использования и быстрого переключения междурежимами фильтрации вы можете задать дополнительные наборыправил.



Набор правил для интерфейса

1. Чтобы задать параметры работы пакетного фильтра, в окненастроек Брандмауэра выберите раздел Пакетныйфильтр.

2. На этой странице вы можете:

формировать наборы правил фильтрации, создаваяновые, редактируя существующие или удаляяненужные правила;

задать дополнительные параметры фильтрации.

Формирование набора правил

Для формирования набора правил выполните одно изследующий действий:

чтобы создать набор правил для новой программы,нажмите кнопку Создать;



чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набора правил,нажмите кнопку Копировать. Копия добавляется подвыбранным набором;

чтобы удалить выбранный набор правил, нажмитекнопку Удалить.

Дополнительные настройки

Чтобы задать общие настройки фильтрации пакетов, настранице Настройки пакетного фильтра установитеследующие флажки:

Флажок Описание

Включитьдинамическуюфильтрацию пакетов

Установите этот флажок, чтобы учитыватьпри фильтрации состояние TCP-соединения ипропускать только те пакеты, содержимоекоторых соответствует текущему состоянию.В таком случае все пакеты, передаваемые врамках соединения, но не соответствующиеспецификации протокола, блокируются. Этотмеханизм позволяет лучше защитить вашкомпьютер от DoS-атак (отказ вобслуживании), сканирования ресурсов,внедрения данных и других злонамеренныхопераций.

Также рекомендуется устанавливать этотфлажок при использовании протоколов сосложными алгоритмами передачи данных(FTP, SIP и т.п.).

Снимите этот флажок, чтобы фильтроватьпакеты без учета TCP-соединений.




ОбрабатыватьфрагментированныеIP пакеты

Установите этот флажок, чтобы корректнообрабатывать передачу больших объемовданных. Размер максимального пакета (MTU– Maximum Transmission Unit) для разныхсетей может варьироваться, поэтому частьIP-пакетов при передаче может быть разбитана несколько фрагментов. Прииспользовании данной опции ко всемфрагментарным пакетам применяется одно ито же действие, предусмотренное правиламифильтрации для головного (первого) пакета.

Снимите этот флажок, чтобы обрабатыватьвсе пакеты по отдельности.

Набор правил

В окне Редактирование набора правил отображается списокправил фильтрации пакетов, входящих в конкретный набор. Выможете формировать список, добавляя новые или редактируясуществующие правила фильтрации, а также изменяя порядок ихвыполнения. Правила применяются последовательно, согласноочередности в списке.

Вы можете формировать список, добавляя новые или редактируясуществующие правила фильтрации, а также изменяя порядок ихвыполнения. Правила применяются последовательно, согласноочередности в списке.



Для каждого правила в списке предоставляется следующаякраткая информация:


Включено Состояние правила.

Действие Указывает на действие, выполняемоеБрандмауэром при обработке пакета:

Блокировать пакеты – блокировать пакет;

Разрешать пакеты – передать пакет.

Имя правила Имя правила.

Направление Отправитель пакета:

– правило применяется, если принимаетсяпакет из сети;

– правило применяется, если пакетотправляется с вашего компьютера;

– правило применяется вне зависимости оттого, кто является отправителем пакета.

Журналирование Режим регистрации событий. Указывает на то, какаяинформация должна быть занесена в отчет:




Только заголовки – заносить в отчет толькозаголовки пакетов;

Весь пакет – заносить в отчет пакетыцеликом;

Выключено – не сохранять информацию опакете.


Редактирование набора правил

1. Если на странице Настройки пакетного фильтра вывыбрали создание или редактирование набора правил, воткрывшемся окне задайте название набора правил.

2. Создайте правила фильтрации, используя следующиеопции:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в начало списка;

чтобы отредактировать выбранное правило, нажмитекнопку Изменить;

чтобы добавить копию выбранного правила, нажмитекнопку Копировать. Копия добавляется передвыбранным правилом;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

3. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры.

4. Используйте стрелочки справа от списка, чтобы определитьпорядок выполнения правил. Правила выполняютсяпоследовательно, согласно очередности в списке.

5. По окончании редактирования списка нажмите кнопку ОКдля сохранения внесенных изменений или на кнопкуОтмена для отказа от изменений.



Создание правил фильтрации

Добавление или редактирование правилафильтрации

1. В окне редактирования набора правил для пакетногофильтра нажмите кнопку Создать или кнопку Изменить.Откроется окно создания или редактирования правилапакетной фильтрации.

2. Задайте следующие параметры правила:


Действие Указывает на действие, выполняемоеБрандмауэром при обработке пакета:

Блокировать пакеты – блокироватьпакет;

Разрешать пакеты – передатьпакет.


Входящее – правило применяется,если принимается пакет из сети;




Исходящее – правило применяется,если пакет отправляется с вашегокомпьютера;

Любое – правило применяется внезависимости от того, кто являетсяотправителем пакета.

Заголовок пакета Категория правила. Например,транспортный или сетевой протокол. Длянекоторых заголовков доступныдополнительные поля.

Журналирование Режим регистрации событий. Указывает нато, какая информация должна быть занесенав отчет:

Только заголовки – заносить вотчет только заголовки пакетов;

Весь пакет – заносить в отчетпакеты целиком;

Выключено – не сохранятьинформацию о пакете.

Имя правила Имя создаваемого/редактируемого правила.


3. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопку Отменадля отказа от изменений.

Настройка расширенных параметров фильтрации

Для настройки расширенных параметров фильтрации выможете использовать следующие возможности:

чтобы добавить заголовок пакета выше или ниже

используйте кнопки Добавить слева и справа отзаголовка пакета соответственно;



чтобы настроить поля внутри заголовка, нажмите

кнопку Обзор ;

чтобы удалить заголовок или поля внутри заголовка

используйте кнопку Удалить .

Кнопки Добавить и Обзор неактивны, еслидействие невозможно (например, когда для некоторогозаголовка отсутствуют критерии фильтрации по полямвнутри заголовка или невозможна фильтрация позаголовкам уровнем выше или ниже).

Пример правила для пакетного фильтра, которое разрешаетпередавать все пакеты из подсети:

Если в данном правиле не указать поля внутри заголовка IPv4,правило сработает для любого пакета, содержащего заголовокIPv4 и отправленного с физического адреса локального



компьютера.

8.3.4. Дополнительные настройки

На странице Дополнительные настройки вы можете задатьрежим работы Брандмауэра, а также общие настройкифильтрации для всех приложений.

Режим работы задает реакцию Брандмауэра на сетевыеподключения на уровне приложений.

Выбор режима работы

1. В окне настроек Брандмауэра выберите разделДополнительно.

2. Выберите один из следующих режимов работы:

Разрешать неизвестные соединения – режим, прикотором всем неизвестным приложениямпредоставляется доступ к сетевым ресурсам;



Режим обучения (создавать правила дляизвестных приложений автоматически) –режим обучения, при котором правила для известныхприложений добавляются автоматически(используется по умолчанию);

Интерактивный режим – режим обучения, прикотором пользователю предоставляется полныйконтроль над реакцией Брандмауэра;

Блокировать неизвестные соединения – режим,при котором все неизвестные подключенияавтоматически блокируются.

3. Нажмите кнопку OK.

Режим обучения

В этом режиме правила для известных приложений добавляютсяавтоматически. Для других приложений Брандмауэрпредоставляет вам возможность вручную запрещать илиразрешать неизвестное соединение, а также создавать для негоправило.

При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевымресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила отсутствуют, то выводитсясоответствующее предупреждение, где вам предлагается выбратьлибо временное решение, либо создать правило, по которому вдальнейшем подобные подключения будут обрабатываться.

Этот режим используется по умолчанию.

Интерактивный режим

В этом режиме вам предоставляется полный контроль надреакцией Брандмауэра на обнаружение неизвестногоподключения, и таким образом производится обучение программыв процессе вашей работы за компьютером.

При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевым



ресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила отсутствуют, то выводитсясоответствующее предупреждение, где вам предлагается выбратьлибо временное решение, либо создать правило, по которому вдальнейшем подобные подключения будут обрабатываться.

Режим блокировки неизвестных подключений

В этом режиме все неизвестные подключения к сетевым ресурсам,включая Интернет, автоматически блокируются.

При обнаружении попытки со стороны операционной системы илипользовательского приложения получить доступ к сетевымресурсам Брандмауэр проверяет, заданы ли для этих программправила фильтрации. Если правила фильтрации отсутствуют, тоБрандмауэр автоматически блокирует доступ к сети и невыводит никаких сообщений. Если правила фильтрации дляданного подключения заданы, то выполняются указанные в нихдействия.

Режим разрешения неизвестных подключений

В этом режиме доступ к сетевым ресурсам, включая Интернет,предоставляется всем неизвестным приложениям, для которых незаданы правила фильтрации. При обнаружении попыткиподключения Брандмауэр не выводит никаких сообщений.

Дополнительные настройки

Чтобы задать общие настройки фильтрации для всехприложений, установите следующий флажок:


Разрешатьлокальныесоединения

Установите этот флажок, чтобы разрешить всемприложениям беспрепятственно устанавливатьсоединения на вашем компьютере. К такимподключениям правила применяться не будут.



Снимите этот флажок, чтобы применятьправила фильтрации вне зависимости от того,происходит ли соединение по сети или врамках вашего компьютера.

Отображатьуведомления наотдельном экранев полноэкранномрежиме

Установите этот флажок, чтобы уведомленияотображались на отдельном рабочем столе вовремя работы приложений в полноэкранномрежиме (игры, видео).

Снимите этот флажок, чтобы уведомлениявыводились на том же рабочем столе, накотором запущено приложение вполноэкранном режиме.

Отправлять в«Доктор Веб»сведения осозданныхправилах

Установите этот флажок, чтобы разрешитьБрандмауэру автоматически отправлятьсведения о созданных вами правилах.

Нажмите на ссылку Политикаконфиденциальности «Доктор Веб», чтобыознакомиться с политикой конфиденциальностина официальном сайте компании «ДокторВеб».



8.3.5. Восстановление исходных настроек

На странице Восстановление исходных настроек вы можетевосстановить настройки работы вашего межсетевого экрана,рекомендуемые Брандмауэром Dr.Web.

Восстановление настроек

1. В окне настроек Брандмауэра выберите раздел Сброснастроек.

2. Выполните любое из следующих действий:

чтобы восстановить стандартные настройки фильтраприложений, в разделе Настройки фильтраприложений нажмите кнопку Восстановить;

чтобы восстановить стандартные настройки пакетногофильтра, в разделе Настройки пакетного фильтранажмите кнопку Восстановить;

чтобы восстановить дополнительные настройки истандартный режим работы Брандмауэра, в разделеДополнительные настройки нажмите кнопкуВосстановить.

3. Нажмите кнопку OK.




Все события, обработанные Брандмауэром, регистрируются вследующих журналах:

Журнал приложений, хранящий информацию о попыткахподключения к сети со стороны приложений и примененныхправилах фильтрации;

Журнал пакетного фильтра, хранящий информацию обобработанных Брандмауэром пакетах, примененныхправилах фильтрации и интерфейсах, через которые этипакеты были переданы. Уровень детализации зависит отнастроек конкретных правил пакетной фильтрации.

В окне Активные приложения также отображаетсясписок приложений, подключенных к сети в данный момент.

Просмотр журналов

1. Щелкните значок SpIDer Agent в области уведомленийWindows и выберите пункт Брандмауэр.

2. В открывшемся меню выберите пункт Статистика.



8.4.1. Активные приложения

Список активных приложений отображает информацию оприложениях, подключенных к сети в данный момент.

Для каждого приложения доступна следующая информация обактивных соединениях:

Столбец Описание

Имя Название приложения.

Направление Инициатор подключения:

Входящее – правило применяется,если инициируется подключение изсети к программе на вашемкомпьютере;

Исходящее – правило применяется,если подключение инициируетпрограмма на вашем компьютере;




Ожидает подключение –приложение на вашем компьютереждет подключения из сети.

Протокол Протокол, по которому осуществляетсяпередача данных.

Локальный адрес Протокол и адрес хоста, с которогосовершается попытка подключения.

Удаленный адрес Протокол и адрес хоста, к которомусовершается попытка подключения.

Отправлено Количество байт, отправленных через данноесоединение.

Получено Количество байт, полученных через данноесоединение.

В окне статистики активных приложений вы можете завершитьактивный процесс. Для этого щелкните правой кнопкой мыши попроцессу в таблице и выберите опцию Завершить процесс.

Для того чтобы завершить любой активный процесс,необходимы права администратора. В противном случае можнозавершить только те процессы, которые запущены от именипользователя.

Также с помощью контекстного меню вы можете заблокироватьактивное соединение или разрешить заблокированное(заблокированные соединения отмечены в таблице краснымцветом).



8.4.2. Журнал приложений

Журнал приложений хранит информацию о попыткахподключения к сети, совершенных установленными на вашемкомпьютере программами.


Время Дата и время попытки подключения.

Приложение Полный путь к исполняемому файлу приложения,совершавшего попытку подключения, его имя иидентификатор процесса (PID).

Имя правила Название правила, согласно которому попыткабыла обработана.

Направление Инициатор подключения:







Результат Указывает на действие, выполненноеБрандмауэром при попытке подключения:

Заблокирован – попытка подключениябыла заблокирована;

Разрешен – подключение былоразрешено.

Целевой адрес Протокол, адрес удаленного хоста и порт, покоторым осуществлялось подключение.

Вы можете сохранить информацию в отчете или очистить журнал.

Сохранение журнала

Чтобы сохранить информацию о попытках приложенийподключиться к сети, нажмите кнопку Сохранить и укажитеимя файла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию опопытках приложений подключиться к сети, нажмите кнопкуОчистить.



8.4.3. Журнал пакетного фильтра

Журнал пакетного фильтра хранит информацию о пакетах,переданных через установленные на вашем компьютере сетевыеинтерфейсы, если для этих пакетов указан режим регистрациисобытий Только заголовки или Весь пакет. Если для пакетабыл выбран режим Выключено, информация о нем отражатьсяне будет.


Время Дата и время обработки пакета.


– пакет был принят из сети;

– пакет был отправлен с вашегокомпьютера;

– пакет, идущий из сети, былзаблокирован;

– пакет, отправленный с вашегокомпьютера, был заблокирован.




Имя правила Название правила, согласно которому пакет былобработан.

Подключение Сетевой интерфейс, через который был переданпакет.

Содержимое Информация о содержимом пакета. Подробностьдетализации зависит от настроек правил пакетнойфильтрации (параметр Режим отчета).

Вы можете сохранить информацию в отчете или очистить журнал.

Сохранение журнала

Чтобы сохранить информацию о пакетах, обработанныхБрандмауэром Dr.Web, нажмите кнопку Сохранить иукажите имя файла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию о пакетах,обработанных Брандмауэром, нажмите кнопку Очистить.




Для обнаружения вредоносных объектов антивирусы компании«Доктор Веб» используют специальные вирусные базы Dr.Web, в которых содержится информация обо всех известныхвредоносных программах. Так как каждый день появляются новыевирусные угрозы, то эти базы требуют периодическогообновления. Такое обновление позволяет обнаруживать ранеенеизвестные вирусы, блокировать их распространение, а в рядеслучаев – излечивать ранее неизлечимые зараженные файлы.

Время от времени совершенствуются антивирусные алгоритмы,реализованные в виде исполняемых файлов и программныхбиблиотек. Благодаря опыту эксплуатации продуктов Dr.Webисправляются обнаруженные в программах ошибки, обновляетсясистема помощи и документация.

Для поддержания актуальности вирусных баз и программныхалгоритмов компанией «Доктор Веб» реализована системараспространения обновлений через сеть Интернет. Модульобновления Dr.Web позволяет вам в течение срока действиялицензии загружать и устанавливать дополнения к вируснымбазам и обновленные программные модули.

9.1. Запуск обновления

Для запуска Модуля обновления вы можете использовать одноиз следующих средств:

в режиме командной строки вызвать исполняемый файлdrwupsrv.exe из каталога установки программы АнтивирусDr.Web;

пункт Обновление контекстного меню значка SpIDer

Agent в области уведомлений Windows.

После запуска Модуля обновления появится диалоговое окно, вкотором отображается информация об актуальности вирусных баз



и компонентов, а также дата последнего обновления. Принеобходимости из этого окна вы можете запустить обновление.Настроить необходимые параметры вы можете на вкладкеОбновление общих настроек работы программы Антивирус Dr.Web.

Отчёт записывается в файл dwupdater.log, который находится вкаталоге %allusersprofile%\Application Data\Doctor Web\Logs\ (вWindows 7 в каталоге %allusersprofile%\Doctor Web\Logs\).

Запуск обновления

При запуске обновления программа проверяет наличиелицензионного ключевого файла в каталоге установки. Приотсутствии ключевого файла обновление невозможно.

При наличии ключевого файла программа проверяет на серверахкомпании «Доктор Веб», не является ли ключевой файл



заблокированным (блокировка файла производится в случае егодискредитации, т. е. выявления фактов его незаконногораспространения). В случае блокировки обновление непроизводится, компоненты программы Антивирус Dr.Web могутбыть заблокированы; пользователю выдается соответствующеесообщение.

В случае блокировки вашего ключевого файла свяжитесь сдилером, у которого вы приобрели Антивирус Dr.Web.

После успешной проверки ключевого файла происходитобновление. Программа автоматически загружает всеобновленные файлы, соответствующие вашей версии программыАнтивирус Dr.Web, а если условия вашей подписки разрешаютэто, загружают новую версию (в случае ее выхода).

При обновлении исполняемых файлов и библиотек можетпотребоваться перезагрузка компьютера. Пользовательизвещается об этом при помощи информационного окна.

Сканер, SpIDer Guard и SpIDer Mail начинаютиспользовать обновленные базы автоматически.

При запуске модуля автоматического обновления по расписаниюили в режиме командной строки используются параметрыкомандной строки (см. Приложение A).



Приложения

Приложение А. Дополнительныепараметры командной строки

Дополнительные параметры командной строки (ключи)используются для задания параметров программам, которыезапускаются открытием на выполнение исполняемого файла.

Ключи начинаются с символа «/» и, как и остальные параметрыкомандной строки, разделяются пробелами.

Параметры перечислены в алфавитном порядке.

Параметры для Консольного сканера

/AA – автоматически применять действия к обнаруженным

угрозам. (Только для Сканера).

/AR – проверять архивы. По умолчанию – опция включена.

/AC – проверять контейнеры. По умолчанию – опция

включена.

/AFS – использовать прямой слеш при указании

вложенности внутри архива. По умолчанию – опцияотключена.

/ARC:<число> – максимальный уровень сжатия. Если

сканер � определяет, что коэффициент сжатия архивапревышает указанный, распаковка и проверка непроизводится. По умолчанию – без ограничений.

/ARL:<число> – максимальный уровень вложенности

проверяемого архива. По умолчанию – без ограничений.

/ARS:<число> – максимальный размер проверяемого

архива, в килобайтах. По умолчанию – без ограничений.

/ART:<число> – порог проверки уровня сжатия (



минимальный размер файла внутри архива, начиная скоторого будет производиться проверка коэффициентасжатия), в килобайтах. По умолчанию – без ограничений.

/ARX:<число> – максимальный размер проверяемых

объектов в архивах, в килобайтах. По умолчанию – безограничений.

/BI – вывести информацию о вирусных базах. По

умолчанию – опция включена.

/DR – рекурсивно сканировать директории (проверять

поддиректории). По умолчанию – опция включена.

/E:<число> – использовать указанное количество движков.

/FAST – произвести быструю проверку системы. (Только

для Сканера).

/FL:<имя_файла> – сканировать пути, указанные в файле.

/FR:<регулярное_выражение> – сканировать файлы по

регулярному выражению. По умолчанию – сканируются всефайлы.

/FULL – произвести полную проверку всех жестких дисков

и сменных носителей (включая загрузочные секторы).(Только для Сканера).

/FM:<маска> – сканировать файлы по маске. По умолчанию

– сканируются все файлы.

/H или /? – вывести на экран краткую справку о работе с

программой. (Только для Консольного Сканера).

/HA – производить эвристический анализ файлов и поиск в

них неизвестных вирусов. По умолчанию – опция включена.

/KEY:<ключевой_файл> – указать путь к ключевому файлу.

Параметр необходим в том случае, если ключевой файлнаходится не в той же директории, что и сканер. Поумолчанию – используется drweb32.key или другойподходящий ключевой файл из директории c:\ProgramFiles\DrWeb\.

/LITE – произвести стартовую проверку системы, при

которой проверяются оперативная память, загрузочныесекторы всех дисков и объекты автозапуска, а такжепровести проверку на наличие руткитов. (Только дляСканера).



/LN – сканировать файлы, на которые указывают ярлыки. По

умолчанию – опция отключена.

/LS – сканировать под учетной записью LocalSystem. По


/MA – проверять почтовые файлы. По умолчанию – опция

включена.

/MC:<число> – установить максимальное число попыток

вылечить файл. По умолчанию – без ограничений.

/NB – не создавать резервные копии вылеченных/удаленных

файлов. По умолчанию – опция отключена.

/NI[:X] – уровень использования ресурсов системы, в

процентах. Определяет количество памяти используемой длясканирования и системный приоритет задачи сканирования.По умолчанию – без ограничений.

/NOREBOOT – отменяет перезагрузку и выключение после

сканирования. (Только для Сканера).

/NT – сканировать NTFS-потоки. По умолчанию – опция

включена.

/OK – выводить полный список сканируемых объектов,

сопровождая незараженные пометкой Ok. По умолчанию –опция отключена.

/P:<приоритет> – приоритет запущенной задачи

сканирования в общей очереди задач на сканирование:

0 – низший.

L – низкий.

N – обычный. Приоритет по умолчанию.

H – высший.

M – максимальный.

/PAL:<число> – уровень вложенности упаковщиков. По

умолчанию – 1000.

/RA:<имя файла> – дописать отчет о работе программы в

указанный файл. По умолчанию отчет не создается.

/RP:<имя файла> – записать отчет о работе программы в

указанный файл. По умолчанию отчет не создается.

/RPC:<число> – таймаут соединения c Scanning Engine, в

секундах. По умолчанию – 30 секунд. (Только для



Консольного Сканера).

/RPCD – использовать динамический идентификатор RPC.

(Только для Консольного Сканера).

/RPCE – использовать динамический целевой адрес RPC.

(Только для Консольного Сканера).

/RPCE:<целевой_адрес> – использовать указанный целевой

адрес RPC. (Только для Консольного Сканера).

/RPCH:<имя_хоста> – использовать указанное имя хоста

для вызовов RPC. (Только для Консольного Сканера).

/RPCP:<протокол> – использовать указанный протокол

RPC. Возможно использование протоколов: lpc, np, tcp.(Только для Консольного Сканера).

/QL – вывести список всех файлов, помещенных в карантин

на всех дисках. (Только для Консольного Сканера).

/QL:<имя_логического_диска> – вывести список всех

файлов, помещенных в каранатин на указанном логическомдиске. (Только для Консольного Сканера).

/QR[:[d][:p]] – удалить файлы с указанного диска <d>

(имя_логического_диска), находящие в карантине дольше<p>(количество) дней. Если <d> и <p> не указаны, то будутудалены все файлы, находящиеся в карантине, со всехлогических дисков. (Только для Консольного Сканера).

/QNA – выводить пути в двойных кавычках.

/QUIT – закрыть Сканер после проверки (вне зависимости

от того, были ли применены действия к обнаруженнымугрозам). (Только для Сканера).

/REP – сканировать по символьным ссылкам. По умолчанию

– опция отключена.

/SCC – выводить содержимое составных объектов. По


/SCN – выводить название контейнера. По умолчанию –

опция отключена.

/SPN – выводить название упаковщика. По умолчанию –

опция включена.

/SLS – выводить логи на экран. По умолчанию – опция

включена. (Только для Консольного Сканера).

/SPS – отображать процесс проведения сканирования. По



умолчанию – опция включена. (Только для КонсольногоСканера).

/SST – выводить время сканирования файла. По умолчанию

– опция отключена.

/TB – выполнять проверку загрузочных секторов и главных

загрузочных секторов (MBR) жесткого диска. По умолчанию –опция отключена.

/TM – выполнять поиск вирусов в оперативной памяти

(включая системную область Windows). По умолчанию –опция отключена.

/TS – выполнять поиск вирусов в файлах автозапуска (по

папке Автозагрузка, системным ini-файлам, рееструWindows). По умолчанию – опция отключена.

/TR – сканировать системные точки восстановления. По


/W:<число> – максимальное время сканирования, в

секундах. По умолчанию – без ограничений.

/WCL – вывод, совместимый с drwebwcl. (Только для

Консольного Сканера).

/X:S[:R] – по окончании сканирования перевести машину

в указанный режим: выключение/перезагрузка/ждущийрежим/спящий режим.

Задание действий с различными объектами (C – вылечить, Q –переместить в карантин, D – удалить, I – игнорировать, R –информировать. Действие R возможно только для КонсольногоСканера. По умолчанию для всех – информировать (также толькодля Консольного Сканера)):

/AAD:<действие> – действия для рекламных программ

(возможные действия: DQIR, по умолчанию –информирование)

/AAR:<действие> – действия с инфицированными архивами


/ACN:<действие> – действия с инфицированными

контейнерами (возможные действия: DQIR, по умолчанию –информирование)

/ADL:<действие> – действия с программами дозвона




/AHT:<действие> – действия с программами взлома


/AIC:<действие> – действия с неизлечимыми файлами

(возможные действия: DQR, по умолчанию –информирование)

/AIN:<действие> – действия с инфицированными файлами

(возможные действия: CDQR, по умолчанию –информирование)

/AJK:<действие> – действия с программами-шутками


/AML:<действие> – действия с инфицированными

почтовыми файлами (возможные действия: QIR, поумолчанию – информирование)

/ARW:<действие> – действия с потенциально опасными

файлами (возможные действия: DQIR, по умолчанию –информирование)

/ASU:<действие> – действия с подозрительными файлами


Некоторые ключи могут иметь модификаторы, с помощью которыхрежим явно включается либо отключается. Например:

/AC- режим явно отключается,

/AC, /AC+ режим явно включается.

Такая возможность может быть полезна в случае, если режимвключен/отключен по умолчанию или по выполненным ранееустановкам в конфигурационном файле. Список ключей,допускающих применение модификаторов: /AR /AC /AFS /BI/DR /HA /LN /LS /MA /NB /NT /OK /QNA /REP /SCC/SCN /SPN /SLS /SPS /SST /TB /TM /TS /TR /WCL.

Для ключа /FL модификатор "-" означает: сканировать пути,



перечисленные в указанном файле, и удалить этот файл.

Для ключей /ARC /ARL /ARS /ART /ARX /NI[:X] /PAL/RPC /W, принимающих в качестве значения параметра <число>,

"0" означает, что параметр используется без ограничений.

Пример использования ключей при запуске Консольногосканера:

[<путь_к_программе>] dwscancl /AR- /AIN:C /AIC:Q C:\

просканировать все файлы, за исключением архивов, на диске C,

инфицированные файлы лечить, неизлечимые поместить вкарантин. Для аналогичного запуска Сканера для Windowsнеобходимо набрать имя команды dwscanner.



Параметры для Модуля обновления

Общие параметры:


-h [ --help ] Вывести на экран краткую справку о работе спрограммой.

-v [ --verbosity] arg

Уровень детализации отчета: error (стандартный ), info(расширенный), debug (отладочный).

-d [ --data-dir ]arg

Каталог, в котором размещены репозиторий инастройки.

--log-dir arg Каталог, в котором будет сохранен отчет.

--log-file arg(=dwupdater.log)

Имя файла отчета.

-r [ --repo-dir ]arg

Каталог репозитория, (по умолчанию <data_dir>/repo).

-t [ --trace ] Включить трассировку.

-c [ --command] arg (=update)

Выполняемая команда: getversions - получить версии,getcomponents - получить компоненты, init -инициализация, update - обновление, uninstall -удалить, exec - выполнить, keyupdate - обновить ключ.

-z [ --zone ] arg Список зон, который будет использоваться вместозаданных в конфигурационном файле.

Параметры команды инициализации (init):


-s [ --version ]arg

Номер версии.

-p [ --product ]arg

Название продукта.




-a [ --path ] arg Путь, по которому будет установлен продукт. Этоткаталог будет использоваться по умолчанию в качествекаталога для всех компонентов, включенных в продукт.Модуль обновления будет проверять наличиеключевого файла именно в этом каталоге.

-n [ --component ]arg

Имя компонента и каталог установки в формате<name>, <install path>.

-u [ --user ] arg Имя пользователя прокси-сервера.

-k [ --password] arg

Пароль пользователя прокси-сервера.

-g [ --proxy ]arg

Прокси-сервер для обновления в формате <адрес>:<порт>.

-e [ --exclude ]arg

Имя компонента, который будет исключен из продуктапри установке.

Параметры команды обновления (update):


-p [ --product ]arg

Название продукта. Если название указано, то будетпроизведено обновление только этого продукта. Еслипродукт не указан и не указаны конкретныекомпоненты, будет произведено обновление всехпродуктов. Если указаны компоненты, будетпроизведено обновление указанных компонентов.


Перечень компонентов, которые необходимо обновитьдо определенной модификации. Формат: <name> ,<target revision>.

-x [ --selfrestart] arg (=yes)

Перезапуск после обновления модуля обновления. Поумолчанию значение yes. Если указано значение no,

то выводится предупреждение о необходимостиперезапуска.

--geo-update Получить список IP-адресов update.drweb.com передобновлением.




--type arg(=normal)

Может быть одним из следующих:

reset-all – принудительное обновление всехкомпонентов;

reset-failed – сбросить все изменения дляповрежденных компонентов;

normal-failed – попытаться обновить компоненты,включая поврежденные, до последней либо доуказанной версии;

update-revision – обновить компоненты впределах текущей ревизии;

normal – обновить все компоненты.

-g [ --proxy ]arg





--param arg Передать дополнительные параметры в скрипт.Формат: <имя>: <значение>.

-l [ --progress-to-console ]

Вывести на консоль информацию о загрузке ивыполнении скрипта.

Особые параметры команды исполнения (exec):


-s [ --script ]arg

Выполнить указанный скрипт.

-f [ --func ] arg Выполнить функцию скрипта.

-p [ --param ]arg

Передать дополнительные параметры в скрипт.Формат: <имя>: <значение>.


Вывести на консоль информацию о прогрессевыполнения скрипта.



Параметры команды получения компонентов(getcomponents):


-s [ --version ]arg


-p [ --product ]arg

Укажите имя продукта, чтобы увидеть, какиекомпоненты он включает. Если продукт неуказан, будут выведены все компоненты этой версии.

Параметры команды получения изменений (getrevisions):


-s [ --version ]arg



Имя компонента.

Параметры команды uninstall (удаления):



Имя компонента, который необходимо удалить.


Вывести информацию о выполнении команды наконсоль.

--param arg Передать дополнительные параметры в скрипт.Формат: <имя>: <значение>.

-e [ --add-to-exclude ]

Компоненты, которые будут удалены и их обновлениепроизводиться не будет.



Параметры команды автоматического обновления ключа(keyupdate):


-m [ --md5 ]arg

Контрольная сумма md5 старого ключевого файла.

-o [ --output ]arg

Имя файла.

-b [ --backup ] Резервное копирование старого ключевого файла,если он существует.

-g [ --proxy ]arg






Вывести на консоль информацию о загрузке ключевогофайла.

Параметры команды скачивания (download):


--zones arg Файл, содержащий список зон.

--key-dir arg Каталог, в котором находится ключевой файл.


Вывести информацию о выполнении команды наконсоль.

-g [ --proxy ]arg








-s [ --version ]arg

Имя версии

-p [ --product ]arg

Название продукта, который необходимо скачать.



Коды возврата

Возможные значения кода возврата и соответствующие имсобытия следующие:

Код возврата Событие

0 OK, не обнаружено вирусов или подозрений на вирусы

1 Обнаружены известные вирусы

2 Обнаружены модификации известных вирусов

4 Обнаружены подозрительные на вирус объекты

8 В архиве, контейнере или почтовом ящикеобнаружены известные вирусы

16 В архиве, контейнере или почтовом ящикеобнаружены модификации известных вирусов

32 В архиве, контейнере или почтовом ящикеобнаружены подозрительные на вирус объекты

64 Успешно выполнено лечение хотя бы одногозараженного вирусом объекта

128 Выполнено удаление/переименование/перемещениехотя бы одного зараженного файла

Результирующий код возврата, формируемый по завершениюпроверки, равен сумме кодов тех событий, которые произошли вовремя проверки (и его слагаемые могут однозначно быть по немувосстановлены).

Например, код возврата 9 = 1 + 8 означает, что во времяпроверки обнаружены известные вирусы (вирус), в том числе вархиве; обезвреживание не проводилось; больше никаких«вирусных» событий не было.



Приложение Б. Угрозы и способы ихобезвреживания

С развитием компьютерных технологий и сетевых решений, всебольшее распространение получают различные вредоносныепрограммы, направленные на то, чтобы так или иначе нанестивред пользователям. Их развитие началось еще в эпохузарождения вычислительной техники, и параллельно развивалисьсредства защиты от них. Тем не менее, до сих пор не существуетединой классификации всех возможных угроз, что связано, впервую очередь, с непредсказуемым характером их развития ипостоянным совершенствованием применяемых технологий.

Вредоносные программы могут распространяться через Интернет,локальную сеть, электронную почту и съемные носителиинформации. Некоторые рассчитаны на неосторожность инеопытность пользователя и могут действовать полностьюавтономно, другие являются лишь инструментами подуправлением компьютерных взломщиков и способны нанести вреддаже надежно защищенным системам.

В данной главе представлены описания всех основных и наиболеераспространенных типов вредоносных программ, на борьбу скоторыми в первую очередь и направлены разработки «ДокторВеб».



Классификация угроз

Компьютерные вирусы

Главной особенностью таких программ является способность квнедрению своего кода в исполняемый код других программ.Такое внедрение называется инфицированием (или заражением).В большинстве случаев инфицированный файл сам становитсяносителем вируса, причем внедренная часть кода не обязательнобудет совпадать с оригиналом. Действия большинства вирусовнаправлены на повреждение или уничтожение данных. Вирусы,которые внедряются в файлы операционной системы (в основном,исполняемые файлы и динамические библиотеки), активируютсяпри запуске пораженной программы и затем распространяются,называются файловыми.

Некоторые вирусы внедряются не в файлы, а в загрузочныезаписи дискет, разделы жестких дисков, а также MBR (Master BootRecord) жестких дисков. Такие вирусы называются загрузочными,занимают небольшой объем памяти и пребывают в состоянииготовности к продолжению выполнения своей задачи до выгрузки,перезагрузки или выключения компьютера.

Макровирусы – это вирусы, заражающие файлы документов,используемые приложениями Microsoft Office и другимипрограммами, допускающими наличие макрокоманд (чаще всегона языке Visual Basic). Макрокоманды – это встроенные программы(макросы) на полнофункциональном языке программирования.Например, в Microsoft Word эти макросы могут автоматическизапускаться при открытии любого документа, его закрытии,сохранении и т.д.

Вирусы, которые способны активизироваться и выполнятьзаданные вирусописателем действия, например, при достижениикомпьютером определенного состояния называютсярезидентными.

Большинство вирусов обладают той или иной защитой отобнаружения. Способы защиты постоянно совершенствуются и



вместе с ними разрабатываются новые технологии борьбы с ними.

Например, шифрованные вирусы шифруют свой код при каждомновом заражении для затруднения его обнаружения в файле,памяти или загрузочном секторе. Каждый экземпляр такого вирусасодержит только короткий общий фрагмент (процедурурасшифровки), который можно выбрать в качестве сигнатуры.

Существуют также полиморфные вирусы, использующие помимошифрования кода специальную процедуру расшифровки,изменяющую саму себя в каждом новом экземпляре вируса, чтоведет к отсутствию у такого вируса байтовых сигнатур.

Стелс вирусы (вирусы-невидимки) - вирусные программы,предпринимающие специальные действия для маскировки своейдеятельности с целью сокрытия своего присутствия в зараженныхобъектах. Такой вирус снимает перед заражением характеристикиинфицируемой программы, а затем подсовывает старые данныепрограмме, ищущей измененные файлы.

Вирусы также можно классифицировать по языку, на котором онинаписаны (большинство пишутся на ассемблере, высокоуровневыхязыках программирования, скриптовых языках и т.д.) и попоражаемым операционным системам.

Компьютерные черви

В последнее время, черви стали гораздо более распространены,чем вирусы и прочие вредоносные программы. Как и вирусы,такие программы способны размножать свои копии, но они немогут заражать другие компьютерные программы. Червьпроникает на компьютер из сети (чаще всего как вложение всообщениях электронной почты или через сеть Интернет) ирассылает свои функциональные копии в другие компьютерныесети. Причем для начала распространения черви могутиспользовать как действия пользователя, так и автоматическийрежим выбора и атаки компьютера.

Черви не всегда целиком состоят из одного файла (тела червя). Умногих червей есть так называемая инфекционная часть (шелл-



код), которая загружается в ОЗУ и «догружает» по сетинепосредственно само тело в виде исполняемого файла. Пока всистеме нет тела червя, от него можно избавиться перезагрузкойкомпьютера (при которой происходит сброс ОЗУ). Если же всистеме оказывается тело червя, то справиться с ним можеттолько антивирус.

За счет интенсивного распространения, черви способны вывестииз строя целые сети, даже если они не несут никакой полезнойнагрузки (не наносят прямой вред системе).

Троянские программы (троянские кони, трояны)

Этот тип вредоносных программ не способен к саморепликации.Трояны подменяют какую-либо из часто запускаемых программ ивыполняют ее функции (или имитируют исполнение этихфункций), одновременно производя какие-либо вредоносныедействия (повреждение и удаление данных, пересылкаконфиденциальной информации и т.д.), либо делая возможнымнесанкционированное использование компьютера другим лицом,например для нанесения вреда третьему лицу.

Троянец обладает схожими с вирусом маскировочными ивредоносными функциями и даже может быть модулем вируса, нов основном троянские программы распространяются, какотдельные исполняемые файлы (выкладываются на файл-сервера,записываются на носители информации или пересылаются в видеприложений к сообщениям), которые запускаются либо самимпользователем, либо определенным процессом системы.

Руткит

Это вредоносная программа, предназначенная для перехватасистемных функций операционной системы с целью сокрытиясвоего присутствия в системе. Кроме того, руткит можетмаскировать процессы других программ, различные ключиреестра, папки, файлы. Руткит распространяется каксамостоятельная программа или как дополнительный компонент всоставе другой вредоносной программы. По сути – это набор



утилит, которые взломщик устанавливает в систему, к которойполучил первоначальный доступ.

По принципу своей работы руткиты условно разделяют на двегруппы: User Mode Rootkits (UMR) - работающие в режимепользователя (перехват функций библиотек пользовательскогорежима), и Kernel Mode Rootkits (KMR) - работающие в режимеядра (перехват функций на уровне системного ядра, чтозначительно усложняет его обнаружение и обезвреживание).

Программы взлома

К данному типу вредоносных программ относятся различныеинструменты, которыми злоумышленники пользуются для взломакомпьютеров и сетей. Наиболее распространенными среди нихявляются сканеры портов, которые выявляют уязвимости всистеме защиты компьютера. Помимо взломщиков, подобнымипрограммами пользуются администраторы для контролябезопасности своих сетей. Иногда к программам взломапричисляют различное распространенное ПО, которое можетиспользоваться для взлома, а также некоторые программы,использующие методы социальной инженерии (получениеконфиденциальной информации у пользователей путем введенияих в заблуждение).

Шпионские программы

Этот тип вредоносных программ, предназначен для слежения засистемой и отсылкой собранной информации третьей стороне -создателю или заказчику такой программы. Заказчикамишпионских программ могут быть: распространители спама ирекламы, маркетинговые агентства, скам-агентства, преступныегруппировки, деятели промышленного шпионажа.

Такие программы тайно закачиваются на компьютер вместе скаким-либо программным обеспечением или при просмотреопределенных HTML-страниц и всплывающих рекламных окон исамоустанавливаются без информирования об этом пользователя.Побочные эффекты от присутствия шпионских программ на



компьютере – нестабильная работа браузера и замедлениепроизводительности системы.

Рекламные программы

Чаще всего под этим термином понимают программный код,встроенный в различное бесплатное программное обеспечение,при использовании которого пользователю принудительнопоказывается реклама. Но иногда такой код может скрытнораспространяться посредством других вредоносных программ идемонстрировать рекламу, например, в интеренет-браузерах.Зачастую рекламные программы работают на основании данных,собранных шпионскими программами.

Программы-шутки

Это тип вредоносных программ, которые, как и рекламныепрограммы, не наносят прямого вреда системе. Чаще всего онигенерируют сообщения о несуществующих ошибках и угрожаютдействиями, которые могут привести к повреждению данных. Ихосновной функцией является запугивание пользователя, либонавязчивое его раздражение.

Программы дозвона

Это специальные компьютерные программы, разработанные длясканирования некоего диапазона телефонных номеров длянахождения такого, на который ответит модем. В дальнейшемзлоумышленники используют найденные номера для накручиванияоплаты за телефон жертве или для незаметного подключенияпользователя через модем к дорогостоящим платным телефоннымслужбам.

Все вышеперечисленные типы программ считаются вредоносными,т.к. представляют угрозу либо данным пользователя, либо егоправам на конфиденциальность информации. К вредоносным непринято причислять программы, не скрывающие своего внедренияв систему, программы для рассылки спама и анализаторы трафика,



хотя потенциально и они могут при определенныхобстоятельствах нанести вред пользователю.

Среди программных продуктов также выделяется целый класспотенциально опасных программ, которые не создавались длянанесения вреда, но в силу своих особенностей могутпредставлять угрозу для безопасности системы. Причем, это нетолько программы, которые могут случайно повредить илиудалить данные, но и те, которые могут использоваться хакерамиили другими программами для нанесения вреда системе. К нимможно отнести различные программы удаленного общения иадминистрирования, FTP-сервера и т.д.

Ниже приведены некоторые виды хакерских атак иинтернет-мошенничества:

Атаки методом подбора пароля – специальная троянскаяпрограмма вычисляет необходимый для проникновения всеть пароль методом подбора на основании заложенного вэту программу словаря паролей или генерируя случайныепоследовательности символов.

DoS-атаки (отказ обслуживания) и DDoS-атаки(распределенный отказ обслуживания) – вид сетевых атак,граничащий с терроризмом, заключающийся в посылкеогромного числа запросов с требованием услуги наатакуемый сервер. При достижении определенногоколичества запросов (ограниченного аппаратнымивозможностями сервера), сервер перестает с нимисправляться, что приводит к отказу в обслуживании. DDoS-атаки отличаются от DoS-атак тем, что осуществляютсясразу с большого количества IP-адресов.

Почтовые бомбы – один из простейших видов сетевых атак.Злоумышленником посылается на компьютер пользователяили почтовый сервер компании одно огромное сообщение,или множество (десятки тысяч) почтовых сообщений, чтоприводит к выводу системы из строя. В антивирусныхпродуктах Dr.Web для почтовых серверов предусмотренспециальный механизм защиты от таких атак.

Сниффинг – вид сетевой атаки, также называется"пассивное прослушивание сети". Несанкционированноепрослушивание сети и наблюдение за данными, которое



производятся при помощи специальной невредоноснойпрограммы - пакетного сниффера, который осуществляетперехват всех сетевых пакетов домена, за которым идетнаблюдение.

Спуфинг – вид сетевой атаки, заключающейся в полученииобманным путем доступа в сеть посредством имитациисоединения.

Фишинг (Phishing) – технология интернет-мошенничества,заключающаяся в краже личных конфиденциальных данных,таких как пароли доступа, данные банковских иидентификационных карт и т.д. При помощи спамерскихрассылок или почтовых червей потенциальным жертвамрассылаются подложные письма, якобы от имени легальныхорганизаций, в которых их просят зайти на подделанныйпреступниками интернет-сайт такого учреждения иподтвердить пароли, PIN-коды и другую личнуюинформацию, в последствии используемуюзлоумышленниками для кражи денег со счета жертвы и вдругих преступлениях.

Вишинг (Vishing) – технология интернет-мошенничества,разновидность фишинга, отличающаяся использованиемвместо электронной почты war diallers (автонабирателей) ивозможностей Интернет-телефонии (VoIP).

Действия для обезвреживания угроз

Существует множество различных методов борьбы скомпьютерными угрозами. Для надежной защиты компьютеров исетей продукты «Доктор Веб» объединяют в себе эти методыпри помощи гибких настроек и комплексного подхода кобеспечению безопасности. Основными действиями дляобезвреживания вредоносных программ являются:

1. Лечение – действие, применяемое к вирусам, червям итроянам. Оно подразумевает удаление вредоносного кодаиз зараженных файлов либо удаление функциональныхкопий вредоносных программ, а также, по возможности,восстановление работоспособности пораженных объектов(т.е. возвращение структуры и функционала программы ксостоянию, которое было до заражения). Далеко не все



вредоносные программы могут быть вылечены, однакоименно продукты «Доктор Веб» предоставляют самыеэффективные алгоритмы лечения и восстановленияфайлов, подвергшихся заражению.

2. Перемещение в карантин – действие, при которомвредоносный объект помещается в специальную папку, гдеизолируется от остальной системы. Данное действиеявляется предпочтительным при невозможности лечения, атакже для всех подозрительных объектов. Копии такихфайлов желательно пересылать для анализа в вируснуюлабораторию «Доктор Веб».

3. Удаление – эффективное действие для борьбы скомпьютерными угрозами. Оно применимо для любого типавредоносных объектов. Следует отметить, что иногдаудаление будет применено к некоторым файлам, длякоторых было выбрано лечение. Это происходит в случае,когда весь файл целиком состоит из вредоносного кода ине содержит никакой полезной информации. Так,например, под лечением компьютерного червяподразумевается удаление всех его функциональныхкопий.

4. Блокировка, переименование – это также действия,позволяющие обезвредить вредоносные программы, прикоторых, однако, в файловой системе остаются ихполноценные копии. В первом случае блокируются любыепопытки обращения от и к вредоносному объекту. Вовтором случае, расширение файла изменяется, что делаетего неработоспособным.



Приложение В. Принципы именованияугроз

При обнаружении вирусного кода компоненты Dr.Web сообщаютпользователю средствами интерфейса и заносят в файл отчетаимя вируса, присвоенное ему специалистами «Доктор Веб». Этиимена строятся по определенным принципам и отражаютконструкцию вируса, классы уязвимых объектов, средураспространения (ОС и прикладные пакеты) и ряд другихособенностей. Знание этих принципов может быть полезно длявыявления программных и организационных уязвимостейзащищаемой системы. Ниже дается краткое изложение принциповименования вирусов; более полная и постоянно обновляемаяверсия описания доступна по адресу http://vms.drweb.com/classification/.

Эта классификация в ряде случаев условна, поскольку конкретныевиды вирусов могут обладать одновременно несколькимиприведенными признаками. Кроме того, она не может считатьсяисчерпывающей, поскольку постоянно появляются новые видывирусов и, соответственно, идет работа по уточнениюклассификации.

Полное имя вируса состоит из нескольких элементов, разделенныхточками. При этом некоторые элементы, стоящие в началеполного имени (префиксы) и в конце (суффиксы), являютсятиповыми в соответствии с принятой классификацией.

Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называния вирусов,инфицирующих исполняемые файлы определенных платформ(ОС):

Win – 16-разрядные программы ОС Windows 3.1;

Win95 – 32-разрядные программы ОС Windows 95, ОС

http://vms.drweb.com/classification/

http://vms.drweb.com/classification/



Windows 98, ОС Windows Me;

WinNT – 32-разрядные программы ОС Windows NT, ОС

Windows 2000, ОС Windows XP, ОС Windows Vista;

Win32 – 32-разрядные программы различных сред ОС

Windows 95, ОС Windows 98, ОС Windows Me и ОС WindowsNT, ОС Windows 2000, ОС Windows XP, ОС Windows Vista;

Win32.NET – программы в операционной среде Microsoft .

NET Framework;

OS2 – программы ОС OS/2;

Unix – программы различных UNIX-систем;

Linux – программы ОС Linux;

FreeBSD – программы ОС FreeBSD;

SunOS – программы ОС SunOS (Solaris);

Symbian – программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вирусы могут заражать программы однойсистемы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office(указан язык макросов, поражаемых данным типом вирусов):

WM – Word Basic (MS Word 6.0-7.0);

XM – VBA3 (MS Excel 5.0-7.0);

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0);

X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0);

A97M – базы данных MS Access'97/2000;

PP97M – файлы-презентации MS PowerPoint;

O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус

заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования вирусов,

написанных на языках программирования высокого уровня, такихкак C, C++, Pascal, Basic и другие. Используются модификаторы,



указывающие на базовый алгоритм функционирования, вчастности:

HLLW – черви;

HLLM – почтовые черви;

HLLO – вирусы, перезаписывающие код программы жертвы;

HLLP – вирусы-паразиты;

HLLC – вирусы-спутники.

К группе префиксов языка разработки можно также отнести:

Java – вирусы для среды виртуальной машины Java.

Троянские кони

Trojan – общее название для различных Троянских коней

(троянцев). Во многих случаях префиксы этой группыиспользуются совместно с префиксом Trojan.

PWS – троянец, ворующий пароли;

Backdoor – троянец с RAT-функцией (Remote

Administration Tool – утилита удаленногоадминистрирования);

IRC – троянец, использующий для своего

функционирования среду Internet Relayed Chat channels;

DownLoader – троянец, скрытно от пользователя

загружающий различные вредоносные файлы из Интернета;

MulDrop – троянец, скрытно от пользователя загружающий

различные вирусы, содержащиеся непосредственно в еготеле;

Proxy – троянец, позволяющий злоумышленнику анонимно

работать в Интернете через пораженный компьютер;

StartPage (синоним: Seeker) – троянец,

несанкционированно подменяющий адрес страницы,указанной браузеру в качестве домашней (стартовой);

Click – троянец, организующий перенаправление

пользовательских запросов браузеру на определенный сайт(или сайты);

KeyLogger – троянец-шпион; отслеживает и записывает



нажатия клавиш на клавиатуре; может периодическипересылать собранные данные злоумышленнику;

AVKill – останавливает работу программ антивирусной

защиты, сетевые экраны и т.п.; также может удалять этипрограммы с диска;

KillFiles, KillDisk, DiskEraser – удаляют

некоторое множество файлов (файлы в определенныхкаталогах, файлы по маске, все файлы на диске и т. п.);

DelWin – удаляет необходимые для работы операционной

системы (Windows) файлы;

FormatC – форматирует диск C:

синоним: FormatAll – форматирует несколько или все

диски;

KillMBR – портит или стирает содержимое главного

загрузочного сектора (MBR);

KillCMOS – портит или стирает содержимое CMOS.

Средство использования уязвимостей

Exploit – средство, использующее известные уязвимостинекоторой операционной системы или приложения длявнедрения в систему вредоносного кода, вируса иливыполнения каких-либо несанкционированных действий.

Средства для сетевых атак

Nuke – средства для сетевых атак на некоторые известные

уязвимости операционных систем с целью вызватьаварийное завершение работы атакуемой системы;

DDoS – программа-агент для проведения распределенных

сетевых атак типа "отказ в обслуживании" (Distributed DenialOf Service);

FDOS (синоним: Flooder) – Flooder Denial Of Service –

программы для разного рода вредоносных действий в Сети,так или иначе использующие идею атаки типа "отказ вобслуживании"; в отличие от DDoS, где против одной целиодновременно используется множество агентов, работающихна разных компьютерах, FDOS-программа работает какотдельная, "самодостаточная" программа.



Скрипт-вирусы

Префиксы вирусов, написанных на различных языках сценариев:

VBS – Visual Basic Script;

JS – Java Script;

Wscript – Visual Basic Script и/или Java Script;

Perl – Perl;

PHP – PHP;

BAT – язык командного интерпретатора ОС MS-DOS

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а инымивредоносными программами:

Adware – рекламная программа;

Dialer – программа дозвона (перенаправляющая звонок

модема на заранее запрограммированный платный номерили платный ресурс);

Joke – программа-шутка;

Program – потенциально опасная программа (riskware);

Tool – программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса,

обозначающего среду или метод разработки, для обозначениятипичного представителя этого типа вирусов. Такой вирус необладает никакими характерными признаками (как текстовыестроки, специальные эффекты и т. д.), которые позволили быприсвоить ему какое-то особенное название.

Ранее для именования простейших безликих вирусовиспользовался префикс Silly с различными модификаторами.



Суффиксы

Суффиксы используются для именования некоторыхспецифических вирусных объектов:

generator – объект является не вирусом, а вирусным

генератором;

based – вирус разработан с помощью указанного вирусного

генератора или путем видоизменения указанного вируса. Вобоих случаях имена этого типа являются родовыми и могутобозначать сотни и иногда даже тысячи вирусов;

dropper – указывает, что объект является не вирусом, а

инсталлятором указанного вируса.



Приложение Г. Централизованнаяантивирусная защита

Решения компании «Доктор Веб» по организациицентрализованной антивирусной защиты позволяютавтоматизировать и упростить настройку и управлениеинформационной безопасностью компьютеров, объединенных вединую логическую структуру (например, компьютеры однойкомпании, расположенные как внутри локальной сети, так и внеее). Защищаемые компьютеры объединяются в единуюантивирусную сеть, безопасность которой контролируется иуправляется администраторами с центрального сервера.Подключение к системам централизованной защиты позволяетполучить гарантированно высокий уровень защиты компьютерапри минимальных усилиях со стороны конечных пользователей.

Взаимодействие компонентов антивируснойсети

Решения компании «Доктор Веб» по организациицентрализованной антивирусной защиты имеют клиент-сервернуюархитектуру (см. иллюстрацию ниже).

Компьютеры компании или пользователей поставщика IT-услугзащищаются от угроз безопасности и спама локальнымиантивирусными компонентами (клиентами; в данном случае –Антивирусом Антивирус Dr.Web), которые обеспечиваютантивирусную защиту и упрощают соединение с серверомцентрализованной защиты.



Обновление и конфигурация локальных компонентовпроизводится через центральный сервер. Весь поток команд,данных и статистической информации в антивирусной сети такжепроходит через сервер централизованной защиты. Объем трафикамежду защищенными компьютерами и антивирусным серверомможет быть весьма значительным, поэтому предусматриваетсявозможность его сжатия. Использование шифрования припередаче данных позволяет избежать разглашения ценныхсведений и подмены программного обеспечения, загружаемого назащищенные компьютеры.

Все необходимые обновления загружаются на серверцентрализованной защиты с сервера Всемирной системыобновлений Dr.Web.



Изменения в конфигурации локальных антивирусных компонентови передача команд осуществляется антивирусным сервером поуказанию администраторов антивирусной сети.Администраторы управляют конфигурацией центрального сервераи формированием антивирусной сети (в частности, подтверждаютправомерность подключения локальной станции к сети), а такжепри необходимости задают настройки работы конкретныхлокальных антивирусных компонентов.

Локальные антивирусные компоненты несовместимы сантивирусным программным обеспечением как другихкомпаний, так и антивирусными решениями Dr.Web, неподдерживающими режим централизованной защиты(например, Антивирусом Антивирус Dr.Web версии 5.0).Установка двух антивирусных программ на одном компьютереможет привести к отказу системы и потере важных данных.



Приложение Д. Техническаяподдержка

Страница службы технической поддержки компании «ДокторВеб» находится по адресу http://support.drweb.com/.

При возникновении проблем с установкой или работой продуктовкомпании, прежде чем обращаться за помощью в отделтехнической поддержки, настоятельно рекомендуется попробоватьнайти решение одним из следующих способов:

ознакомиться с последними версиями описаний и руководствпо адресу http://download.drweb.com/doc

прочитать раздел часто задаваемых вопросов по адресуhttp://support.drweb.com

попытаться найти ответ в базе знаний Dr.Web по адресуhttp://wiki.drweb.com/

посетить форумы Dr.Web по адресу http://forum.drweb.com/

Если после этого вам не удалось решить проблему, то вы можетезаполнить веб-форму вопроса в соответствующей секции разделаhttp://support.drweb.com/.

Найти ближайшее к вам представительство «Доктор Веб» и всюконтактную информацию, необходимую пользователю, вы можетепо адресу http://company.drweb.com/contacts/moscow.

http://support.drweb.com/

http://download.drweb.com/doc

http://support.drweb.com

http://wiki.drweb.com/

http://forum.drweb.com/

http://support.drweb.com/

http://company.drweb.com/contacts/moscow

© «Доктор Веб», 2003-2011

Drweb 700 Win Ru

Documents

allusersprofileapplication

allusersprofiledoctor

qn rebootforce

microsoft

spider agent

spider agent

qn reboot

qn lv