Антивирус за Windows - ftp.drweb.comftp.drweb.com/pub/drweb/windows/workstation/6.0/documentation/drweb... · операционните системи. Възможно

Антивирус

за Windows

«Доктор Веб», Централен офис в Русия125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Уеб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информация за представителствата и офисите Вие можете данамерите на официалния сайт на компанията.

Dr.Web за WindowsВерсия 6.0Ръководство на потребителя12.08.2011

© «Доктор Веб», 2003-2011. Всички права запазени

Материалите, предоставени в този документ, се явяват собственостна «Доктор Веб» и могат да бъдат използвани изключително самоза лични цели от клиентите на продукта. Никаква част от него неможе да бъде публикувана, копирана или разменяна, както ипредоставяна на трети лица за използване за лични цели безпозволението на създателите на програмата.

ТЪРГОВСКИ МАРКИDr.Web, SpIDer Mail, SpIDer Guard, CureIt!, CureNet!, AV-desk илоготипы Dr.WEB се явяват регистрирани търговски марки на«Доктор Веб» в Русия и/или в други страни. Всички регистриранитърговски марки, лого и наименование на компанията в тозидокумент се явяват собственост на създателите на програмата.

ОТКАЗВАНЕ ОТ ПРАВАПо никакъв начин компания «Доктор Веб» и техните партньори немогат да бъдат виновни за грешки или нанесени щети, свързанипряко и непряко с този документ и неговото съдържание.

«Доктор Веб»

Ние сме благодарни на потребителите заподдръжката на решенията от семейството на

Dr.Web!

«Доктор Веб» - руски създател на средства заинформационна безопасност.

«Доктор Веб» предлага ефективни антивирусни иантиспам-решения както за държавните организации иголемите компании, така и за частните потребители.

Антивирусните решения от семейството на Dr.Web серазработват

от 1992 година и неизменно демонстрират превъзходнирезултати при откриването на вредоносните програми,

съответстващи на световните стандарти за безопасност.

Сертификатите и наградите, а също и обширната географияна потребителите свидетелстват за изключителното доверие

към продуктите на компанията.

Ръководство на потребителя

4

Съдържание

7Глава 1. Въведение

91.1. За какво е тази документация

101.2. Използвани обозначения и съкращения

111.3. Системни изисквания

131.4. Проверка на антивируса

141.5. Методи на откриване

151.6. Лицензиране

161.6.1. Ключов файл

171.6.2. Получаване на ключовия файл

201.6.3. Продължение на лиценза

21Глава 2. Инсталиране на програмата

21

2.1. Инсталиране на Dr.Web® Антивирус заWindows

222.1.1. Първа инсталация Dr.Web Антивирус

332.1.2. Повторна инсталация и деинсталиране наDr.Web Антивирус

352.2. Процедура за получаване на ключовия файл

37Глава 3. Пристъпване към работа

403.1. Модул за управление на SpIDer Agent

433.1.1. Настройки на SpIDer Agent

463.2. Мениджър на лицензите

483.3. Карантина

523.4. Скенер за Windows

533.4.1. Стартиране на Скенера


5

573.4.2. Действия при откриване на вирусите

603.4.3. Настройка на параметрите на програмата

673.4.4. Сканиране в режим на команден ред

693.4.5. Конзолен скенер DWScancl

703.5. SpIDer Guard за Windows

713.5.1. Управление на стража SpIDer Guard

723.5.2. Основни настройки на стража

783.6. SpIDer Mail за Windows

803.6.1. Управление на пощенския страж SpIDer Mail

813.6.2. Основни настройки на пощенския страж

873.7. Dr.Web за Outlook

893.7.1. Проверка за вируси

923.7.2. Регистрация на събития

953.7.3. Статистика

973.8. Firewall

973.8.1. Обучение за Dr.Web Firewall

1023.8.2. Управление на програмата

1043.8.3. Настройки


1333.9. Задания за сканиране и обновяване

136Глава 4. Автоматично обновяване

137

4.1. Принцип на работа на модула заавтоматичното обновяване

140

4.2. Стартиране на модула за автоматичнотообновяване

144Приложения


6

144

5.1. Приложение A. Допълнителни параметри закоманден ред

1455.1.1. Параметри за команден ред за Скенерите

1525.1.2. Параметри за Конзолния Скенер DWScancl

1585.1.3. Параметри за команден ред на модула заавтоматичното обновяване

1615.1.4. Връщани кодове

162

5.2. Приложение B. Настройвани параметри накомпонентите на Dr.Web

1635.2.1. Параметри за Windows-версия на Скенера имодула за автоматичното обновяване

1735.2.2. Параметри за SpIDer Mail за Windows

178

5.3. Приложение C. Вредоносни програми иначини за обезвреждането им

1795.3.1. Класификация на вредоносните програми идругите компютърни заплахи

1855.3.2. Действия, предприемани за вредоноснитепрограми

187

5.4. Приложение D. Принципи за именуването навирусите

193

5.5. Приложение E. Защита на корпоративнимрежи с помоща на Dr.Web® Enterprise Suite

199

5.6. Приложение F. Dr.Web® AV-Desk запровайдери на интернет-услуги

2045.7. Приложение G. Техническа поддръжка

Предметен указател 205


7Въведение

Глава 1. Въведение

Dr.Web® Антивирус за Windows обезпечава защита на многонива на системната памет, твърдите дискове и външни носителиот проникването на вируси, руткити, троянски програми, шпионскои рекламно ПО, хакерски инструменти и различните вредоносниобекти от всякакви външни източници. Важна особенност накомплекса се явява неговата модулна архитектура. Dr.WebАнтивирус използва програмното ядро и вирусните бази, общи завсичките компоненти и различните среди. В днешно време, наредс Dr.Web Антивирус, се поставят и версии на антивируса заIBM® OS/2®, Novell® NetWare®, Macintosh®, Microsoft WindowsMobile®, Andorid®, Symbian®, а също и ред системи отсемейството на Unix® (например, Linux® и FreeBSD®).

Dr.Web използва удобната и ефективна процедура за обновяванена вирусните бази и версиите на програмното обезпечение чрезИнтернет.

Dr.Web е способен също да открива и изтрива от компютъраразличните нежелателни програми (рекламни програми, програмиdialers, програми-шеги, потенциално опасните програми, програмиза взлом). За откриване на нежелателните програми и действиятанад съдържащите ги файлове се предприемат стандартнитесредства на антивирусните компоненти на Dr.Web.

Dr.Web Антивирус може да включва в себе си следнитекомпоненти:

Dr.Web Скенер за Windows – антивирусен скенер сграфичен интерфейс. Програмата се стартира по заповед отпотребителя или по разписание и извършва антивируснатапроверка на компютъра. Существува също и версия напрограмата с интерфейс за команден ред (Dr.WebКонзолен скенер за Windows);

SpIDer Guard® за Windows – антивирусен страж,(наричан също монитор). Програмата постоянно се намира воперативната памет, осуществявайки проверка на файлове ипамет «в полет», а също откривайки прояви на вируснаактивност;


8Въведение

SpIDer Mail® за Windows – пощенски антивирусен страж.Програмата прихваща обръщенията на всички пощенскиклиенти на компютъра към пощенските сървъри попротоколите POP3/SMTP/IMAP4/NNTP (под IMAP4 се има впредвид IMAPv4rev1), открива и обезврежда пощенскитевируси преди получаване на писмата от пощенските клиентиот сървъра или преди изпращането на писмата къмпощенския сървър;

Dr.Web за Outlook – допълнителен модул, който проверявапощенските кутии на Microsoft Outlook за вируси;

Dr.Web Firewall – персонална защитна стена,предназначена за защита на вашия компютър отнесанкциониран достъп отвън и предотване на изтичане наважни данни по мрежата;

Dr.Web Модул за автоматичното обновяване –позволява на регистрираните потребители да получаватобновяванията на вирусните бази и другите файлове откомплекса, а също извършва и тяхното автоматичноинсталиране; на нерегистрираните потребители се дававъзможност да се регистрират, и получат лицензионен (приналичие на сериен номер) или демонстрационен ключ(вж. т. Получаване на ключов файл). Освен това, с помощана модула за автоматичното обновяване регистриранитепотребители могат да продължат срока на действие налиценза си (при наличието на серийния номер запродължение);

SpIDer Agent – модул за управление, с помоща накойто се осъщества старта и настройката на компонентитена Dr.Web Антивирус.

За организация на централизираното управление наантивирусната защита с мащабите на предприятия се поставяспециалното средство – Dr.Web® Enterprise Suite. Подробно затози програмен комплекс вж. Приложение E.

За провайдерите на интернет-услуги и защита на техните клиентиот вируси и спам ги обезпечава Dr.Web® AV-Desk. Подробно затози програмен комплекс вж. Приложение F.


9Въведение

1.1. За какво е тази документация

Настоящото ръководство за потребителя съдържа необходимитесведения за инсталацията и ефективното използване наантивирусния програмен комплекс Dr.Web® Антивирус заWindows.

Подробно описание на всички елементи на графичния интерфейссе съдържа в помощната система на комплекса, достъпна от всекикомпонент на програмата.

Настоящото ръководство съдържа подробно описание на процесаза инсталация на Dr.Web, както и началните препоръки понеговото използване за решаване на най-типичните проблеми,свързани с вирусните заплахи. Основно се разглеждат най-стандартните режими на работа на компонентите на комплекса(настройки по подразбиране).

В Приложенията се съдържа подробна помощна информация понастройката на антивирусния комплекс, предназначена заопитните потребители.

Във връзка с постоянното развитие, интерфейсът на програматаможе да не съвпада с предоставените в този документизображения. Винаги актуална помощна информация можете данамерите на адрес http://products.drweb.com.

http://products.drweb.com/?lng=ru


10Въведение

1.2. Използвани обозначения исъкращения

В това ръководство се използват обозначения, показанив таблица 1.

Таблица 1. Обозначения

Обозначение Коментар

Удебеленоизписване

Названия на елементите на графичния интерфейс ипримери за въвеждане, които е необходимо да сеизпълнят точно така, както са приведенивръководството.

Зелено иудебеленоизписване

Наименования на продуктите на «Доктор Веб»или техните компоненти.

Зелено иподчертаноизписване

Препратки към страници ръководства и web-сайтове.

Моноширеншрифт

Примери за кода, въвеждан за команден ред иинформация, въвеждана от потребителя заприложението.

Курсив Термини и отбелязващ текст (привежда се вместоинформация, която е необходимо да се въведе отпотребителя). В случая на примери за въвеждане откоманден ред курсива указва значенията напараметрите.

ЗАГЛАВНИ БУКВИ Названия на клавиш от клавиатурата.

Знак плюс («+») Указва едновременното натискане на клавиши отклавиатурата. Например, записа ALT+F1 означава,че е необходимо натискането на клавиша F1, призадържан натиснат клавиш ALT.

Възклицателензнак

Важно отбелязване или предупреждение запотенциално опасни или чести грешни ситуации.



1.3. Системни изисквания

Преди инсталацията на Dr.Web Антивирус следва:

да деинсталирате от компютъра другите антивируснипакети за предотвратявяне на възможнитенесъвместимости на техните резидентни компоненти срезидентните компоненти на Dr.Web Антивирус;

в случай на инсталация на Dr.Web Firewall, премахнетеот компютъра другите защитни стени;

инсталирайте всички препоръчвани от производителя наоперационната система критични обновления.

Използването на Dr.Web Антивирус е възможно на компютри,удоволетворяващи следните изисквания:

Компонент Изискване

Операционнасистема

Една от следните:

Microsoft® Windows® 2000 Workstation спакет обновяване SP4 и Update Rollup 1;

Windows® XP с пакет обновяване SP2;

Windows® Vista;

Microsoft® Windows® 7.

Поддържат се 32- и 64-битови версии наоперационните системи.

Възможно е, да се наложи да заредите от сайта наMicrosoft и да инсталирате обновленията на някоисистемни компоненти. Програмния комплекс ще Висъобщи, при необходимост, техните наименованияи URL.

Място на твърдиядиск

Не по-малко от 250 МБ свободно дисковопространство за инсталация на всички компонентина Dr.Web, от които:

до 70 МБ заема инсталационния файл;

до 90 МБ заемат временните файлове,които ще бъдат автоматично изтрити следзавършване на инсталацията.



Компонент Изискване

Процесор Поддържащи системните команди i686 и по-висши.

Оперативна памет 512 МБ и повече.

Други Свързване с Интернет за обновяване на вируснитебази и компонентите на Dr.Web Антивирус.



1.4. Проверка на антивируса

Вие можете да проверите работоспособността на антивируснитепрограми, откриващи вируси по техните сигнатури, с използванена тестовия файл EICAR (European Institute for Computer Anti-VirusResearch).

Много създатели на антивируси е прието за тази цел да използватедна и съща стандартна програма test.com. Тази програма е биласпециално разработена така, че потребителя, не подлага своякомпютър на опасност, преглеждайки, как е инсталиранантивируса и ще сигнализира ли при откриване на вируси.Програмата test.com не се явява сама по себе си вредоносна, носпециално се обработват болшинството антивирусни програмикато вирус. Dr.Web® Антивирус за Windows нарича този«вирус» със следния образ: EICAR Test File (Not a Virus!).

Примерно така го наричат и другите антивирусни програми.

Програмата test.com представлява себе си като 68-байтов COM-файл, в резултат на изпълнението на който на конзолата сеизвежда текстово съобщение EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Файла test.com се състои само от текстовите символи, коитоформират следния ред:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ако създадете файл, съдържащ посочения по-горе ред и госъхраните под име test.com, то в резултат ще се получи програма,която ще бъде описана като «вирус».

SpIDer Guard в оптимален режим не определя тестовия файлEICAR като вредоносна програма, тъй като той се явява DOS-приложение, което не представлява заплаха за компютъра.



1.5. Методи на откриване

Всички антивируси Dr.Web едновременно използват няколкометода на откриване на вредоносните обекти, което позволявамаксимално изчерпателно да се провери подозрителните файлове:

1. На първо място се прилага сигнатурен анализ. Той сеизпълнява по пътя на анализа на кода на подозрителнитефайлове за предмет на съответствия със сигнатурите на известните вируси (сигнатура се нарича непрекъснататаверижна последователност от байтове, необходима идостатъчна за разпознаване на вируса). При товасравнението се извършва по контролните суми насигнатурата, което позволява значително да се понижиразмера на записите във вирусните бази данни,съхранявайки при което еднозначността на съответствиятаи, следователно, коректност при откриването и лечениетона заразените файлове. Вирусните бази на Dr.Web сасъставени в такъв вид, че благодарение на един записможе да се откриват цели класове заплахи.

2. След завършване на сигнатурния анализ се прилагауникалната технология Origins Tracing, която позволявада се определят новите или модифицираните вируси,използващи известните механизми на заразяване нафайловете. Така, например, тази технология защитавапотребителите на антивирусните решения Dr.Web оттакива вируси, като вируса-шантажист Trojan.Encoder.18(също известен под името gpcode). Освен това, именновъведението Origins Tracing™ позволява значително дасе понижи количеството на лъжливите сработвания наевристичния анализатор.



3. Работата на евристичния анализатор се основава на някоизнания (евристики) за характерните признаци на вируснияи, обратно, на безопасния код. Всеки признак имаопределено тегло (число, показващо сериозността идостоверността на дадения признак). На основание насумарното тегло, характеризиращо всеки конкретен файл,евристичния анализатор изчислява вероятността назаразяване на файла с неизвестен вирус. Както и всякасистема за проверка на хипотезите в условията нанеопределеност, така и евристичния анализатор може дадопуска грешки както от първи (пропуск на неизвестнивируси), така и от втори род (лъжлива тревога).

По време на всяка от проверките, компонентите на антивируситеDr.Web използват най-свежата информация за всички известнивредоносни програми. Сигнатурите на вирусите, информацията затехните признаци и моделите на поведение се обновяват веднага,след като специалистите от Антивирусната Лаборатория«Доктор Веб» открият новите заплахи, понякога – до няколкопъти на час. Даже, ако новия вирус е проникнал на компютъра,минавайки през резидентните средства за защита, следобновяването на вирусните бази той ще бъде открит в списъка напроцесите и неутрализиран.

1.6. Лицензиране

Правата на потребителя за използване на антивируса Dr.WebАнтивирус се регулират с помоща на специален файл, нареченключов файл.

За работата на Dr.Web Антивирус е необходимо да получите иинсталирате ключовия файл.

Допълнителна информация за сроковете и типовете лицензи можеда намерите на официалният сайт на «Доктор Веб» на адресhttp://www.drweb.com/.

http://www.drweb.com/



1.6.1. Ключов файл

Ключовият файл има разширение .key и съдържа, следнатаинформация:

списък на компонентите, които е разрешено да използвададения потребител;

период, в течение на който е разрешено използването наантивируса;

други ограничения (в частност, количеството компютри, накоито е разрешено използването на антивируса).

Существуват три типа ключови файлове:

лицензионен ключов файл, който указва как да се ползвапродукта и се получава заедно с Dr.Web Антивирус ипозволява както ползването на продукта, така и получаванена техническа поддръжка. Параметрите на този ключовфайл, регулиращи правата на потребителя, се инсталират всъответствие с потребителския договор. В този файл сесъдържа също и информация за потребителя и продавача напродукта;

демонстрационен ключов файл, който се използва зазапознаване с продукта. Такъв ключов файл обезпечавапълната функционалност на основните компоненти, но имаограничен срок на действие – 30 дни;

Демонстрационен ключ се издава за една и съща машина непо-често, от 1 път за 4 месеца.

временен ключов файл, който се използва в случай, ако приинсталацията не сте указали лицензионен илидемонстрационен ключов файл. Такъв ключов файлобезпечава пълната функционалност на компонентите наDr.Web Антивирус, но обновяванията няма да бъдатзареждани до момента до който не инсталирателицензионен или демонстрационен ключов файл.



Ключовия файл за Dr.Web Антивирус е действителен приедновременното изпълнение на следните условия:

срокът на действие на лиценза не е изтекъл;

ключът се отнася за всички използвани от програматамодули;

цялостта на ключа не е нарушена.

При нарушение на едно от условията, ключовия файл ставанедействителен, при което Dr.Web Антивирус престава даоткрива и обезврежда вредоносните програми.

1.6.2. Получаване на ключовия файл

Ключовия файл се предоставя във вид на файл c разширение .keyили във вид на ZIP-архив, съдържащ този файл.

Вие можете да получите ключов лицензионен файл по един отследните начини:

в процеса на регистрация на продукта на официалния сайтна «Доктор Веб»;

в процеса на инсталация на продукта или при неговотопърво обновяване;

заедно с дистрибутива на продукта, ако лицензионния файле бил включен в комплекта;

на отделен носител.

Ключовия файл, получен в процеса на инсталация или в комплектс дистрибутива, се инсталира автоматично. Ключовия файл,получен по друг начин, е необходимо да се инсталира.



Получаване на ключовия файл в процеса нарегистрация на сайта

Регистрацията на сайта и получаване на ключовия файл сеосъществява по Интернет. Преди началото но инсталацията сеубедете, че на вашият компютър има действаща интернет-връзка.

За получаване на лицензионния ключов файл е необходимрегистрационен сериен номер на продукта. По време на тазипроцедура получаването на демонстрационен файл еневъзможно.

1. Посетете сайта, адреса на който е указан врегистрационната карта, приложена към продукта.

2. Попълнете формата със сведенията за купувача.

3. Въведете регистрационния сериен номер (намира се нарегистрационната карта).

4. Генерирания ключов файл се изпраща по електроннатапоща във вид на ZIP-архив, съдержащ файл с разширение.key. Можете да заредите архива от страницата зарегистрация.

5. След получаване на ключовия файл, го инсталирайте навашия компютър.

При получаване на ключовия файл се запитва за рестарт.

Получаване на ключовия файл в процесана инсталация на Dr.Web Антивирус

Регистрацията на сайта и получаване на ключовия файл сеосъществява по Интернет. Преди началото но инсталацията сеубедете, че на вашият компютър има действаща интернет-връзка. По време на тази процедура е възможно получаванетона демонстрационен файл.



1. Стартирайте инсталацията на продукта (вж. разделПърва инсталация Dr.Web Антивирус).

2. На стапка Ключов файл Dr.Web изберете Получифайла в процеса на инсталация.

3. Изпълнете останалите стъпки на инсталация в обичайниярежим. На завършващия стадии на инсталация или припеъвото обновяване на продукта с помоща на модулаза автоматичното обновяване ще се стартира процедураза получаване на ключовия файл. При завършване напроцедурата Dr.Web Антивирус автоматично ще зареди иинсталира ключовия лицензионен файл.

Препоръчва се да съхраните лицензионния ключов файл доизтичане на срока му на действие. При преинсталацията напродукта или в случай на инсталация на няколко компютъраповторна регистрация на серийния номер не е нужно. Можете даизползвате ключовия файл, получен при първата регистрация.

Демонстрационния ключ може да се използва само на тозикомпютър, от който сте направили регистрацията.

Повторна регистрация

Повторната регистрация може да потрябва в случай на загуба наключовия файл. При повторната регистрация е необходимо даукажете същите персонални данни, които сте въвели при първатарегистрация. Допуска се използване на друг адрес наелектронната поща – в такъв случай ключовия файл ще бъдеизпратен на новия адрес.

В случай на използване на демонстрационен ключ се издавасъщия ключов файл, който е бил издаден по-рано.



Броя на запитванията за получаване на ключовия файл еограничено – регистрацията с един и същи сериен номер седопуска не повече от 25 пъти. Ако този брой е превишен,ключовия файл няма да бъде изпратен. В такъв случай сеобърнете към службата за техническа поддръжка (в запитванетоследва подробно да опишете ситуацията, да укажете персоналниданни, въведени при регистрацията, и серийния номер). Ключовияфайл ще Ви бъде изпратен от службата за техническа поддръжкапо електронната поща.

1.6.3. Продължение на лиценза

В някои случаи, например, при изтичане на срока на действие налиценза или при изменение на характеристиките на защитаванатасистема или изискванията към нейната безопасност, Вие можетеда вземете решение за закупуване на нов или разширен лиценз заDr.Web Антивирус. В такъв случай ще Ви е необходимо дазамените вече съществуващия и регистриран в систематалицензионен ключов файл. Dr.Web Антивирус поддържаобновяването на лиценза «в полет», при който не е необходимода се преинсталира антивируса или да се прекъсва неговатаработа.

Замяна на ключовия файл

1. За да продължите лиценза, използвайте Мениджърна лиценза. За придобиване на новия лиценз илипродължение на текущия лиценз можете да се възползватеот вашата персонална страница на официалния сайт накомпанията «Доктор Веб», която се отваря в прозорецана интернет-браузера по подразбиране при избора наМоя Dr.Web както и в Мениджъра на лиценза, така и вменюто на SpIDer Agent.

2. Ако текущия ключов файл е недействителен, Dr.WebАнтивирус ще превключи към използване на новияключов файл.

http://support.drweb.com/request/


21Инсталиране на Dr.Web Антивирус

Глава 2. Инсталиране напрограмата

Преди инсталацията на комплекса настоятелно се препоръчва:

инсталирайте всички критични обновления, пуснати откомпанията Microsoft за вашата версия на операционнатасистема (може да ги заредите и инсталирате от сайта заобновявания на компанията на адрес http://windowsupdate.microsoft.com);

проверете с помоща на системните средства файловатасистема и отстранете откритите дефекти;

затворете активните приложения.

Преди инсталацията на Dr.Web Антивирус следва дадеинсталирате от компютъра другите антивирусни пакети изащитни стени за предотвратяване на възможнинесъвместимости на техните резидентни компоненти.

2.1. Инсталиране на Dr.Web®Антивирус за Windows

В този раздел се описва инсталацията на Dr.Web Антивирус накомпютри, работещи под управлението на една от следнитеоперационни системи:

Microsoft® Windows® 2000 Workstation с пакета обновленияSP4 и Update Rollup 1;

Microsoft® Windows® XP с пакета обновления SP2;

Microsoft® Windows® Vista;

Microsoft® Windows® 7.

Поддържат се 32- и 64-битови версии на операционните системи.

http://windowsupdate.microsoft.com

http://windowsupdate.microsoft.com



2.1.1. Първа инсталация Dr.Web Антивирус

За инсталацията на Dr.Web Антивирус са необходими правана Администратор.

Инсталацията на програмата Dr.Web Антивирус е възможна вдва режима:

1. Във фонов режим.

2. В обичаен режим.

Инсталацията във фонов режим

За стартиране на инсталацията на Dr.Web във фонов режим, вкомандния ред въведете името на изпълняемия файл снеобходимите параметри (параметрите влияят на воденето наотчета, рестарта след завършване наинсталацията иинсталацията на Dr.Web Firewall):

Инсталация Параметри

Без рестарт и безводене на отчета

/S /V/qn

С рестарт и безводене отчета

/S /V"/qn REBOOT=Force"или/S /V"/qn REBOOT=F"

Без рестарт и сводене на отчета

/S /V"/qn /lv*\"<путь>\drweb-setup.log\""

С рестарт и сводене на отчета

/S /V"/qn /lv*\"<путь>\drweb-setup.log\" REBOOT=F"или/S /V"/qn /lv*\"<путь>\drweb-setup.log\" REBOOT=Force"

С инсталация на Dr.Web Firewallи с рестарт

/S /V"/qn INSTALL_FIREWALL=1REBOOT=F"или/S /V"/qn INSTALL_FIREWALL=1REBOOT=Force"



Например, при старта на следните команди:

C:\Documents and Settings\drweb-600-win-x86.exe/S /V"/qn /lv*\"%temp%\drweb-setup.log\"REBOOT=F"

ще бъде извършена инсталация на програмата Dr.WebАнтивирус, създаден файла за отчета и ще се извърши рестартслед инсталацията.

Ако е необходимо да се инсталира Dr.Web Антивирус наопределения език, то допълнително е необходимо да се зададатследните параметри:

/L<код_на_езика>

Например,

/L1049 /S /V"/qn REBOOT=Force"

Списък на езиците:

Код Език

1033 английски

1026 български

1038 унгарски

1032 гръцки

1034 испански

1040 италиянски

1028 китайски (традиционен)

2052 китайски (упростен)

1062 латвийски

1063 литовски

1031 немски

1045 полски

2070 португалски

1049 руски



Код Език

1051 словашки

1055 турски

1058 украински

1036 френски

1061 естонски

Независимо от избрания език ще бъде допълнителноинсталиран английски език.

Инсталация в обичаен режим

За да стартирате инсталацията в обичаен режим, се възползвайтеот един от следните методи:

в случай на предоставяне на инсталациония комплект въввид на един изпълняем файл стартирайте за изпълнениетози файл;

в случай на предоставяне на инсталациония комплект нафирмен диск поставете диска в устройството. Ако заустройството е включен режим за автостарт на диска,процедурата по инсталация се стартира автоматично. Акорежима за автостарт е изключен, стартирайте за изпълнениефайла autorun.exe, разположен на диска. Отваря сепрозорец, съдържащ меню за автостарт. Натиснете бутонаИнсталирай.

Следвайте указанията на програмата за инсталация. На всякастъпка до началото на копиране на файловете на компютъра Виеможете за изпълните следното:

за да се върнете към предишната стъпка на програмата заинсталация, натиснете бутона Назад;

за да преминете на следващата стъпка на програмата,натиснете бутона Напред;

за да прекъснете инсталацията, натиснете бутона Отказ.



Процедура по инсталация

1. На първата стъпка изберете езика на инсталацията, койтоще бъде използван в интерфейса. Независимо от вашияизбор допълнително ще бъде инсталиран и английски език.

2. На следващата стъпка се запознайте с лицензионниядоговор. За продължение на инсталацията е необходимо даго приемете.

3. На следващата стъпка програмата по инсталация ще Випредупреди за възможна несъвместимост на Dr.WebАнтивирус и другите антивируси, инсталирани на вашиякомпютър, и ще предложи да ги деинсталира. Изпълнетеедно от следните действия:

ако на вашия компютър са инсталирани другиантивируси, то се препоръчва да натиснете бутонаОтказ и да прекъснете инсталацията, да отстранитеили деактивирате тези антивируси и после отново дазапочнете инсталацията;



ако на вашия компютър не са инсталирани другиантивируси, за продължаване сложете отметка предАз подтвърждавам, че на компютъра няма другиантивирусни програми и натиснете бутонаНапред.

4. На следващата стъпка ще ви бъде предложено даинсталирате Dr.Web Firewall.

5. Ако на предишната стъпка сте поставили отметка заИнсталирай Dr.Web Firewall, то програмата преди да сеинсталира ще ви предупреди за възможна несъвместимостна програмата Dr.Web Антивирус и другите защитнестени, инсталирани на вашия компютър, и ще предложи даги деинсталира. Изпълнете едно от следните действия:

ако на вашия компютър е инсталирана друга защитнастена, то се препоръчва да натиснете бутона Отказ ида прекъснете инсталацията, да изтриете или дадеактивирати защитната стена и след това отново дазапочнете инсталацията;



ако на вашия компютър не е инсталирана другазащитна стена, за продължаване на инсталациятапоставете отметка пред Аз подтвърждавам, че накомпютъра няма други защитни стени инатиснете бутона Напред.

6. На стъпката Ключов файл Dr.Web програмата поинсталация ще Ви предупреди за това, че за работата наDr.Web Антивирус е необходим ключов файл(лицензионен или демонстрационен). Изпълнете едно отследните действия:

ако имате ключов файл, и той се намира на твърдиядиск или външен носител, натиснете бутона Избор иизберете ключовия файл в стандартния прозорец занамиране на файла;

ако нямате ключов файл, но сте готови да го получитев процеса на инсталация, изберете Получаване нафайл в процеса на инсталация;



за продължаване на инсталацията с временен ключовфайл изберете Получаване на ключовия файл по-късно. Обновяванията няма да се зареждат, докато неукажете лицензионен или демонстрационен ключовфайл.

Натиснете бутона Напред.

Използвайте само ключов файл за варианта Dr.WebАнтивирус. Ключовия файл трябва да има разширение.key. Ако файла се намира в архив, е необходимо да гоизвлечете със съответния архиватор.

7. На следващата стъпка ще Ви бъде предложено да изберететипа на инсталация:

Инсталация по подрацбиране предполагаинсталация на всички компоненти, английски и рускиезици на интерфейса, а също и всички спомогателнипрограми, при което етапите на инсталация достъпка 12 ще бъдат проведени автоматично;



Потребителска инсталация е предназначена заопитните потребители. В процеса на потребителскатаинсталация ще Ви бъде предложено самостоятелно даизберете инсталираните компоненти, да укажетенастройките за прокси-сървъра и някои допълнителнипараметри на инсталация.

Изберете необходимия тип на инсталация и натиснетебутона Напред.

8. Ако сте избрали режим на инсталация по подразбиране, топреминете към описанието на стъпка 12. Ако сте избралирежим Потребителска инсталация, то в отварящия сепрозорец изберете инсталираните компоненти, принеобходимост променете директорията на инсталация инатиснете бутона Напред.

9. На следващата стъпка ще Ви бъде предложено данастроите създаването на връзки за старта на Dr.WebАнтивирус. Укажете необходимите пунктове и натиснетебутона Напред.



10. На следващата стъпка ще Ви бъде предложено да укажетенастройките на свързване към прокси-сървъра. Изберетеедин от следните варианти:

ако за изход в Интернет прокси-сървър не се използва,изберете Не използвай прокси-сървър;

ако за изход в Интернет използвате текущитенастройки на прокси-сървъра, изберете пунктаИзползвай системните настройки за прокси-сървъра (IP и Порт);

ако искате да зададете настройки на прокси-сървъра,изберете пункта Настройки за прокси-сървъра иукажете необходимите параметри.


11. На следващата стъпка можете да поставите отметка предЗареди обновленията по време на инсталацията, зада може в процеса на инсталация да бъдат заредениактуалните вирусни бази и другите модули на антивируса.




12. Отваря се информационен прозорец със съобщение заготовност за инсталация. Можете да изпълните едно отследните действия:

за да се проведе пълна проверка на файловатасистема след инсталацията на Dr.Web Антивирус,поставетеотметка пред Проведи полна проверка насистемата след инсталация на програмата;

за да стартирате процеса на копиране на файловете,натиснете бутона Инсталирай;

за да промените параметрите на инсталация,натиснете бутона Назад.

13. Ако на стъпка 6 сте избрали Получаване на файл впроцеса на инсталация, то на следващата стъпка модулаза автоматичното обновяване ще се опита да получиключовия файл чрез Интернет с помоща на процедуратапо регистрации на потребителя.



14. Ако в процеса на инсталация сте указали или получилидействащ ключов файл и на стъпка 11 сте сложили отметкапред Зареди обновления по време на инсталацията,то ще бъде изпълнен процеса по обновяване на вируснитебазе и другите компоненти на Dr.Web Антивирус.Обновяването се извършва автоматично и не са нужнидопълнителни действия.

15. При завършване на инсталцията Скенера ще се стартира ище се проведе бързо сканиране. В случай на откриване наинфектирани файлове изберете необходимото действие затези обекти. След завършване на проверката изключетеСкенера.

Известен е проблема с несъвместимостта на Cкенера спрограмата WindowBlinds, позволяваща да настройватеелементи на графичния интерфейс на операционнитесистеми от семейството на Windows. За коректнатаработа на антивируса е необходимо да изключитевъзможността за изменения на интерфейса на Dr.Webи в настройките на програмата WindowBlinds, дадобавите файла drweb32w.exe в списъка наизключените програми.

16. За завършване на процеса на инсталация изпълнетерестарт на компютъра.

По време на инсталацията на Dr.Web Антивирус накомпютър под управлението от Windows Vista илиWindows 7, ако в състава на инсталиращите секомпоненти влиза Dr.Web Firewall, операционнатасистема ще поиска разрешение за инсталация надрайверите за защитната стена. За успешнотозавършване на инсталацията се припоръчва даразрешите инсталация на драйверите.



2.1.2. Повторна инсталация и деинсталиранена Dr.Web Антивирус

С помоща на програмата по инсталация на Dr.Web Антивирус можете също:

да промените състава инсталираните компоненти;

дя изтриете всички инсталирани компоненти от компютъра.

Изменение и изтриване на програмата

1. За да стартирате инсталацията, се възползвайте от един отследните методи:

в случай на предоставяне на инсталационния комплектвъв вид на един изпълняем файл стартирайте заизпълнение този файл;

в случай на предоставяне на инсталационния комплектна фирмен диск поставете диска в устройството. Акоза устройството е включен режим за автостарт надиска, процедурата по инсталация се стартираавтоматично. Ако режима за автостарт е изключен,стартирайте за изпълнение файла autorun.exe,разположен на диска. Отваря се прозорец, съдържащменю за автостарт. Натиснете бутона Инсталирай;

стартирайте програмата по инсталация с помоща наинструмента инсталация и изтриване на програми наоперационната система Windows.

2. Ако сте стартирали инсталация чрез инсталационниякомплект, визберете език на работа на програмата.

3. В отварящия се прозорец изберете режима на работа напрограмата по инсталацията:

за да промените състава на инсталиращите секомпоненти, изберите варианта Промени;

за да изтриете всички инсталирани компоненти,изберете пункта Изтрий.



4. За изтриване на Dr.Web Антивирус или изменения всъстава на компонентите на програмата по инсталациятатрябва да изключите модула за самозащита на Dr.WebАнтивирус. За това въведете кода, изобразен вотварящият се прозорец.

5. При необходимост по молба на програмата рестартирайтекомпютъра за завършване на процедурата по изтриванеили изменение на състава на компонентите.



2.2. Процедура за получаване наключовия файл

Процедурата за получаване на ключовия файл се стартираавтоматично в процеса на инсталация или от менюто наSpIDer Agent след завършване на инсталацията и помага засвързване с официалния сайт на «Доктор Веб» и регистрирапродукта.

За получаване на ключовия файл

1. На първата стъпка ще Ви бъде предложено да избете:получаване на демонстрационен или лицензионен ключовфайл (подробно за ключовия файл вж. Лицензионенключов файл). Ако имате регистрационен сериен номер,даден Ви при закупуването на антивируса, изберетеварианта Получи лицензионен ключов файл. Акоинсталирате програмата с опознавателна цел, изберетеПолучи демонстрационен ключов файл и преминетекъм стъпка 3.

2. В отварящият се прозорец въведете серийния номер инатиснете бутона Напред.



Ако сте вече потребител на Dr.Web® Антивирус заWindows, то можете да продължите действието напридобития лицензи със 150 допълнителни дни. За товаукажете серийния номер на някой от лицензионнитеключови файлове на предишните регистрации.

Натиснете бутона Напред. Отваря се прозорец завъвеждане на регистрационните данни.

3. В прозореца за въвеждане на персоналните данни,необходими за получаване на ключовия файл, попълнетевсички полета и натиснете бутона Напред.

4. В прозореца Подтвърждаване на регистрационнитеданни проверете правилността на въведеното. Ако всичкиданни са въведени вярно, натиснете бутона Напред. Иначенатиснете бутона Назад, за да се върнете към стъпка 3, ипроверете правилността на въведените данни.

5. Стартира се процедура по зареждане и инсталация наключовия файл. Протокола за нейната работа се показва винформационен прозорец. Ако получаването на ключовияфайл е завършило успешно, в информационния прозорецсе извежда съответното съобщение и се указва пътя наразположение на получения ключов файл. В противенслучай се извежда съобщение за грешка.



Глава 3. Пристъпване към работа

Програмата за инсталация позволява да се инсталират накомпютъра следните компоненти на антивирусната защита:

Скенер за среда Windows (с GUI-интерфейс и конзолнаверсия);

страж SpIDer Guard;

пощенски страж SpIDer Mail;

допълнителния модул Dr.Web за Outlook;

защитна стена Firewall;

Dr.Web Модул за автоматичното обновяване;

модул за управление на SpIDer Agent.

Компонентите на антивирусната защита използват общите вируснибази и единните алгоритми на откриване на вирусите впроверяемите обекти. Методиката на избора на обектите запроверка съществено се различава, което позволява да сеизползват тези компоненти за организация на същественоразлични, взаимодопълващи се стратегии на защита накомпютъра.

Скенера за Windows проверява (по команда от потребителя илиавтоматично, по разписание) определените файлове (всичкифайлове, избраните логически дискове, директории и т. н.). Притова по подразбиране се проверяват също и оперативната памет ивсички файлове за автостарт. Тъй като времето за старт назаданията се избира от потребителя, може да не се притесняватеот недостиг на изчислителни ресурси за другите важни процеси.



Страж SpIDer Guard постоянно се намира в паметта накомпютъра и прихваща обръщенията към обектите от файловатасистема. По подразбиране програмата проверява за наличие навируси в отваряните файлове на външни носители и стартираните,създаваните или променяните файлове на твърдите дискове.Благодарение на малко детайлизирания способ на проверка,програмата практически не създава пречки на другите процеси накомпютъра.

Достойнството на програмата се явява неоспоримо, в течение нацялото време на работа на компютъра, се контролира вируснатаситуация. Освен това, някои вируси могат да бъдат открити самоот стража по специфичните за тях действия.

Пощенски страж SpIDer Mail също постоянно се намира впаметта. Програмата прихваща всички обръщения на пощенскитеклиенти на вашия компютър към пощенските сървъри попротоколите POP3/SMTP/ IMAP4/NNTP и проверява входящата (иизходящата) поща до нейното приемане (или изпращане) отпощенските клиенти. SpIDer Mail е ориентиран за проверка нацелия текущ пощенски трафик, преминаващ през компютъра, врезултат на което проверката на пощенските кутии става по-ефективна и с по-малко ресурсоемко. Могат да се отбелязват иблокират опити за масово разпращане от пощенски червеи на своикопия по адресната книга на потребителя с помоща насобствените реализации на пощенските клиенти, които могат дабъдат вградени във функциониращи вируси. Това също позволявада се изключат от проверка пощенски файлове в SpIDer Guard,което значително снижава потреблението на ресурси накомпютъра.

Персоналната защитна стена Dr.Web Firewall е предназначена зазащита на вашия компютър от несанкциониран достъп извне ипредотвратяване на изтичане на важни данни по мрежата.Firewall позволява да контролирате свързването и предаванетона данни по Интернет и да блокирате подозрителните свързванияна ниво пакети и приложения.

За организацията на ефективната антивирусна защита може да сепрепоръча следната схема на използване на компонентите наDr.Web:



провеждане на сканиране на всички файлове на систематана компютъра с предвидените по подразбиране(максимални) настройки на подробност на сканиране;

сохраняване на настройките за системния страж поподразбиране;

осъществяване на пълната проверка на пощата с помоща напощенския страж;

блокиране на всички неизвестни свързвания с помоща назащитната стена;

периодично, по вида на обновяванията на вирусните бази,повтаряне на пълното сканиране на компютъра (не самоведнъж в седмицата);

в случай на временно изключване на стража, ако в тозипериод компютъра се свързва с Интернет или е извършенозареждане на файлове от външен носител, провеждане напълно сканиране е задължително.

Антивирусната защита може да бъде ефективна само приусловие за своевременното (желателно, ежечасно) получаванена обновяванията на вирусните бази и другите файлове откомплекса (вж. Глава 4. Автоматично обновяване).

Използването на компонентите на Dr.Web Антивирус е подробноописано в следващите раздели.



3.1. Модул за управление на SpIDerAgent

След инсталацията на Dr.Web в областта за уведомявания на

Windows се добавя иконка на SpIDer Agent .

При поставяне на курсора на мишката върху иконката се появяваизплуваща подсказка с информация за стартираните компоненти,а също и датата на последното обновяване на антивируса и броязаписи във вирусните бази. В съответствие с настройките(вж. долу), над иконката на SpIDer Agent могат да се появятразлични уведомявания.

С помоща на контекстното меню от иконката на модула зауправление се осъществява стартиране и настройка накомпонентите на Dr.Web Антивирус.

Пункта За програмата отваря прозорец с информация заверсията на компонента Dr.Web Антивирус, както и завирусните бази.

Пункта Регистрирай лиценза стартира процедурата порегистрация на потребителя за получаване на ключовия файл от



сървъра на компанията «Доктор Веб».

Пункта Моя Dr.Web отваря вашата персонална страница на сайтана компанията «Доктор Веб». На тази страница можете даполучите информация за вашия лиценз (срок на действие, сериенномер), да продължите срока на неговото действие, да зададетевъпрос към службата за поддръжка и много други.

Пункта Помощ отваря файла за помощ на Dr.Web Антивирус.

Пунктовете SpIDer Guard, SpIDer Mail, Firewall, Обновяванеотварят достъп до настройките и управлението на съответнитекомпоненти.

Пункта Скенер стартира Скенера Dr.Web, който автоматичнозапочва бързата проверка на компютъра.

Пункта Изключи/Включи Самозащитата позволява да сеизключи/включи защитата на файловете, воденето на регистъра истартираните процеси на Dr.Web от повреждания и изтривания.

За да изключите самозащитата:

изберете в менюто на SpIDer Agent пункта ИзключиСамозащитата;

въведете кода за подтвърждение.

В менюто на SpIDer Agent пункта Изключи Самозащитатасе заменя с пункта Включи Самозащитата.

Изключването на самозащитата не се препоръчва.

Изключването на самозащитата е възможно само вАдминистративен режим.

Пункта Инструменти отваря меню, предоставящо достъп:

до Мениджъра за лиценза (вж. раздел Мениджър залиценза);

до настройките на самия SpIDer Agent, които позволяватда се зададат общите параметри на работа на Dr.Web



Антивирус (вж. раздел Настройки на SpIDer Agent);

до стандартното задание на операционната системаWindows, което определя периодичността и параметрите наобновления на Dr.Web (пункта Организатор);

до Карантината (вж. Карантина);

до създаване на отчета.

При обращения към службата за техническа поддръжка накомпаниятя «Доктор Веб» можете да сформират отчет завашата операционна система и работата на Dr.Web. Занастройки на параметрите, в отварящия се прозорец натиснетеОсобенни параметри за формиране на отчета. Отчета щебъде съхранен във виде на архив в директорията наDoctorWeb, разположена в папката на профила на потребителя %USERPROFILE%.

Пункта Административен/Потребителски режим позволявада се превключва между пълнофункционалнияАдминистративен режим и ограничения Потребителскирежим на работа с програмата Dr.Web Антивирус. ВПотребителския режим действат следните ограничения:недостъпни настройки на компонентите, обновявания и пунктаОрганизатор, а също и функцията за изключване на стражаSpIDer Guard, Dr.Web Firewall и самозащитата. Запревключване в Административен режим Ви са необходимиправа на администратор.

Този пункт се показва само при отсъствието наадминистративните привилегии. Например, при работа в средана операционните системи Microsoft Windows 2000 или WindowsXP в потребителския режим, или в среда Windows Vista илиMicrosoft Windows 7 при включена система за контрол наотчетните записи UAC. В противен случай дадения пункт енедостъпен и Dr.Web Антивирус постоянно работи впълнофункционалния режим.



3.1.1. Настройки на SpIDer Agent

Раздел Настройки

В прозореца настройки на SpIDer Agent се извършва избор наезика на интерфейса на програмата Dr.Web Антивирус.Ако в падащия списък изберете език, който не е бил инсталиран,Dr.Web ще ви предложи да го инсталира.

Също в този прозорец в първия раздел се извършва настройка натиповете подсказки-уведомявания, появяващи се във вид наизплуващи прозорци над иконката на SpIDer Agent в областа зауведомявания на Windows. Компонентите, причислени в прозорецаза настройки, изпращат уведомяване в случай на сработване насъответната защита. Също уведомяване може да се появява привсяко обновление на вирусните бази и в тези случаи, акосканиране на системата не се е извършвало повече от 7 дни(отметката Уведомявания за проблеми по безопасността).



Раздел Компоненти

В раздела Компоненти можете да изберете един от вариантите:

Стартирай всички инсталирани компоненти наантивируса при старт (препоръчително);

Избирателен старт на компонент (не се препоръчва).В този режим можете да изключите автоматичния старт нанякои компоненти.



Раздел Разширени

В този раздел можете да настроите параметрите на самозащита, асъщо и да забраните некои действия, които могат да доведат дозаразяване на вашия компютър.

Ако при инсталацията на важните обновления от Microsoft илипри инсталация и работа на програми (в това число и програмиза дефрагментация) възникнат проблеми, изключетесъответните опции в тази група настройки.



3.2. Мениджър на лицензите

Мениджъра на лиценза в достъпен вид показва информацията,съдържаща се във вашите ключови файлове на Dr.WebАнтивирус.

За да отворите този прозорец, в контекстното меню от иконката

на SpIDer Agent в областта за уведомявания на Windowsизберете пункта Инструменти, а след това пункта Мениджърна лиценза.

В групата Компоненти са отделните компоненти, с коитосъгласно лиценза работи Dr.Web Антивирус.

Получаване на ключовия файла

За получаване на ключовия файл от сървъра на компанията«Доктор Веб», натиснете бутона Получи нов лиценз и впадащия списък изберете през мрежата на Интернет. Стартирасе процедура за получаване на ключовия файл.

За работата на Dr.Web Антивирус е необходимо да инсталиратев защитаваната система ключовия файл Dr.Web Антивирус.



Инсталация на получения ключов файл

1. Натиснете бутона Получи нов лиценз. В падащия списъкизберете укажи пътя до файла на диска.

2. Укажете пътя до ключовия файл. Ако сте получили ключовфайл във вид на ZIP-архив, разархивирането му не езадължително.

3. Dr.Web Антивирус автоматично ще започне да използваключовия файл.

При получаване на ключовия файл в процеса на инсталация или вкомплект с дистрибутива на продукта инсталацията на ключовияфайл се извършва автоматично и никакви допълнителни действияне са необходими.

За да изтриете ключовия файл от списъка, натиснете бутонаИзтрий текущия лиценз. Последния използван ключ не можеда бъде изтрит.

При работа с програмата, ключовия файл по подразбиранетрябва да се намира в директорията на инсталация. Програматарегулярно проверява за наличие и коректност на ключовияфайл. За избягване на повреда на ключа, не го модифицирайте.

При отсъствие на действителен ключов файл (лицензионен илидемонстрационен) активността на всички компоненти себлокира. Единственното разрешено в такава ситуация едействието – старт на модула за автоматичното обновяване сцел регистрация и получаване на ключов файл.



3.3. Карантина

Този прозорец съдържа данните за съдържанието наКарантината на Dr.Web Антивирус, които служат за изолацияна файлове, подозрителни за наличие на вредоносни обекти.Папката за Карантината се създава отделно на всеки логическидиск, където са били открити подозрителни файлове. Приоткриването на заразени обекти на външен носител, ако записа наносителя е възможен, на него се създава папка Карантина и в неясе премества заразения обект.

За разглеждане и редактиране на съдържимото в карантинатаизберете в раздела Инструменти от контекстното менюSpIDer Agent пункта Карантина.

В централната част на прозореца е показана таблица синформация за състоянието на карантината, включваща следнитеполета:

Име – списък с имената на обектите, намиращи се вкарантината;



Заплаха – класификация на вредоносната програма,определяема от Dr.Web Антивирус при автоматичнотопреместване на обекта в карантината;

Път – пълния път, на който се е намирал обекта допреместването му в карантината.

В долната част на прозореца на карантината се показва подробнаинформация за отделените обекти в карантината. Можете давключите показването на колонките с подробна информация заобекта, аналогично на показания в долната част на прозореца.

Настройка на показването на колонките

1. За да зададете параметри за показването на информация втаблицата на Карантина, кликнете с десния бутон намишката върху заглавието на таблицата и изберете пунктаНастрой колонките.

2. В отварящия се прозорец сложете отметки срещу тезипунктове, които искате да включите в таблицата заобектите. За да изключите колонките от таблицата заобектите, махнете отметките срещу съответните пунктове.Също така можете да изпълните едно от следнитедействия:

за да сложите отметки за всички обекти заедно,натиснете бутона Маркирай всички;

за да махнете всички отметки, натиснете бутонаОтмаркирай всички.

3. За промяна на реда на последователност на колонките втаблицата изберете съответната колонка в списъка инатиснете върху един от следните бутони:

Нагоре – за да преместите колонката по-близо доначалото на таблицата (нагоре по списъка внастройките и наляво в таблицата на обектите).

Надолу – за да преместите колонката по-близо докрая на таблицата (надолу по списъка в настройките ина дясно в таблицата на обектите).

4. При завършване на редактирането на настройкитенатиснете бутона ОК за съхранение на внесенитеизменения или бутона Отказ за отказа от тях.



Страничния панел в ляво служи за филтрация на обектите вкарантината, които ще бъдат показани. При натискане върхусъответната препратка в централната част на прозореца ще сепокажат всички обекти на карантината или само зададените групиобекти: файлове, пощенски обекти, web-страници или всичкиостанали обекти, не влизащи в дадените категории.

В прозореца Карантина файловете могат да виждат само тезипотребители, които имат достъп до тях.

В прозореца карантина са достъпни следните бутони зауправление:

Добави – добавя файл в карантината. В отварящият себраузър на файловата система изберете нужния файл;

Възстанови – премества файла от карантината ивъзстановява първоначалното местоположение на файла накомпютъра (възстановява файла под същото име и впапката, в която се е намирал до преместването му вкарантината).

Използвайте тази функция само в случай, ако сте сигурни,че обекта е безопасен.

В падащото меню можете да изберете вариантаВъзстанови в – да преместите файла под зададено име впапка, указана от администратора;

Пресканирай – сканира файл от карантината повторно;

Изтрий – изтрива файл от карантината и от системата.

При извикване на контекстното меню над таблицата е достъпнаследната опция:

Изпратете файла(овете) в лабораторията на «ДокторВеб» – изпраща в Антивирусната Лаборатория на«Доктор Веб» файла за проверка.

За работа едновременно с няколко файла изберете необходимияфайл, задръжте клавиша SHIFT или CTRL, и кликнете с десенбутон на мишката на избрания ред в таблицата и изберетенеобходимото действие.



За настройка на свойствата на Карантината натиснете бутона

в прозореца Карантина. Ще се отвори прозореца Свойствана карантината, в който можете да промените следнитепараметри:

в раздела Задайте размер за карантината можете дауправлявате обема на дисковото пространство, заемано отпапката Карантина;

в раздела Вид можете да поставите отметко пред показвайрезервните копия, за да се покажат в таблицата обектитена резервните копия на файловете, намиращи се вКарантината.

Резервните копия се създават автоматично при преместването нафайловете в Карантината. Даже при съхранението на файлове вКарантината безсрочно, техните резервни копия се съхраняватвременно.



3.4. Скенер за Windows

По подразбиране Сканера извършва антивирусно сканиране навсички файлове с използване както на вирусните бази, така иевристичния анализатор (алгоритъма, позволяващ с голямавероятност да се откриват неизвестните за програмата вируси наосновата на общите принципи на тяхното създаване).Изпълняемите файлове, упаковани от специални упаковачи, припроверката се разопаковат. Проверяват се файловете в архивитена всички основно разпространени типове (ACE (до версия 2.0),ALZIP, AR, ARJ, BGA, 7-ZIP, BZIP2, CAB, GZIP, DZ, HA, HKI, LHA,RAR, TAR, ZIP), файловите контейнери (1C, CHM, MSI, RTF, ISO,CPIO, DEB, RPM), а също и файлове в състава на писма впощенските кутии на пощенските програми (формата на писмататрябва да съответства на RFC822).

Dr.Web в случай на откриване на известен вирус или приподозрение за заразеност на обекта с вирус по подразбиране сеизвежда съобщение за това в специалното поле на отчета вдолната част на главния прозорец.



3.4.1. Стартиране на Скенера

Скенера се инсталира като обичайно приложение за Windows и сестартира по команда от потребителя (или по разписание, вж.Задания за скраниране и обновяване).

Запуск Сканера

Препоръчва се стартирането на Скенера от името напотребител, имащ права на администратор. В противен случайфайловете и папките, до които непривилегирования потребителняма достъп (в това число, и системните папки), няма да бъдатподложени на проверка.

1. За стартиране на Скенера използвайте едно от следнитесредства:

иконката на Скенера на Работния плот (Desktop);

пункта Скeнер от контекстното меню иконката наSpIDer Agent (вж.Модул за управление на SpIDer Agent);

пункта от менюто на Скенер Dr.Web в папката Dr.Web Главното меню на Windows (отваря се от бутонаЗапочни сканирането);

специалната команда в операционната системаWindows (подробно вж.Сканиране в режим от команден ред).

За да стартирате Скенера с настройките по подразбиранеза проверка на някой файл или директория, се възползвайтеот един от следните методи:

изберете в контекстното меню иконката на файла илидиректорията (Работния плот (Desktop) или вПрозорец на Windows) пункта Проверить Dr.Web;

провлачете иконката на файла или директориятавърху иконката или отворете Главния прозорец наСкенера.

2. След старта на програмата се отваря нейният главенпрозорец.



Ако стартирате Сканера за проверка на файл илидиректория, то след това веднага започва сканиране наизбрания обект.

3. За избор се предоставят три възможни режима напроверка: Бързо сканиране, Пълно сканиране иИзбирателно. В централната част на прозореца взависимост от избрания режим се показва информация запроверяемите обекти, всяка файлова структура,представена във вид на йерархично дърво (в случай наизбирателна проверка).

По време на бързата проверка се проверяват:

оперативната памет;

зареждащите сектори на всички дискове;

обектите за автостарт;

кореновата директория на зареждащия диск;

кореновата директория на диска с инсталиранWindows;

кореновата директория на Windows;

папката Мойте Документи;

временната директория на системата;

временната директория на потребителя.



В режим на пълна проверка се извършва пълно сканиранена оперативната памет, всички твърди дискове и външниносители (включително зареждащите сектори).

В режим на избирателна проверка полето предоставявъзможност да се избират файлове и папки за антивируснапроверка.

4. Ако сте избрали избирателен режим на проверка, вйерархичния списък изберете обекта за проверка. В случайна пълна или бърза проверка избора на обекти не енеобходим. На рисунката е изобразена ситуация, в която езибрана за сканиране папката Documents and Settings налогичен диск C.



По подразбиране наред с избраните обекти също ще бъдатпроверявани и поддиректориите на всички избранидиректории и логически дискове, а също и зареждащитесектори на всички логически дискове, на които е избранадори само една директория или файл, а също и главнитезареждащи сектори на съответните физически дискове.

При бърза и пълна проверка Скенера ще определи, не е либил променен HOSTS-файла (текстовия файл, койтосъдържа базата данни на домейновите имена и се използвапри тяхната транслация в мрежовите адреси на връзките).HOSTS-файла може да се повреди под въздействието навредоносните програми (например, с цел препращане напотребителя към определен сайт). В този случай, акоHOSTS-файла е бил променен, Скенера ще предложи да говъзстанови в изходно състояние. Тово ще позволи да сеотстрани несанкционирано изменение на файла отвредоносните програми.

5. За да пристъпите към сканиране, натиснете бутона

Започни сканирането в дясната част на прозореца.

В случай на стартиране на Скенера на преносим компютър,работещ на батария, ще се появи предупреждение,информиращо Ви за оставащият заряд на батарията. Виеможете да изключите проверката в режим на захрнване навашия ноутбук от подпрозореца Общи в прозореца снастройки на Скенера. Подробно за изменене наостаналите настройки на програмата вж.Настраивани параметри на програмата.

6. След началото на сканиране в дясната част на прозореца

стават достъпни бутоните Пауза и Прекратяване на

сканирането . На всеки етап от проверката можете данаправите следното:

за да преустановите проверката, натиснете бутона

Пауза .За да продължите проверката, повторно

натиснете бутона Започни сканирането ;

за да спрете проверката, натиснете бутона

Прекратяване на сканирането .



Ако сканиране на системата не се е провеждало повече от 7дни, се извежда уведомяване (вж. настройки на SpIDer Agent).

3.4.2. Действия при откриване на вирусите

По подразбиране Скенера само информира потребителя завсички заразени и подозрителни обекти. Вие можете използватепрограмата за да се опитате да възстановите функционалносттана заразения обект (лекувайки го), а при невъзможност – даотстраните произлизащата от него заплаха (изтрий обекта).

Избор на действия

1. Изберете един или няколко заразени обекта. Вие можете даукажете действие веднага за всички или няколко обекта всписъка на отчета. За да изтриете всички обекти, натиснетебутона Избери всичките.

За избиране на обектите в списъка на отчета можете даизползвате следните клавиши и комбинации от клавиши:

INSERT – избира обект;

Ctrl+A – избира всички;

клавиша умножение (*) на цифровата клавиатура –избира всички или напълно маха избора.

2. Кликнете с десния клавиш на мишката върху един отизбраните редове на отчета. В отварящото се контекстноменю изберете действието, което искате да се предприеме.Можете също да се възползвате от един от съответнитебутони, разположени непосредственно под полето наотчета.



3. При избора на варианта Излекувай е необходимо също даизберете действие, което ще бъде предприето в случай наневъзможност от лечение.

Преименуването се извършва по пътя на замяната наразширението на файла, по подразбиране първия символ наразширението се заменя със символа #.

Преместването се извършва в директорията, зададена внастройките на програмата, по подразбиране това еподдиректорията на инсталация на програмата с названиеinfected.!!!.

Изтрий – изтрива инфектирания обект.

Существуват следните ограничения:

лечението на подозрителните обекти е невъзможно;

преместването, преименуването или изтриването наобекти, не явяващи се файлове (например, зареждащисектори), е невъзможно;



всякакво действие за отделните файлове вътре вархивите, контейнерите или в състава на писма еневъзможно – действие в такива случаи се предприемасамо към обекта като цяло.

Подозрителните файлове, преместени в директориятаinfected.!!!, се препоръчва да се предават за последващанализ в антивирусната лаборатория на «Доктор Веб»,използвайки специалната форма на уеб-сайта http://vms.drweb.com/sendvirus/.

По подразбиране при избора на действието Изтрий зафайловите архиви, контейнери или пощенски кутиипрограмата издава предупреждение за възможна загуба наданните.

4. След изпълнение на избраното от Вас действие антивирусадобавя в колонката Действие в полето на отчетасъобщение за резултата на операцията.

В някои случаи, избраното от Вас действие не може да бъдеизпълнено веднага. В такъв случай в полето на отчета наСкенера в колонката Действие се появява записа Щебуде излекуван след рестарт, Ще бъде изтрит следрестарт и т. н. в зависимост от избраното действие.Указаното действие ще бъде реално изпълнено само следрестарт на компютъра, т. е. това ще бъде отложенодействие. Затова при откриването на такива обекти сепрепоръчва извършването на рестарт на системат веднагаслед завършване на сканирането. При необходимост можетеда настроите автоматично рестартиране на операционнатасистема за завършване на лечението (вж.Настройвани параметри на програмата).

Подробен отчет за работата на програмата се съхранява във видна файл за отчета. По подразбиране той се разполага в подпапкана DoctorWeb, разположена в папката на профила на потребителя%USERPROFILE% и се именува drweb32w.log.

http://vms.drweb.com/sendvirus/.

http://vms.drweb.com/sendvirus/.



3.4.3. Настройка на параметрите напрограмата

Препоръчва се стартирането на Скенера от името напотребител, имащ права на администратор. В противен случайпотребителските настройки няма да бъдат съхранени приизхода от системата.

Настройките на програмата по подразбиране се явяватоптималните за болшинството версии, и те не следва да сепроменят без необходимост.

Промяна на настройките на програмата

1. За да извикате Настройките на програмата, изпълнетеедно от следните действия:

изберете в главното меню на програмата пунктаНастройки, след което в отварящото се подменюизберете пункта Промени настройките;

убедете се, че прозореца на Скенера е активен,натиснете F9.



Ще се отвори прозореца за настройки, съдържащ няколкоподпрозореца.

2. Внесете необходимите промени. При необходимостнатиснете бутона Приложи преди преминаването на другподпрозорец.

3. За по-подробна информация за настройките, задавани навсеки подпрозорец, се възползвайте от бутона Помощ.

4. При завършване на редактирането на настройкитенатиснете бутона ОК за съхранение на внесените промениили бутона Отказ за отказ от тях.

Долу се описват често използваните случаи на изменения нанастройките по подразбиране.

Настройките по подразбиране на Dr.Web Антивирус се явяватоптималните за режима, в който се извършва сканирането позаповед на потребителя. Програмата извършва най-пълно иподробно сканиране на избраните обекти, информирайкипотребителя за всички заразени или подозрителни обекти ипредоставя възможност за назначаване на действие от програматапо отношение на тях. Изключения се явяват обекти, съдържащипрограми-шеги, потенциално опасните програми и програмите завзлом: по подразбиране те се игнорират.

Когато сканирането се извършва без участие на потребителя,оптималните настройки, осигуряват автоматичната реакция напрограмата при откриване на заразените обекти.



Настройка на реакцията на програмата приоткриване на заразени обекти

1. Преминете в прозореца на настройките на подпрозорецаДействия.

2. Изберете в падащия списък за Инфектирани обектиреакцията на програмата при откриване на заразенитеобекти.

Оптималното за автоматичния режим се явява значениетоИзлекувай.

3. Изберете в падащия списък за Неизлечими обектиреакцията на програмата при откриване на неизлечимитеобекти. Това действие е аналогично разгледано впредишния пункт, с тази разлика, че варианта Излекувайотсъства.

В болшинството случаи оптимален се явява вариантаПремести.



4. Изберете в падащия списък за Подозрителни обектиреакцията на програмата при откриване на подозрителниобекти (напълно аналогично на предишния пункт).

5. Аналогично се настройват реакциите на програмата приоткриване на обекти, съдържащи рекламни програми,програми dialers, програми-шеги, потенциално опаснипрограми и програми за взлом.

6. Аналогично се настройват автоматичните действия напрограмата при откриване на вируси или подозрителен кодв файловите архиви, контейнери и пощенски кутии.Действия по отношение на горепосочените обекти сеизпълняват над целия обект, а не само над заразената мучаст. По подразбиране във всички тези случаи епредвидено информиране.

7. Махнете отметката пред Запитване за потвърждение,за да изпълнява програмата предписаното действие безпредварително запитване.

8. В случаите, когато в качеството на реакция на програматае зададено преименуване, програмата по подразбиранезаменя първия символ на разширението от името на файлас #. При необходимост можете да промените маската запереименуване на разширенията на файла. За товавъведете нужното значение на маската за переименуване вполето за въвеждане Преименувай разширението.

9. В случаите, когато в качеството на реакция на програматае зададено преместване, програмата по подразбиранепремества файла в поддиректорията infected.!!! надиректорията на инсталация на програмата. Принеобходимост можете де зададете друго име надиректорията в полето за въвеждане Път запреместване.

10. За успешното завършване на лечението на някои заразени(инфектирани) файлове е необходим рестарт наоперационната система. Параметрите на рестарт насистемата можете да настроите в прозореца Настройкина лечението. Отворете този прозорец, натискайкибутона Допълнително, разположен в долния десен ъгълна подпрозореца. Можете да изберете един от вариантите:



Рестартирай системата автоматично, ако енеобходимо. Този режим може да доведе до загубана несъхранените данни;

Не рестартирай системата автоматично. В случайна избор на този вариант се препоръчва да поставитеотметка пред Предлагай рестарт в случай нанеобходимост, за да може коректно да завършилечението на инфектираните файлове в удобно за Васвреме.

Подпрозорец Тип файлове

В този поддпрозорец се задават допълнителните ограничения засъстава на файловете, подлежащи на сканиране в съответствиесъс заданието за сканиране, а също се указва, ще се извърши липроверка на пощенските файлове и архиви.

В групата бутони избора на Режим на проверката се задаваметода на подбора на проверяваните файлове:

варианта Всички файлове обезпечава максимална защита(избран е по подразбиране);

варианта Избраните типове и Зададени маскипредписват да се проверяват само файловете, разширениятаили имената на които съответно влизат в списъка, задаван вдясната част на подпрозореца. По подразбиране списъкавключва разширенията на основните типове файлове,можещи да бъдат носители на вируси, и основните типовефайлове архиви. Вие можете да редактирате този списък.

В този поддпрозорец се задават също и режимите на проверка наФайлове в архивите и Пощенски файлове. По подразбиранесе проверяват и файловите архиви, и пощенски кутии.

Подпрозорец Отчет

В този поддпрозорец можете да настроите параметрите на воденена файла за отчета.



Болшинството параметри, зададени по подразбиране, следва дасъхраните, освен по вида на натоварване при опита в работата сотчета можете да измените степента на детайлност напротоколираните събития (в отчета винаги се включват сведенияза заразените и подозрителните обекти; сведения за проверка наупакованите файлове и архивите и сведения за успешнатапроверка на останалите файлове по подразбиране не савключени).

Можете да укажете на програмата да показва в отчета сведения запроверката на всички файлове, независимо от изхода – за товапоставете отметка пред Проверяеми обекти (това значителноще увеличи обема на отчета).

Можете да укажете на програмата да показва имената наархиваторите (поставете отметка пред Имена на архиваторите)или упаковачите на изпълняемите файлове (поставете отметкапред Имена на упаковачите).

Можете да отмените установеното по подразбиране ограничениена максималния размер на файла за отчета (махнете отметкатапред Максимален размер на файла за отчета) или въведетесобствено значение за лимита на дължината на файла в полето завъвеждане заедно с отметката.



Подпрозорец Общи

В този поддпрозорец се задават параметрите на взаимодействиена програмата с операционната система, а също и звуковитереакции на програмата за различните събития.

Отметката Автосъхранение на настройките предписва напрограмата да съхранява изменените настройки при завършванена работата със Скенера Dr.Web. В противен случайизмененията в настройките се съхраняват, само ако потребителяявно е указал това (пункта Съхрани настройките в менютоНастройки на главния прозорец на Скенера Dr.Web). Тозирежим е зададен по подразбиране.

Отметката Проверка работата от батерията позволява да сепроверява преди началото на сканиране, работи ли ноутбука набатерея. Опцията е достъпна само за портативните компютри(ноутбуци).

Плъзгача Приоритет за проверка позволява да изменитеприоритета на процеса на сканиране в системата.



3.4.4. Сканиране в режим на команден ред

Вие можете да стартирате програмата Dr.Web Скенер заWindows в режим на команден ред. Този способ позволява дазададете настройки на текущия сеанс на сканиране и спесък насканираните обекти в качеството на параметри на извикване.Именно в такъв режим е възможно автоматичното извикване наСкенера по разписание.

Синтаксиса на командите за старт е следния:

[<път_до_програмата> ]drweb32w [<обекти> ] [<ключове> ]

Списъкът на обектите на сканиране може да бъде пуст или дасъдържа няколко елемента, разделени с кавички.

Най-разпространени са следните варианти за указаване наобектите на сканиране:

* – сканира всички твърди дискове;

C: – сканира диск C: ;

D:\games – сканира файлове в директорията;

C:\games\* – сканира всички файлове и поддиректории

на директорията C:\games.

Параметри – ключове на командните редове, с които се задаватнастройките на програмата. При тяхното отсъствие сканирането сеизпълнява с по-рано съхранените настройки (или настройките поподразбиране, ако не сте ги променяли).

Всеки параметър от този тип започва със символа /, ключовете се

разделят с кавички.

Долу са приведени няколко най-често използвани ключове.Пълния им списък се съдържа в Приложение A.

/cu – лекува инфектираните обекти.

/icm – премества неизлечимите файлове (в директорията

по подразбиране), /icr – преименува (по подразбиране).



/qu – затваря прозореца на Скенера при завършване на

сеанса.

/go – не издава никакви запитвания.

Последните два параметъра са особенно полезни приавтоматичния старт на Скенера (например, по разписание).

Вместо програмата Dr.Web Скенер за Windows можете даизползвате Dr.Web Конзолния скенер за Windows. В тозислучай вместо drweb32w е необходимо да наберете името на

командата drwebwcl.

Конзолната версия на скенера за Windows поподразбиране използва същите настройки, каквито и в GUI-версия Сканера. Параметрите, зададени със средствата награфичния интерфейс на Скенера (вж. т. Настройка на параметрите на програмата), се използват също ипри сканиране в режим на команден ред, ако други значения напараметрите не са били зададени във вид на ключове. Някоинастройки на Скенера могат да се задават само вконфигурационния файл на програмата. (вж. Приложение B).



3.4.5. Конзолен скенер DWScancl

Също в състава от компоненти на Dr.Web Антивирус влизаКонзолен скенер DWScancl. За разлика от Консолния скенерDrWebWcl, той предоставя на потребителя разширенивъзможности за настройки (по-голям брой параметри) и еразчетен за многопроцесорни системи.

Файловете, подозрителни за наличието на вредоносни обекти,Конзолния скенер DWScancl разполага не в директориятаinfected.!!!, а в Карантина.

За да стартирате Конзолния скенер DWScancl, се възползвайтеот следната команда:

[<път_до_програмата>]dwscancl [<ключ>] [<обекти>]

Списъка на обектите за сканиране може да бъде празен или дасъдържа няколко елемента, разделени със скоби.

Ключа започва със символа /, няколко ключа се разделят съсскоби. Списъка на ключовете за Конзолния скенер DWScanclсе съдържа в Приложение А.

Кодове на връщане:

0 – сканирането е успешно завършено, инфектирани обекти неса намерени

1 – сканирането е успешно завършено, намерени саинфектирани обекти

10 – указани са некоректни ключове

11 – ключовия файл не е намерен или не се поддържа отКонзолния скенер DWScancl

12 – не е стартиран Scanning Engine

255 – сканирането е прекъснато от потребителя



3.5. SpIDer Guard за Windows

По подразбиране SpIDer Guard се стартира автоматично привсеки старт на операционната система, припри което стартираниястраж SpIDer Guard не може да бъде изключен в течение натекущия сеанс на работа на операционната система. Принеобходимост (например, в случай на изпълнение на критичночувствителен към старта на процесора задание в реален мащаб отвреме) изберете в менюто на SpIDer Guard от контекстното менюна модула за управления пункта Изключи.

Временното изключване на мониторинга е достъпно само запотребители, имащи права на администратор.

При настройките по подразбиране стража «в полет» се проверяватна твърдия диск – само создаваемыесъздавани или променянифайлове, на външните носители – всички отваряни файлове.Освен това, стража постоянно следи действията на стартиранитепроцеси, характерни за вирусите, и при тяхното откриванеблокира тези процеси.

Стража в пакета на Dr.Web Антивирус при откриване назаразените обекти предприема към тях действия съгласноустановените настройки.

Съответните изменения на настройките можете да зададете иавтоматична реакция на програмата при вирусни събития.Потребителя може да следи за нея с помоща на прозореца застатистика и файла за отчета.



3.5.1. Управление на стража SpIDer Guard

В менюто на SpIDer Guard са съсредоточени основните средстваза настройка и управление на стража.

Пункта Статистика отваря проозорец, съдържащ сведения заработата на стража в течение на текущия сеанс (количеството напроверените, заразените и подозрителните обекти, предприетитедействия и др.).

Пункта Настройки отваря достъп до основната част нанастройваните параметри на програмата (подробно вж. т.Основни настройки на стража).

Пункта Изключи позволява временно да се изключи SpIDerGuard (достъпно само за потребители, имащи права наадминистратор за дадения компютър).

Пунктовете Настройки, Изключи/Включи са достъпни самов Административен режим.

При изключване на SpIDer Guard се запитва за код запотвърждение.



3.5.2. Основни настройки на стража

Основните настройвани параметри на стража са съсредоточени враздели в прозореца Настройки на SpIDer Guard (вж. долу). Зада получите помощ за параметрите, задавани в някой раздел,

преминете в този раздел и натиснете бутона Помощ .

При завършване на редактирането на настройките натиснетебутона ОК, за да съхраните измененията, или бутона Отказ, за дасе откажете от внесените изменения.

Долу се описват някои най-често променяни настройки напрограмата.

Раздел Проверка

По подразбиране е инсталиран режим на проверка Оптимален:сканиране на твърдите дискове – само стартиращите, създаванитеили променяните файлове, на външни носители – всичкиотваряни файлове.

В оптималния режим SpIDer Guard не определя DOS-приложенията (например, тестовия файл EICAR) катовредоносна програма, тъй като те не представляват заплаха закомпютъра.

В режим Параноичен се извършва проверка на всички отваряни,създавани или променяни файлове на твърдите дискове, външниносители и мрежови дискове.

Отметката пред Използвай евристичния анализ включварежима на евристичния анализатор (режим на търсене нанеизвестни вируси на основание анализ на структурата на файла).



Групата настройки Допълнителни възможности позволява дасе зададат параметри за проверка «в полет», които ще бъдатприложени независимо от избрания режим на работа на стражаSpIDer Guard. Също можете да забраните автоматичния старт наактивно съдържани от външни носители на данни (CD/DVDдискове, флаш-памети и т.н.), поставяйки отметка предБлокирай автостарта от сменяеми носители. Използванетона тази настройка помага да се предотврати заразяването навашия компютър чрез външни носители.

В случай на възникване на проблем при инсталацията напрограми, обръщащи се към файла autorun.inf, се препоръчвавременно да се махне отметката пред Блокирай автостартаот сменяеми носители.

Можете да зададете проверка на:

файловете стартиращи процеси независимо от тяхноторазположение;

инсталационни файлове;

файлове на мрежовите дискове;

файлове и зареждащи сектори на външни носители.



Някои външни устройства (като, мобилните телефони синтерфейс USB) могат да се представят в системата като твърдидискове. За това такива устройства следва да се използват сособенно внимание, проверявайки ги за вируси привключването им към компютъра с помоща на антивируснияСкенер.

Отказа от проверка на архивите в условията на постояннаработа на стража не води до проникване на вируси накомпютъра, а само отлага момента на тяхното откриване. Приразопаковането на заразения архив (отварянето на заразенописмо) ще бъде направен опит за запис на инфектирания обектна диска, при което стража неминуемо ще го открие.

Задание за изключения

В раздела Изключения се задава списък с директории ифайлови, изключени от проверка.

В полето Списък на изключените пътища и файлове сеописва списъка с директории и файлови, които не се проверяватот стража SpIDer Guard. В качеството на такива могат да садиректорията на карантината, работни директории някоипрограми, времени файлове (файлове на препратки) и т. н.

По подразбиране списъка е празен. Вие можете да добавите къмизключените конкретни директории и файлове или да използватемаски, за да забраните проверката на определена група файлове.

Вие можете да формирате списък на изключените в следнияобраз:

за да укажете конкретно съществуващи директория илифайл, натиснете бутона Избор и изберете директория илифайл в стандартния прозорец при отваряне на файла.Можете и ръчно да внесете пълния път до файла илидиректорията в полето за въвеждане;

за да изключите от проверка всички директории и файлове сопределени имена, въведете това име в полето завъвеждане. Указването на пътя до директорията или файлав този случай не е необходимо;



за да изключите от проверка директории и файлове отопределен вид, въведете определящата им маска в полетоза въвеждане. Маската задава общата част от имената наобекта. При което:

символа «*» заменя всяка, възможно празна

последователност от символи;

символа «?» заменя всеки, но само един символ;

останалите символи на маската нищо не заменят иозначават, че на това място в името трябва да сенамира именно този символ.

Пример:

отчет*.doc – маска, задава всички документи наMicrosoft Word, названието на които започва с подреда«отчет», например, файла за отчета-февруари.doc,отчет121209.doc и т.н.;

*.exe – маска, задава всички изпълняеми файлове cразширение EXE, например, setup.exe, iTunes.exe и т.н.;

photo????09.jpg – маска, задава всички файлове заизображение с формата JPG, названието на коитозапочва с подреда «photo» и завършва с подреда«09», при това между двата подреда в названието нафайла стоят четири произволни символа, например,photo121209.jpg, photoмама09.jpg или photo----09.jpg.

Бутона Добави позволява да добавите към списъка изключение,указано в полето за въвеждане.

Бутона Изтрий позволява да изтриете от списъка избранотоизключение.

Настройка на действията

В раздела Действия можете да настроите автоматичнитедействия на стража със заразените обекти.

Състава на достъпните реакции зависи от типа на вируснотосъбитие.



Реакциите Лекувай, Перемести в карантина, Игнорирай иИзтрий са аналогични на тези реакции на Скенера.

Изменение на настройките на стража

1. В прозореца Настройки на SpIDer Guard изберетераздела Действия.

2. Изберете в падащия списък Инфектирани файловереакцията на програмата при откриване на инфектиранияобект. Препоръчва се действието Лекувай.

3. Изберете в падащия списък Неизлечими реакцията напрограмата при откриване на неизлечим обект. Препоръчвасе действието Карантина. По нататашни действия спреместените файлове е разгледано в т. Действияпри откриване на вируси.

4. Изберете в падащия списък Подозрителни файловереакцията на програмата при откриване подозрителенобект. Препоръчва се действието Игнорирай илиПеремести в карантина.

5. Изберете в падащия списък Потенциално опасниРекламни програми и Програми dialers реакцията напрограмата при откриване подозрителeн обект.Препоръчва се действието Перемести в карантина.



6. Аналогично се настройва реакцията на програмата приоткриване обекти, съдържащи рекламни програми,програми dialers, програми-шеги, потенциално опаснипрограми и програми за взлом. Препоръчва се действиетоИгнорирай.

7. Натиснете бутона ОК.

Раздел Отчет

В този раздел можете да зададете една от следните степени надетайлност на водене на отчета:

Стандартен – в дадения режим в отчета се фиксират самонай-значимите събити, такива като проведенитеобновявания, старт и стоп на стража SpIDer Guard ивирусните събития. Този режим на водене на отчета еподходящ за болшинството приложения;

Разширени – в дадения режим в отчета освен общитесъбития се фиксират данните за проверяемите файлове,имената на архиваторите и съдържанието на проверяемитесъставни обекти (архиви, файлови от електронната пощаили файлови контейнери);

Отстраняващ – в дадения режим в отчета се фиксирамаксималното количество информация за работата настража SpIDer Guard, което може да доведе до значителноувеличение на файла за отчета.



3.6. SpIDer Mail за Windows

Пощенския страж SpIDer Mail за Windows по подразбиране евключен в състава от инсталиращи се компоненти, и постоянно сенамира в паметта и автоматично се стартира при старт наWindows. (Автоматичното стартиране на пощенския страж може даизключите в настройки на SpIDer Agent).

По подразбиране програмата автоматично прихваща всичкиобръщения на всички пощенски програми на вашия компютър къмPOP3-сървърите по порт 110, към SMTP-сървърите по 25, къмIMAP4-сървърите по порт 143 и към NNTP-сървърите по порт 119.

Антивирусния пощенски страж получава всички входящи писмавместо пощенския клиент и ги подлага на антивирусно сканиранес максимална степен на подробност. При отсъствие на вируси илиподозрителни обекти те се предават на пощенските програми в«прозрачен» образ – така, както ако бяха посътъпилинепосредственно от сървъра. Аналогично изходящите писма сепроверяват до изпращането на сървър.

Реакцията на програмата към инфектирани и подозрителнивходящи писма, а също и писма, не преминали проверка(например, писма с прекалено сложна структура), поподразбиране е следната (за изменение на тези настройки вж. т. Основни настройки на пощенския страж):

от заразените писма се изтрива вредоносната информация(лечение);

писмата с подозрителни обекти се преместват във вид наотделни файлове в карантина, почтовойпощенскатапрограма изпраща съобщение за това;

писма, не преминали проверка, се пропускат, както инезаразените;

всички изтрити или преместени писма също се изтриват отPOP3- или IMAP4-сървъра.

Инфектираните или подозрителни изходящи писма не се предаватна сървъра, потребителя се известява за отказа за изпращане насъобщението (като правило, пощенската програма при товасъхранява писмото).



При наличие на компютъра на неизвестен вирус, разпространяващсе чрез електронната поща, програмата можетможе да определяпризнаците за типичното за такива вируси «поведение» (масовипрепратки). По подразбиране тази възможност е включена.

Настройките на програмата по подразбиране се явяватоптималните за начинаещите потребители, обезпечаващимаксимално ниво на защита при минимално вмешателство напотребителя. При това, еднакво, се блокират някои възможностина пощенските програми (например, изпращането на писма помного адреси може да бъде възприето като масово разпращане,получаването на спам не се разпознава), а също се губивъзможността за получаване на полезната информация отавтоматичното унищожение на писмата (от незаразената текстовачаст). По-опитните потребители могат да променят параметритеза проверка на пощата и настройките за реакция на програматапри събития.

В някои случаи автоматичното прихващане на POP3-, SMTP-,IMAP4- и NNTP-свързвания е невъзможно; в такъв случайпрограмата предоставя възможност да настроите прихващанетона свързването ръчно.

Скенера също може да открива вируси в пощенските кутии внякои формати, като пощенския страж SpIDer Mail имайки преднего ред преимущества:

далеч не всички формати на пощенските кутии отпопулярните програми се поддържат от стража и Скенера;напротив, при използването на пощенския страж заразенитеписма даже не попадат в пощенските кутии;

Скенера проверява пощенските кутии, но само по заповедна потребителя или по разписание, а не в момента наполучаване на пощата, защото това действие се явяватрудоемко и отнема значително време.

В такъв образ, при настройките на всички компоненти поподразбиране на пощенския страж SpIDer Mail пръв открива и недопуска на компютъра вируси и подозрителни обекти,разпространяващи се по електронната поща. Неговата работа сеявява силно икономична от гледна точка на разхода на



изчислителни ресурси; останалите компоненти могат да не сеизползват за проверка на пощенските файлове.

3.6.1. Управление на пощенския стражSpIDer Mail

Управлението на компонента SpIDer Mail се осъществява спомоща на менюто в пункта на SpIDer Mail, разположено вконтекстното меню на иконката на модула за управление на

SpIDer Agent (вж. Модул за управление на SpIDer Agent).

При избор на пункта Настройки се отваря прозорец за настройкина компонента (вж. т. Основни настройки на пощенския страж).

При избор на пункта Статистика се отваря прозорец синформация за работата на програмата в текущия сеанс (броя напроверените, заразените, подозрителните обекти и предприетитедействия).

Изберете Изключи за да спрете работата на стража. За дастартирате SpIDer Mail изберете пункта Включи.



Пункта Настройки е достъпен само в Административен режим.

3.6.2. Основни настройки на пощенскиястраж

При необходимост можете да измените настройките на пощенскиястраж. За това отворете прозореца настройки (вж. Управлениена пощенския страж SpIDer Mail).

При редактиране на настройките ползвайте системната помощ напрограмата (общата помощ по всеки раздел се извиква принатискането на бутона Помощ).

При завършване на редактирането на настройките натиснетебутона ОК.

Болшинството настройки по подразбиране се явяват оптимални вболшинството случаи. Долу се описват параметрите, за коиточесто възниква необходимост за настройки, различни отзададените по подразбиране.

Настройка на действията над съобщенията приоткриване на заплаха

Вие можете да настроите реакцията на програмата в раздела АВ-проверка.

Реакциите на програмата за всеки тип заплаха се избират впадащите списъци. Препоръчва се инсталирането на следнитедействия:

за Инфектирани писма – действието Лекувай;

за Неизлечими съобщения и Подозрителни писма –действието Премести в карантината;

за Непроверени и Повредени писма – действието



Пропускай;

за рекламни програми и програми dialers – действиетоПремести в карантината;

за програми-шеги, програми за взлом и потенциално опаснипрограми – действието Пропускай.

Защитата от подозрителните писма може да изключите само вслучай, когато компютъра е допълнително защитен отпостоянно стартирания страж SpIDer Guard.

Вие можете да увеличите надеждността на антивирусната защитав сравнение с нивата, предвидени по подразбиране, избирайки всписъка за Непроверени писма пункта Премести вкарантината. Файловете от преместените писма в този случай сепрепоръчва да проверите със Скенера.

Опитните потребители могат също да се откажат от режима, вкойто изтриваните или преместени от програмата писма същоведнага се изтриват от POP3/IMAP4-сървъра, изтривайки такиваписма ръчно или с използване на по-гъвкави настройки напощенските програми. За това махнете отметката пред Изтриваймодифицираните писма на сървъра в допълнителнитенастройки.



За достъп до допълнителните настройки на сканиране натиснетебутона Допълнително.

В отварящия се диалогов прозорец можете да настроитеособенностите на проверка, действията над писмата, а също иоптимизациятя на сканиране:

таймаут на проверка на писмото – максималното време,в течение на което писмото се проверява. При изтичане науказаното време проверката на писмото ще бъдепрекратена;

максималната дължина на файла приразархивиране. Ако програмата определи, определи, чеслед разархивиране на архива той ще бъде по-голям отуказаната дължина, проверката и разархивирането ще бъдатпрекратени;

максимален коефициент на компресия на архива. Акопрограмата определи, чточе коефициента на компресия наархива превишава указания, проверката и разархивиранетоще бъдат прекратени;

максимално ниво на вложеност в архива. Ако нивотона вложеност в архива превишава указаното, проверка щебъде извършена само до указаното ниво на вложеност.



Раздел Прихващане

По подразбиране стража автоматично прихваща пощенскиятрафик на всички потребителски приложения на вашия компютър.Да изключите проверката на пощенския трафик на някоипрограми можете в раздела Изключения. За това добаветенеобходимото приложение в списъка на изключените.

Управлението на прихващането на свързването с пощенскисървъри е съсредоточено в раздела Прихващане.

По подразбиране, прихващането се извършва автоматично.Списъка с прихващаните адреси се намира в допълнителнияпрозорец, за отварянето на който натиснете бутона Настройкина свързване.



По подразбиране, списъка на автоматично прихващанитеобръщения включва всички IP-адреси (зададени с помоща насимвола *) и портове 143 (стандартен за IMAP4-протокола), 119

(стандартен за NNTP-протокола), 110 (стандартен за POP3-протокола) и 25 (стандартен за SMTP-протокола).

За да изтриете някой елемент от списъка, изберете го в списъка инатиснете бутона Изтрий.

За да добавите някой сървър или група сървъри в списъка,въведете неговия адрес (домейно име или IP-адрес) в полетоАдрес, а номера на порта, към който произлиза обръщението, вполето Порт, и натиснете бутона Добави.

Адреса localhost не се прихваща при указване на символа *.

Дадения адрес при необходимост следва да се указва в списъкана прихващането в явен вид.

Настройка на прихващането ръчно

1. В описания по-горе прозорец избора на способа наприхващане (вж. горе) изберете варианта Ръчнанастройка на свързването и натиснете бутонаНастройки на свързване. Ще се отвори прозорец занастройките на свързването в ръчен режим.



2. Съставете списък на ресурсите (POP3/SMTP/IMAP4/NNTP-сървърите), обръщенията към които се предполаганеобходимост от прихващане. Преномерирайте ги безпропуск, започвайки от числото 7000. Тези номера по-натам ще бъдат наричани портоме на SpIDer Mail.

3. За всеки от ресурсите въведете в полето Порт на SpIDerMail присвоения му номер, в полето Адрес на сървъра –домейното име на сървъра, или неговия IP-адрес, в полетоПорт на сървъра – номера на порта, към който ще сеизвърши обръщението, и натиснете бутона Добави.

4. Повторете тези действия за всеки ресурс.

5. Натиснете бутона ОК.

В настройките на пощенския клиент вместо адреса и портаPOP3/SMTP/IMAP4/NNTP-сървър укажете адреса localhost:<порт_SpIDer_Mail>, където <порт_SpIDer_Mail> – порта,назначен за съответстващия POP3/SMTP/IMAP4/NNTP-сървър.



3.7. Dr.Web за Outlook

Основни функции на компонента

Допълнителния модул Dr.Web за Outlook изпълнява следнитефункции:

антивирусна проверка на вложените файлове в пощенскитесъобщения;

проверка на пощата, постъпваща по зашифровано свързванеSSL;

откриване и неутрализация на вредоносното програмнообезпечение;

използване на евристичния анализатор за допълнителназащита от неизвестните вируси.

Настройка на модула Dr.Web за Outlook

Настройката на параметрите и разглеждането на статистиките заработа на програмата се осъществяват в пощенското приложениеMicrosoft Outlook в раздела Сервиз Параметри подпрозорец Антивирус Dr.Web (в раздела Инструменти Опции подпрозорец Антивирус Dr.Web за Microsoft Outlook 2007).

Подпрозореца Антивирус Dr.Web в настройките наприложението Microsoft Outlook е достъпна само при наличиетоу потребителя на права, позволяващи изменението на даденитенастройки.



В подпрозореца Антивирус Dr.Web се показва текущотосъстояние на защитата (включена/изключена). Въпреки това, тяпредоставя достъп до следните функции на програмата:

Журнал – позволява да се настрои регистрацията на събитияна програмата;

Проверка на вложенията – позволява да се настроипроверката на електронната поща и да се определятдействията на програмата за откритите вредоносни обекти;

Статистика – показва данните за обектите, проверени иобработени от програмата.



3.7.1. Проверка за вируси

Dr.Web за Outlook използва различни методи на откриванена вирусите. Към намерените вредоносни обекти се прилагатопределените от потребителя действия: програмата може далекува инфектираните обекти, да ги изтрива или премества вКарантина за тяхната изолация и безопасно съхранение.

3.7.1.1. Вредоносни обекти

Програмата Dr.Web за Outlook открива следните вредоносниобекти:

инфектирани обекти;

файлове-бомби или архиви-бомби;

рекламни програми;

програми за взлом;

програми dialers;

програми-шеги;

потенциално опасни програми;

шпионски програми;

троянски програми;

компютърни червеи и вируси.



3.7.1.2. Действия

Dr.Web за Outlook позволява да се зададе реакция напрограмата при откриване на заразени или подозрителни файловеи вредоносни програми при проверката на вложенията велектронната поща.

За да настроите проверката на вложенията и да определитедействията на програмата за откритите вредоносни обекти, впощенското приложение Microsoft Outlook в раздела Сервиз Параметри подпрозорец Антивирус Dr.Web (за MicrosoftOutlook 2007 в раздела Инструменти Опции подпрозорецАнтивирус Dr.Web) натиснете бутона Проверка навложенията.



Прозореца Проверка на вложенията е достъпен само приналичието у потребителя на права на администратор насистемата.

За ОС Windows Vista и по-високи при натискане на бутонаПроверка на вложенията:

При включен UAC: на администратора ще му бъдезададено запитване за подтвърждение на действията напрограмата, на потребителя без административни праваще му бъде зададено запитване за въвеждане на даннитена администратора на системата;

При изключен UAC: администратора може да променянастройките на програмата, но потребителя няма даможе да получи достъп до изменение на настройките.

В прозореца Проверка на вложенията можете да зададетедействията на програмата за различните категории проверяемиобекти, а също и за случай, когато при проверката са възникналигрешки. Освен това, можете да настроите проверката на архивите.

За задаване на действията над откритите вредоносни обектислужат следните настройки:

Падащия списък Инфектирани задава реакция приоткриване на обекти, заразени с известни и (предполагаемо)излечими вируси.

Падащия списък Неизлекувани задава реакция приоткриване на обекти, заражени с известни неизлечимивируси, а също и когато предприетите опити за излекуванене са довели до успех.

Падащия списък Подозрителни задава реакция приоткриване на обекти, предполагаемо заразени с вируси(сработване на евристичния анализатор).

Раздела Вредоносни програми задава реакция приоткриване на следното нежелателно ПО:

рекламни програми;

програми dialers;

програми шеги;

програми за взлом;

потенциално опасни.



Падащия списък При грешка в проверката позволява дасе настрои действието на програмата в случай, акопроверката на вложенията е невъзможна, например, ако тепредставляват повредени или защитени с парола файлове.

Отметката Проверка на архивите позволява да се включиили изключи проверката на вложените файлове,представляващи архиви. Поставете дадената отметка завключване на проверката, махнете – за изключване.

Състава на достъпните реакции зависи от типа на вируснотосъбитие.

Предвидени са следните действия над откритите обекти:

Излекувай (действието е достъпно само за инфектиранитеобекти) – означава, че програмата ще предприеме опит даизлекува инфектирания обект;

Както за неизлекуваните (действието е достъпно само заинфектираните обекти) – означава, че към инфектиранотовложение ще бъде приложено действието, избрано занеизлекуваните обекти;

Изтрий – означава, че обекта ще бъде изтрит;

Премести в карантина – означава, че обекта ще бъдеизолиран в директорията Карантина;

Пропусни – означава, че обекта ще бъде пропуснат безизменение.


Dr.Web за Outlook регистрира грешки и произлизащи събития вследните журнали за регистрация:

журнал за регистрация на събития на операционнатасистема (Event Log);

текстовия журнал за отстраняване на грешки.



3.7.2.1. Журнал на операционната система

В журнала за регистрация на операционната система (Event Log)се записва следната информация:

съобщения за стартиране и спиране на програмата;

параметрите на лицензионния ключов файл: действителностили недействителност на лиценза, срока на действие налиценза (информацията се записва при старта напрограмата, в процеса на нейната работа и при замяна налицензионния ключов файл);

параметрите на модулите на програмата: скенера, ядрото,вирусните бази (информацията се записва при старта напрограмата и при обновяване на модулите);

съобщение за недействителност на лиценза: отсъствие наключовия файл, отсъствие в ключовия файл на разрешениеза използване на модули от програмата, лиценза еблокиран, нарушение на цялостността на ключовия файл(информацията се записва при старта на програмата и впроцеса на нейната работа);

съобщения за открите вируси;

уведомявания за изтичане на срока на действие на лиценза(информацията се записва за 30, 15, 7, 3, 2 и 1 дни предиизтичане на срока).

За да разгледате журнала за регистрация насъбитията на операционната система

1. Отворете Панела за управление на операционнатасистема.

2. Изберете раздела Администриране Разглеждане наСъбития.

3. В лявата част на прозореца Разглеждане на Събитияизберете пункта Приложение. Отваря се списък насъбитията, регистрирани в журнала за потребителскитеприложения. Източника на съобщения Dr.Web за Outlookсе явява приложението Dr.Web for Outlook.



3.7.2.2. Текстови журнал на грешки

В текстовия журнал за грешки се записва следната информация:

съобщения за действителност или недействителност налиценза;

съобщения за откриване на вируси;

съобщения за грешки при запис или четене на файлове,грешки при анализа на архиви или файлове, защитени спарола;

параметри на модулите на програмите: скенера, ядрото,вирусните бази;

съобщения за екстремните спирания на ядрото напрограмата;

уведомявания за изтичане на срока на действие на лиценза(информацията се записва за 30, 15, 7, 3, 2 и 1 дни придиизтичане на срока).

Веденето на текстовия журнал на програмата води доснижаване на бързодействието на системата, затова сепрепоръчва включването на регистрацията на събития само вслучай на възникване на грешки при работата на приложениятана Dr.Web за Outlook.

Настройка на регистрацията на събития

1. На подпрозореца Антивирус Dr.Web натиснете бутонаЖурнал. Отваря се прозореца за настройки на журнала.

2. Изберете ниво на детайлизация (от 0 до 5) за запис насъбития:

ниво 0 означава, че регистрацията на събитията втекстовия журнал за грешки няма да се води,

ниво 5 съответства на максимална детайлизация нарегистрираните събития.

По подразбиране регистрацията на събитията е изключена.

3. Задайте максимален размер (в килобайти) за файла нажурнала.



4. Натиснете бутона ОК за съхранение на измененията.

Прозореза Журнал е достъпен само при наличието на права наадминистратор на системата.

Разглеждане на журнала за събития на програмата

За разглеждане на текстовия журнал на събитията на програматанатиснете бутона Покажи в папка. Отваря се директорията, вкоято се съхранява журнала.

3.7.3. Статистика

В пощенското приложение Microsoft Outlook в раздела Сервиз Параметри подпрозорец Антивирус Dr.Web (за MicrosoftOutlook 2007 в раздела Инструменти Опции подпрозорецАнтивирус Dr.Web) се съдържа статистическа информация заобщия брой обекти, проверени и обработени от програмата.

Обектите се разделят на следните категории:

Проверени – общия брой на проверените писма.

Инфектирани – броя на писмата, съдържащи вируси.

Подозрителни – броя на писмата, предполагаемо заразенис вируси (сработване на евристичния анализатор).

Излекувани – броя на обектите, успешно излекувани отпрограмата.

Непроверени – броя на обектите, проверката на които еневъзможна или при проверката са възникнали грешки.

Чисти – броя на писмата, не съдържащи вредоносни обекти.

След тях се указва броя на обектите, които са били:

Преместени – броя на обектите, преместени в Карантина.

Изтрити – броя на обектите, изтрити от системата.

Пропуснати – броя на обектите, пропуснати без изменения.



По подразбиране статистиката се съхранява във файлаdrwebforoutlook.stat, който се намира в директорията

%USERPROFILE%\DoctorWeb (в Windows 7, C:\Users\<име напотребителя>\DoctorWeb).

Файла за статистика drwebforoutlook.stat се води отделно завсяка потребителска система.



3.8. Firewall

Dr.Web® Firewall е предназначен за защита на вашия компютърот несанкциониран достъп отвън и предотвратява изтичане наважните данни в мрежата.

Dr.Web Firewall позволява да контролирате свързването ипредаването на данни в Интернет и блокира подозрителнитесвързвания на ниво на пакети и приложения.

Dr.Web Firewall Ви предоставя следните преимущества:

контрол и филтрация на целия входящ и изходящ трафик;

контрол на свързванията на ниво приложения;

филтрация на пакетите на мрежово ниво;

бързо превключване между набори от правила;

регистрация на събития.

3.8.1. Обучение за Dr.Web Firewall

При работа с ограничени права на запис (Гост) Защитнатастена не показва запитване за опита за достъп до мрежата. Акоосвен сесията нагоста е отворена друга сесия с права наадминистратор, то запитването се показва в нея.

След инсталацията на Dr.Web Firewall за известно време впроцеса на вашата работа с компютъра се извършва обучение запрограмата. При откриване на опити от страна на операционнатасистема или на потребителските приложения да се свържат смрежата Dr.Web Firewall проверява, зададени ли са за тезипрограми правила за филтрация, и ако правилата отсъстват,извежда съответното предупреждение:



Обработка на съобщенията

1. При откриване на опити за свързване с мрежата от странана приложения, запознайте се със следната информация:

Поле Описание

Приложение Наименование на програмата. Удостоверете, чепътя до нея, указан в полето Път доприложението, съответства на правилноторазположение на програмата.

Път доприложението

Пълния път до изпълняемия файл наприложението и неговото име.

Цифров подпис Цифров подпис – приложения.

Отдалечен адрес Протокол и адрес на хоста, към който сеизвършва опита за свързване.

Порт Порт, по който се извършва опита за свързване.

Направление Тип на свързването.

2. Вземете решение за подходящата за дадения случайоперация и изберете съответното действие в долната частна прозореца:



за да блокирате даденото свързване, изберетедействието Забрани еднократно;

за да позволите на приложението даденото свързване,изберете действието Разреши еднократно;

за да преминете към форма на създаване на правилаза филтрация, изберете действието Създаване направило. Отваря се прозорец, в който Вие можете даизберете предвиденото правило, или ръчно дасъздадете правило за приложението.

3. Натиснете бутона OK. Dr.Web Firewall ще изпълниуказаната от Вас операция, и прозореца на съобщениетоще бъде затворен.

За създаване на правила са необходими права наадминистратор.

В случаите, когато програмата, осъществяваща опита засвързване, е вече известна на Dr.Web Firewall (т.е. има за неязададени правила за филтрация), но се стартират другинеизвестни приложения (родителски процеси), Dr.Web Firewallизвежда съответното предупреждение:



Правила за родителските процеси

1. При откриване на опити за свързване с мрежата от странана приложение, стартирано от неизвестна за Dr.WebFirewall програма, запознайте се с информацията заизпълняемия файл на родителската програма.

2. Когато вземете решение за подходящата за този случайоперация, изпълнете едно от следните действия:

за да блокирате еднократно свързването наприложението към мрежата, натиснете бутонаЗабрани еднократно;

за да позволите еднократно на приложението да сесвърже с мрежата, натиснете бутона Разрешиеднократно;

за да създадете правило, натиснете Създаване направило и в отварящия се прозорец задайтенеобходимите настройки за родителския процес.

3. Dr.Web Firewall ще изпълни указаната от Вас операция, ипрозореца ще бъде затворен.



Възможно е също и ситуация, при която неизвестно приложениесе стартира от други неизвестни приложения. В такъв случай впредупреждението ще бъде въведена съответната информация ипри избора на Създаване на правило ще се отвори прозорец, вкойто можете да настроите правилата както за приложенията,така и за родителските процеси:



3.8.2. Управление на програмата

Dr.Web Firewall се инсталира като компонент от мрежовотосвързване и се стартира автоматично при старт на операционнатасистема. При необходимост можете временно да спрете работатана Dr.Web Firewall, да разгледате статистиката на филтрация ида промените настройките на програмата.

След отварянето на сесия с ограничени права на запис (Гост)Защитната стена издава съобщение за отказа на достъп донея. SpIDer Agent рапортува за това, че Защитната стена еизключена. Въпреки това Защитната стена е включена иработи в съответствие с настройките по подразбиране или снастройките, зададени по - рано в административен режим.

Управлението на Dr.Web Firewall се осъществява с помоща накомпонента SpIDer Agent.



Управление на Dr.Web Firewall

1. Отворете контекстното меню от иконката на SpIDer

Agent .

2. Изберете в списъка компонента Firewall.

3. В отварящото се меню изберете необходимия пункт:

Пункт Описание

Статистика Изберете този пункт, за да отворите прозореца съссведенията за обработените от Dr.Web Firewallсъбития.

Настройки Изберете този пункт, за да получите достъп доосновната част на настройваните параметри напрограмата.

На страницата Възстановяване поподразбиране в прозореца на Dr.Web Firewallможете да възстановите параметрите на работа напрограмата, използвани по подразбиране.

Изключи Изберете този пункт, за да изключите временнозащитната стена. Временното изключване едостъпно само за потребители, имащи права наадминистратор. Прибягвайте до тази възможност свнимание.

Включи Изберете този пункт, за да стартирате изключенатазащитна стена. Този пункт се появява в менюто вслучай, когато работата на Dr.Web Firewall е билавременно прекратена.

При изключване на Защитната стена се извежда запитване закод за подтвърждение.

Пунктовете Настройки, Изключи/Включи са достъпни самов Административен режим.



3.8.3. Настройки

За достъпа до настройките на Dr.Web Firewall са необходимиправа на администратор.

За начало на работата с Dr.Web Firewall е необходимо:

да изберете режима на работа на програмата;

да настроите списъка на оторизираните приложения.

След рестарт на операционната система, ако не е избрано друго,Dr.Web Firewall ще започне работа в режим на обучение.Независимо от режима на работа автоматично ще започнерегистрация на събитията.

В случай на възникване на проблем с общия достъп доИнтернет (т.е. блокира се достъпа в Интернет до компютрите,свързани към възли), настройте на възловия компютърправилото за пакетния филтър, разрешаващо всички пакети отподмрежата, съгласно вашите локални настройки.

3.8.3.1. Филтър на приложенията

Филтрацията на ниво приложения позволява да контролиратедостъпа на конкретни програми и процеси до мрежовите ресурси.Вие можете да задавате правила както за потребителските, така иза системните приложения.

На страницата Настройки на филтъра за приложения(раздел Приложения) можете да формирате набор от правила зафилтрация, да създавате нови, редактирайки съществуващите илида изтриете ненужните правила. Приложението еднозначноидентифицира пълния път до изпълняемия файл. За указване наядрото на операционната система на Microsoft Windows (процесиsystem, за които няма съответен изпълняем файл) се използваимето SYSTEM.



Ако файла за приложения, за който е било създадено правило,се е изменил (например, било е инсталирано обновление), тоЗащитната стена ще предложи да се подтвърди, чеприложението може да се обръща към мрежовите ресурси.

Формиране на набора от правила

За формиране на набора от правила изпълнете едно от следнитедействия:

за да създадете набор от правила за нова програма,натиснете бутона Създаване;

за да отредактирате съществуващ набор от правила,изберете го в списъка и натиснете бутона Промяна;

за да добавите копие на съществуващите набори от правила,натиснете бутона Копиране. Копието се добавя подизбрания набор;

за да изтриете вички правила за програма, изберетесъответния набор в списъка и натиснете бутона Изтрий.



За всяка програма може да има не повече от един набор отправила за филтрация.

В прозореца Създаване на новия набор от правила заприложението (или Редактиране на набора от правила) сапоказани типа на правилата за конкретното приложение илипроцес, а също и списък правила, ако избрания тип правила еОсобенни. Вие можете да променяте типа на правилата, даформирате списък, добавяйки ново или да редактиратесъществуващи правила за филтрация, а също и да промените редана тяхното изпълнение. Правилата се примемат последователно,съгласно реда им в списъка.

Вие можете да създавате правило с помоща на прозореца занастройки на Dr.Web Firewall. При работа в режим на обучение,можете да инициирате създаване на правила непосредственно отпрозореца на съобщението за опита за несанкционираносвързване.



За всяко правило в списъка се предоставя следната краткаинформация:

Параметър Описание

Включено Състояние на правилото.

Действие Указва за действие, изпълняемо от Dr.WebFirewall при опит на програма за свързване къмИнтернет:

Блокирай пакети – блокира опита засвързване;

Разреши пакети – разрешава свързване.

Име на правилото Название на правило.

Тип на свързване Указва на инициатора на свързването:

Входящи – правилото се приема, ако сеинициира свързване от мрежата къмпрограма на вашия компютър;

Изходящи – правилото се приема, акосвързването инициира програма на вашиякомпютър;

Всяко – правилото се приема независимоот това, кой се явява инициатор насвързването.

Описание Потребителско описание на правилата.

Формиране на правила

1. Ако на страницата за Настройки на филтъра заприложения сте избрали създаване или редактиране нанабора от правила, в отварящия се прозорец задайтепрограмата или процеса, за който ще бъде приеман набораот правила. За това изпълнете едно от следните действия:

за да здадете набор от правила за програма, натиснете

бутона и изберете изпълняемия файл напрограмата;



за да здадете набор от правила за процеса, натиснете

стрелката на бутона , изберетеСтартиране на приложение и укажете процеса;

2. Изберете типа на правилата:

Разрешавай всичко – всички свързвания наприложенията ще бъдат разрешени;

Забранявай всичко – всички свързвания наприложенията ще бъдат забранени;

Особенни – в този режим можете да създадете наборот правила, разрешаващи или забраняващи тези илидруги свързвания на приложенията.

3. Ако сте избрали тип на правилата Особенни, създайтенабор от правила за приложенията използвайки следнитеопции:

за да добавите ново правило, натиснете бутонаСъздаване. Правилото се добавя в края на списъка;

за да редактирате избрано правило, натиснете бутонаПромяна;

за да добавите копие на избраните правила, натиснетебутона Копиране. Копието се добавя след избранотоправило;

за да изтриете избраното правило, натиснете бутонаИзтрий.

4. Ако сте избрали създаване на новото или редактиране насъществуващите правила, настройте неговите параметри впоказващия се прозорец.


Правилата за филтрация регулират мрежовото взаимодействие напрограмите с конкретните хостове в мрежата.



Създаване на правила

1. Задайте следните параметри за правилата:


Общи

Име Име на създаваното/редактируемото правило.

Описание Кратко описание на правилото.

Състояние Състоянието на правилото:

Активно – правилото се изпълнява;

Неактивно – правилото временно не сеизпълнява.

Тип насвързването

Инициатор на свързването:

Входящи – правилото се приема, ако сеинициира свързване от мрежата към програмана вашия компютър;

Изходящи – правилото се приема, акосвързването инициира програма на вашиякомпютър;




Всяко – правилото се приема независимо оттова, кой се явява инициатор на свързването.

Действие Указва действието, изпълняемо от Dr.Web Firewall при опита на програмите за свързване с Интернет:

Блокирай пакети – блокира опита засвързване;

Разреши пакети – разрешава свързване.

Настройки на правилата

Протокол Протокол за мрежовото и транспортното ниво, покоето се осъществява свързването.

Поддържат се следните протоколи на мрежово ниво:

IPv4;

IPv6;

IP all – протоколи IP от всички версии.

Поддържат се следните протоколи на транспортнотониво:

TCP;

UDP;

TCP & UDP – протоколи TCP или UDP.

Отдалечен/Локаленадрес

IP-адрес на отдалечения хост, участващ всвързването. Можете да указвате кактоконкретен адрес (Равен), така и диапазон от адреси(В диапазона), а също и маската на конкретнатаподмрежа (Маска) или маските на всичкиподмрежи, в които вашия компютър има мрежовиадрес (MY_NETWORK).

За да зададете правила за всичките хостове,изберете варианта Всеки.

Отдалечен/Локаленпорт

Порт, по който се осъществява свързването. Можетеда указвате както конкретен порт (Равен), така идиапазон от портове (В диапазона).

За да зададете правила за всичките портове,изберете варианта Всеки.



2. При завършване на редактирането на настройкитенатиснете бутона ОК за съхранение на внесените измененияили бутона Отказ за отказа от тях.

3.8.3.2. Родителски процеси

За да разрешите или забраните процеси и приложения дастартират други приложения, в раздела за Родителскитепроцеси задайте необходимите правила.

За да добавите правило за родителския процес

1. Изберете родителски процес:

задайте правило за програмата, като натиснетебутона Създаване и изберете изпълняемия файл напрограмата;

за да зададете правило за процеса, натиснетестрелката на бутона Създаване, изберетеСтартиране на приложение и укажете процеса.



2. Укажете необходимото действие:

Блокирай, за да забраните на приложението дастартира процеси;

Разреши, за да разрешите на приложението дастартира процеси.

По подразбиране добавяния родителски процес се блокира.

3.8.3.3. Филтър на пакетите

Филтрацията на ниво пакети позволява да се контролира достъпадо мрежата независимо от програмите, иницииращи свързване.Правилата се прилагат за всички мрежови пакети от определениятип, които се предават чрез един от мрежовите интерфейси навашия компютър. Този вид филтрация предоставя общимеханизми за контрол, различни от филтъра на приложения.

Dr.Web Firewall се инсталира със следните предварителнинабори от правила:

Allow all – всички пакети се пропускат;

Default rule – правила, описващи най-често срещанитеконфигурации на мрежите и разпространените атаки(използват се по подразбиране за всички нови интерфейси);

Deny all – всички пакети се блокират.

За удобство при използване и бързото превключване междурежимите на филтрация можете да зададете допълнителнинабори от правила.

Набор от правила за интерфейса

За да зададете параметрите на работа на пакетния филтър, впрозореца за настройки на Dr.Web Firewall изберете разделаФилтър на пакетите. На тази страница можете:

да формирате набор от правила за филтрация, създавайкинови, редактирайки съществуващите или изтривайкиненужните правила;

да зададете правила по подразбиране;

да зададете допълнителни параметри за филтрация.



Формиране на набора от правила

За формиране на набора от правила изпълнете едно от следнитедействия:

за да създадете набор от правила за новата програма,натиснете бутона Създаване;

за да редактирате съществуващ набор от правила, изберетего в списъка и натиснете бутона Промяна;

за да добавите копие на съществуващ набор от правила,натиснете бутона Копирай. Копието се добавя подизбрания набор;

за да изтриете избрания набор от правила, натиснетебутона Изтрий.

Правила по подразбиране

За да сложите набор от правила, приемани по подразбиране завсички нови свързвания мрежови интерфейси, изберете набор отправила в списъка и натиснете бутона По подразбиране.



Допълнителни настройки

За да зададете общи настройки за филтрация на пакетите, настраницата Настройки на пакетния филтър сложете следнитеотметки:

Отметка Описание

Включи двустраннияфилтър на пакетите

Сложете тази отметка, за да се отчитат прифилтрация състоянията на TCP-свързваниятаи да се пропускат само тези пакети,съдържанието на които съответства натекущото състояние. В такъв случай всичкипакети, предавани в рамките насвързванията, но несъответстващи наспецификацията на протокола, ще себлокират. Този механизъм позволява по-добре да се защити вашия компютър от DoS-атаки (отказ в обслужването), сканиране наресурсите, внедряване на данните и другизлонамерени операции.

Също се препоръчва да поставяте тазиотметка при използване на протоколи съссложни алгоритми на предаване на данните(FTP, SIP и т.н.).

Махнете тази отметка, за да се филтриратпакети без отчитането на TCP-свързванията.

ОбработвайфрагментиранитеIP пакети

Сложете тази отметка, за да се обработвакоректно предаването на големи обеми отданни. Размера на максималния пакет (MTU –Maximum Transmission Unit) за различнитемрежи може да варира, затова част от IP-пакетите при предаването може да бъдеразбита на няколко фрагмента. Приизползването на тази опция за всичкифрагментарни пакети се примема едно исъщо действие, предвидено от правилата зафилтрация на главния (първия) пакет.

Махнете тази отметка, за да се обрабтватвсички пакети по отделно.



Създаване на набора от правила

В прозореца Редактиране на набора от правила е показансписък с правила за филтрация на пакетите, влизащи вконкретния набор. Вие можете да формирате списък, добавяйкинови или редактирайки съществуващи правила за филтрация, асъщо и да променяте реда на тяхното изпълнение. Правилата сеприлагат последователно, съгласно реда им в списъка.

За всяко правило в списък се предоставя следната краткаинформация:


Включено Състояние на правилото.

Действие Указва за действие, изпълнявано от Dr.Web Firewallпри обработката на пакета:

Блокирай пакети – блокира пакети;

Разреши пакети – предава пакети.

Имена правилото

Име на правилото.




Направление Подател на пакета:

– правилото се прилага, ако се приемапакет от мрежата;

– правилото се прилага, ако пакетите сеизпращат от вашия компютър;

– правилото се прилага независимо оттова, кой се явява подател на пакетите.

Влизане Режим на регистрация на събития. Указва, какваинформация трябва да бъде внесена в отчета:

Само заглавия – внася в отчета самозаглавките на пакетите;

Целият пакет – внася в отчета пакета катоцяло;

Изключено – не се съхранява информация запакетите.

Описание Кратко описание на правилата.

Редактиране на набора от правила

1. Ако на страницата за Настройки на пакетния филтърсте избрали създаване на ново или редактиране направило, в отварящия се прозорец задайте името нанабора от правила.

2. Създайте правила за филтрация, използвайки следнитеопции:

за да добавите ново правило, натиснете бутонаСъздаване. Правилото се добавя в началото насписъка;

за да отредактирате избраното правило, натиснетебутона Промяна;

за да добавите копие на избраното правило, натиснетебутона Копиране. Копието се добавя пред избранотоправило;

за да изтриете избраното правило, натиснете бутонаИзтрий.



3. Ако сте избрали създаване на ново или редактиране насъществуващо правило, настройте неговите параметри.

4. Използвайте стрелката в дясно от списъка, за даопределите реда на изпълнение на правилата. Правилатасе изпълняват последователно, съгласно реда им всписъка.


Добавяне или редактиране на правила за филтрация

1. В прозореца създаване или редактиране на набор отправила за пакетния филтър натиснете бутона Създаванеили бутона Промяна. Ще се отвори прозореца засъздаване или редактиране на правилата за пакетнатафилтрация.



2. Задайте следните параметри за правилата:


Общи

Име Име на правилото.

Описание Кратко описание на правилото.

Състояние Състояние на правилото:

Активно – правилото се прилага;

Неактивно – правилото временно не сеприлага.


Входящи – правилото се прилага, ако сеприема пакет от мрежата;

Изходящи – правилото се прилага, акопакетите се изпращат от вашия компютър;

Всяко – правилото се прилага независимоот това, кой се явява подател на пакетите.

Действие Указва за действие, изпълнявано от Dr.WebFirewall при обработката на пакета:

Блокирай пакети – блокира пакети;

Разреши пакети – предава пакети.

Влизане Режим на регистрация на събития. Указва, какваинформация трябва да бъде внесена в отчета:

Само заглавия – внася в отчета самозаглавките на пакетите;

Целият пакет – внася в отчета пакета катоцяло;

Изключено – не се съхранява информацияза пакетите.

Мрежови протокол

Протокол Изберете един от следните протоколи:

IPv4 – Internet Protocol версия 4

IPv6 – Internet Protocol версия 6

IP all – Internet Protocol всяка версия




ARP – Address Resolution Protocol

EAPoL-802.1x – Extensible AuthenticationProtocol over LAN (стандарт IEEE 802.1X)

PPPoE Discovery

PPPoE Session

Novell IPX/SPX

За да се прилага правилото за всички протоколи,изберете Не е зададен.

ЛокаленIP адрес

(Достъпен е само за протоколи IPv4, IPv6 или IPall) Изберете метод за сравнение и задайте IP-адреса на вашия компютър.

ОтдалеченIP адрес

(Достъпен е само за протоколи IPv4 или IPv6)Изберете метод за сравнение и задайте IP-адресана отдалечения хост.

Промени (Достъпен е само за протокола IP all) Натиснете,за да се отвори прозореца за конфигурация напротоколите.

Укажете следните параметри:

Локален IPv4 адрес – метода за сравнениеи IP-адреса на отдалечения хост всъответствие с протокола Internet Protocolверсия 4;

Отдалечен IPv4 адрес – метода засравнение и IP-адреса на отдалечения хост всъответствие с протокола Internet Protocolверсия 4;




Локален IPv6 адрес – метода за сравнениеи IP-адреса на отдалечения хост всъответствие с протокола Internet Protocolверсия 6;

Отдалечен IPv6 адрес – метода засравнение и задайте IP-адреса наотдалечения хост в съответствие с протоколаInternet Protocol версия 6.

Протокол за транспорта

Протокол Изберете един от следните протоколи:

TCP

UDP

ICMPv4 – достъпен е само за мрежовияпротокол IPv4

ICMPv6 – достъпен е само за мрежовияпротокол IPv6

IGMP – достъпен е само за мрежовияпротокол IPv4

GRE – достъпен е само за мрежовияпротокол IPv4

SIPP-ESP

За да се прилага правилото за всички протоколи,изберете Не е зададен.

За протоколите ARP и EAPoL-802.1x избора напротокола за транспортното ниво е недостъпен (Нее зададен).

Настройкина MAC

Натиснете за настройки на параметрите зафилтрация на ниво MAC-адреси.




Укажете следните параметри:

Локален MAC адрес – MАС-адреса налокалния мрежови интерфейс;

Отдалечен MAC адрес – MАС-адреса наотдалечения хост.

При завършване на редактирането на настройките натиснетебутона ОК за съхранение на внесените изменения или бутонаОтказ за отказа от тях.

3.8.3.4. Интерфейси

На страницата за настройките за мрежовите интерфейси(Настройки на мрежовите интерфейси) можете да укажете,какъв набор от правила за филтрация да се прилагат за пакетите,предавани чрез определените мрежови интерфейси.



Набор от правила за интерфейса

1. За да зададете набор от правила за филтрация напакетите, предаващи се чрез определения интерфейс, впрозореца за настройки на Dr.Web Firewall изберетераздела Интерфейси.

2. Намерете в списъка интересуващия Ви интерфейс и госъпоставете със съответния набор от правила.Ако подходящия набор от правила отсъства в списъка,създайте го.

3. За да съхраните настройките, натиснете бутона OK.

3.8.3.5. Допълнителни настройки

На страницата Допълнителни настройки можете да зададетережима на работа на Dr.Web Firewall, а също и общитенастройки за филтрация за всички приложения.

Режима на работа задава реакцията на Dr.Web Firewall замрежовите свързвания на ниво приложения.



Избор на режима на работа

1. В прозореца за настройки на Dr.Web Firewall изберетераздела Режим на работа на Dr.Web Firewall.

2. Изберете един от следните режими на работа:

Разрешавай неизвестните – режим, при който занеизвестните приложения се предоставя достъп домрежовите ресурси;

Режим на обучение (създава правила заизвестните приложения автоматично) –режим на обучение, при който правилата заизвестните приложения се добавят автоматично(използва се по подразбиране);

Интерактивен режим – режим на обучение, прикойто на потребителя се предоставя пълния контролнад реакциите на Dr.Web Firewall;

Блокирай неизвестните – режим, при който всичкинеизвестни свързвания автоматично се блокират.

3. Натиснете бутона OK.

Режим на обучение

В този режим правилата за известните приложения се добавятавтоматично. За другите приложения на Dr.Web Firewall Ви сепредоставя възможност ръчно да забранявате или разрешаватенеизвестно свързване, а също и да създавате за него правило.

При откриване на опит от страна на операционната система илина потребителско приложение да получи достъп до мрежовитересурси Dr.Web Firewall проверява, зададени ли са с тезипрограми правила за филтрация. Ако отсъстват правила, сеизвежда съответното предупреждение, където Ви се предлага даизберете някое временно решение, или да създадете правило, покоето при следващото подобно свързване ще бъдат обработвани.

Този режим се използва по подразбиране.



Интерактивен режим

В този режим се предоставя пълен контрол над реакциите наDr.Web Firewall за откриване на неизвестното свързване, и втакъв вид се извършва обучението с програмата в процеса навашата работа с компютъра.

При откриване на опит от страна на операционната система илина потребителско приложение да получи достъп до мрежовитересурси Dr.Web Firewall проверява, зададени ли са с тезипрограми правила за филтрация. Ако отсъстват правила, сеизвежда съответното предупреждение, където Ви се предлага даизберете някое временно решение, или да създадете правило, покоето при следващото подобно свързване ще бъдат обработвани.

Режим на блокиране на неизвестните свързвания

В този режим всички неизвестни свързвания към мрежовитересурси, включително и Интернет, автоматично се блокират.

При откриване на опит от страна на операционната система илина потребителско приложение да получи достъп до мрежовитересурси Dr.Web Firewall проверява, зададени ли са тезипрограми правила за филтрация. Ако отсъстват правила, тоDr.Web Firewall автоматично блокира достъпа до мрежата и неизвежда никакви съобщения. Ако правила за филтрация за товасвързване са зададени, то се изпълняват указаните в тяхдействия.

Режим на разрешаване на неизвестните свързвания

В този режим достъпа до мрежовите ресурси, включително иИнтернет, се предоставя на всички неизвестни приложения, закоито не са зададени правила за филтрация. При откриване наопит за свързване Dr.Web Firewall не извежда никаквисъобщения.



Допълнителни настройки

За да зададете общите настройки за филтрация за всичкиприложения, поставете следните отметки:

Отметка Описание

Разрешилокалнитесвързвания

Сложете тази отметка, за да разрешите всичкиприложения безпрепятствено да установяватсвързвания на вашия компютър. Към такива свързванияправилата няма да се прилагат.

Махнете тази отметка, за да промените правилата зафилтрация независимо от това, произхожда лисвързването от мрежата или е в рамките на вашиякомпютъра.

3.8.3.6. База известни приложения

Можете да вземете участие в попълването на базата с известнитеприложения за Dr.Web Firewall.



Поставете отметка за Изпращай в «Доктор Веб» сведения засъздадените правила, за да разрешите на Dr.Web Firewallавтоматично да изпраща сведения за създаваните от вас правила.

Натиснете върху линка Политика на конфиденциалност на«Доктор Веб», за да се запознаете с политиката наконфиденциалност на сайта на компанията «Доктор Веб».

3.8.3.7. Възстановяване на настройките поподразбиране

На страницата за възстановяване на стандартните настройкиВъзстановяване на изходните настройки можете давъзстановите настройките на работа на вашата защитна стена,препоръчват се тези на Dr.Web Firewall.



Възстановяване на изходните настройки

1. За да възстановите стандартните параметри на работа напрограмата, в прозореца за настройки на Dr.Web Firewallизберете раздела Възстановяване по подразбиране.

2. Изпълнете някое от следните действия:

за да възстановите стандартните настройки нафилтъра за приложенията, в раздела Настройки нафилтъра за приложения натиснете бутонаВъзстанови;

за да възстановите стандартните настройки напакетния филтър, в раздела Настройки на пакетнияфилтър натиснете бутона Възстанови;

за да възстановите допълнителните настройки истандартния режим на работа Dr.Web Firewall, враздела Допълнителни настройки натиснетебутона Възстанови.

3. Натиснете бутона OK.


Всички събития, обработвани от Dr.Web Firewall, се регистрират в следните журнали(отчети):

Журнал за приложения, съхраняващ информацията заопитите за свързване с мрежата от страна на приложениятаи приложените правила за филтрация.

Журнал пакетния филтър, съхраняващ информацията заобработените от Dr.Web Firewall пакети, приложенитеправила за филтрация и интерфейсите, чрез които тезипакети са били предадени. Нивото на детайлизация зависиот настройките на конкретните правила за пакетнафилтрация.

В прозореца за Активни приложения също се показва исписък с приложения, свързани с мрежата в този момент.



За разглеждане на журналите

1. Отворете от контекстното меню иконката на SpIDerAgent.

2. Изберете в списъка компонента Firewall.

3. В отварящото се меню изберете пункта Статистика.

3.8.4.1. Активни приложения

Списък на активните приложения показва информация заприложенията, свързани с мрежата в този момент.

Колонка Описание

Приложение Кратко описание на приложенията (ако е достъпно воперационната система).

ID Процес Идентификатор на процеса.

Път Пълния път до изпълняемия файл на приложението,свързано в този момент към мрежата.



Използвайте информацията за идентификатора на процеса,съответстващ на стартираната програма, за да можете принеобходимост да прекратите нейното изпълнение ръчно.

3.8.4.2. Журнал на приложенията

Журнала за приложения съхранява информация за опитите засвързване към мрежата, извършени от инсталирани на вашиякомпютър програми.


Време Дата и време на опита за свързване.

Приложение Пълния път до изпълняемия файл наприложението, извършващо опита за свързване,неговото име и идентификатор на процеса (PID).

Име на правилото Название на правилото, съгласно което опита ебил обработен.




Направление Инициатор на свързването:

Входящи – правилото се прилага, ако сеинициира свързване от мрежата къмпрограма на вашия компютър;

Изходящи – правилото се прилага, акосвързване се инициира от програма навашия компютър;

Всяко – правилото се прилага независимоот това, кой се явява инициатор насвързването.

Действие Указва за действие, изпълнено от Dr.WebFirewall при опит за свързване:

Блокиран – опита за свързване е билоблокирано;

Разрешен – свързването е билоразрешено.

Целеви адрес Протокола, адреса на отдалечения хост и порта,по който се е осъществявало свързването.

Вие можете да съхраните информацията в отчета или даизчистите журнала.

Съхранение на журнала

За да съхраните информацията за опитите на приложенията да сесвържат с мрежата, натиснете бутона Съхраняване и укажетеиме за файла.

Изтриване на журнала

За да изтриете от журнала остарялата информация за опитите наприложенията да се свържат с мрежата, натиснете бутонаИзчисти.



3.8.4.3. Журнал на пакетния филтър

Журнала за пакетния филтър съхранява информация за пакетите,предадени чрез инсталираните на вашия компютър мрежовиинтерфейси, ако за тези пакети е указан режим за регистрация насъбития Само заглавки или Целият пакет. Ако за пакета е билизбран режим Изключено, информацията за него не сеотразява.


Време Дата и време на обработка на пакета.


– пакета е бил приет от мрежата;

– пакета е бил изпратен от вашиякомпютър;

– пакета, идващ от мрежата, е билблокиран;

– пакета, изпратен от вашия компютър,е бил блокиран.




Име на правилото Име на правилото, съгласно което пакета е билобработен.

Свързване Мрежовия интерфейс, чрез който е бил предаденпакета.

Съдържаниена пакета

Информация за съдържанието на пакета.Подробности за детайлизацията зависи отнастройките на правилата за пакетнатафилтрация (параметъра Влизане).

Вие можете да съхраните информацията в отчета или да изтриетежурнала.

Съхранение на журнала

За да съхраните информацията за пакетите, обработени от Dr.Web Firewall, натиснете бутона Съхраняване и укажете име нафайла.

Изтриване на журнала

За да изтриете от журнала остарялата информация за пакетите,обработени от Dr.Web Firewall, натиснете бутона Изчисти.



3.9. Задания за сканиране иобновяване

При инсталация на Dr.Web в системното разписание (папкатаНазначение на заданията) автоматично се създава задание заобновяване на вирусните бази и другите файлове от пакета, асъщо и заданието за провеждане на антивирусното сканиране (поподразбиране то е изключено).

В Windows XP пункта Организатор в раздела Инструменти вконтекстното меню на SpIDer Agent се отваря прозорецаЗадание за обновяване на Dr.Web. По натам са описанидействията за Windows XP.

В Windows Vista/7 се отваря стандартния организатор назаданията в Windows, в който заданията се настройватаналогично.



В подпрозореца Задание се указва пълното име на изпълняемияфайл и параметрите на командните редове на заданието.Отметката Разрешено предписва изпълнението на настроенотозадание (при махната отметка заданието се съхранява в папка, ноне се изпълнява).

В подпрозорец Разписание се задава разписание, в съответствиес което заданието ще бъде автоматично стартирано.

Натиснете бутона Допълнително. Отваря се прозорецаДопълнителни настройки разписания.



Вие можете да създавате собствени задания за обновяване иантивирусно сканиране, а също и да премахвате и редактиратесуществуващите. Подробно за работата със системнитеразписания вж. помощната система и документацията наоперационната система за Windows.

Ако в състава на инсталираните компоненти влиза Защитнатастена, то след инсталацията на Dr.Web Антивирус и първиярестарт, службата за системното разписание ще бъде блокиранаот Защитната стена. Компонента Назначени задания щефункционира само след повторен рестарт, т. к. необходимотоправило вече ще буде създадено към този момент.



Глава 4. Автоматично обновяване

За съвременните компютърни вируси е характерна огромнатаскорост на разпространение. В течение няколко дни, а понякога ичасове, новопоявилият се вирус може да зарази милионикомпютри по целия свят.

Разработчиците на антивирусния комплекс непрекъснато попълватвирусните бази с новите вирусни записи. След инсталацията натакива допълнения антивирусния комплекс е способен да откривановите вируси, да блокира тяхното разпространение, а в повечетослучаи – излекува заразените файлове.

От време на време се попълват антивирусните алгоритми,реализирани във вид на изпълняемите файлове и програмнитебиблиотеки на комплекса. Благодарение на опита приексплоатацията на антивируса се поправят откритите впрограмите грешки, осъвършенства се системата за помощ идокументацията.

За ускоряване и облегчаване на получаването и инсталирането наобновените вирусни бази и другите файлове служи специалниякомпонент – Dr.Web Модул за автоматично обновяванеза Windows.



4.1. Принцип на работа на модула заавтоматичното обновяване

Работата на модула за обновяване се определя от структурата навирусните бази и методиката на обновяване на базите и комплексакато цяло:

в състава на програмния комплекс влиза основната вируснабаза (файла drwebase.vdb) и нейните разширения(файловете drw50000.vdb, drw50001.vdb, drw50002.vdb,drw50003.vdb и drw50004.vdb). Всички заедно съдържатвирусните записи, известни в момента на пускане на тазиверсия на програмния комплекс (подробно за версиятавж. долу);

веднъж седмично се пускат ежеседмични допълнения –файлове с вирусни записи за откриване и обезвреждане навирусите, излезнали за времето, минало от пускането напредишното ежеседмично обновяване. Ежеседмичнитедопълнения са представени като файлове, наименованиетона които изглежда така: drwXXXYY.vdb, където XXX –е номера на текущата версия на антивируса (безразделителната точка), а YY – поредния номер наежеседмичното допълнение. Номерацията наежеседмичните допълнения започват с номера 05, т.е.първото допълнение на базата на антивируса е нареченоdrw50005.vdb;

по вида на необходимост (обикновенно няколко пъти вденонощие) се пускат горещи допълнения, съдържащивирусни записи за откриване и обезвреждане на всичкивируси, появили се след излизането на последнотоежеседмично допълнение. Тези допълнения се пускат въввид на файл с име drwtoday.vdb. В края на денясъдържанието на този файл се добавя във файла заобновяване на drwdaily.vdb. Съдържанието на файлаdrwdaily.vdb в края на седмицата се пуска във вид наежеседмично обновяване;



в състава на програмния комплекс влизат и допълнителнитебази за вредоносните програми drwnasty.vdb и drwrisky.vdb.Записите са, предназначени за откриване на рекламнитепрограми и програмите dialers, и се включват в състава навирусната база drwnasty.vdb. Записите за откриване напрограмите-шеги, потенциално опасните програми ипрограмите за несанкциониран достъп се включват в съставана вирусната база drwrisky.vdb;

от време на време се пускат кумулативни допълнения набазата за вредоносните програми. Горещите допълнения затези бази могат да се пускат значително по-рядко,отколкото за основновната вирусна база;

независимо от допълненията на вирусните бази, от време навреме се пускат обновяване на другите файлове;

от време на време се пускат радикални обновявания напрограмите за антивирусна защита. Това действие сеоформя като издаване на нова версия на антивируса.При това всички известни до този момент вирусни записи севключват в състава на новата главна вирусна база. Приинсталацията на новата версия се премахват старитевирусни бази.

В такъв образ структурата на вирусните бази ще бъде следната:

основна вирусна база drwebase.vdb;

разширения на основната вирусна база drw50000.vdb,drw50001.vdb, drw50002.vdb, drw50003.vdb и drw50004.vdb;

ежеседмични допълнения (drw50005.vdb, drw50006.vdbи т. н.);

горещи допълнение drwtoday.vdb;

належащо допълнение drwdaily.vdb;

допълнителни бази за вредоносните програми drwnasty.vdbи drwrisky.vdb;

кумулативни допълнения на базите за вредоноснитепрограми (dwn50001.vdb, dwn50002.vdb и т. н. и dwr50001.vdb, dwr50002.vdb и т. н.);

горещи допълнения на базите за вредоносните програмиdwntoday.vdb и dwrtoday.vdb.



За получаване и инсталиране на допълненията на вирусните базии обновяванията като цяло служи модула за автоматичнообновяване, описан долу (вж. т. Стартиране на модула заавтоматично обновяване).

За използване на модула за автоматично обновяване енеобходимо да имате достъп до Интернет.

Обновяването на Dr.Web трябва да се извърши при наличиетоу потребителя на администратора.



4.2. Стартиране на модула заавтоматичното обновяване

Модула за автоматичното обновяване може да се стартира поедин от следните способи:

автоматично, по разписание (вж. т. Задание за сканиране иобновяване);

в режим на команден ред, чрез извикването на изпълняемияфайл drwebupw.exe от директорията на инсталация напрограмата;

чрез избор на пункта Обновяване от контекстното меню наиконката на SpIDer Agent;

изберете пункта Обнови в отварящото се меню Файл вглавния прозорец на Скенера;

чрез натискане на F8 при активен прозорец на Скенера.

Ако стартирате модула Dr.Web Updater чрез менюто на SpIDerAgent или в режим на команден ред, ще се появи диалоговпрозорец, в който можете или да стартирате обновяване, или данастроите необходимите параметри. Можете да поставите отметкапред Води подробен отчет, за да може отчета за изменениятада е детайлен. Отчета се записва във файла drwebupw.log, койтосе намира в директорията %USERPROFILE%\DoctorWeb(в Windows 7, C:\Users\<име на потребителя>\DoctorWeb).

При старта на модула за обновяване автоматично, отчета сезаписва във файл drwebupw.log, който се намира вдиректорията на инсталацията.



Настройки

За да получите достъп до настройките на Dr.Web Updater,натиснете бутона Настройки. Изберете раздела Общи.

В този раздел можете да настроите:

Път до обновяванията. Dr.Web Updater може даполучава обновяванията от сървърите «Доктор Веб»(препоръчително) или от огледала за обновяване. Приизползване на огледала за обновяване укажетенеобходимите параметри;

Режим на обновяване. Можете да изберете един отвариантите:

Обновявай всичко (препоръчително). В тозирежим ще се обновяват компонентите на Dr.WebАнтивирус, вирусните бази и антивирусното ядро;

Обновявай само вирусните бази. В този режимкомпонентите на Dr.Web Антивирус няма да сеобновяват;



Външен вид. По подразбиране е включено показване науведомения за успешно обновените компоненти и вируснитебази. Можете да изключите тази опция.

В раздела Параметри на достъп до мрежата можете даукажете настройките за свързване към мрежата.

Изберете един от следните варианти:

ако за изход към Интернет прокси-сървър не се използва,изберете Директно свързване;

ако за изход към Интернет използвате текущиете настройкина прокси-сървъра, изберете пункта Настройки наInternet Explorer;

ако искате да зададете настройки за прокси-сървъра,изберете пункта Потребителски настройки и укажетенеобходимите параметри.

При стартиране на обновявания по разписание се използва пряко свързване към Интернет, т.е. настройките на InternetExplorer не могат да бъдат използвани. Ако е необходимосвързване чрез прокси-сървър, укажете необходимитепараметри направо в настройките за обновяване по разписание.



Стартиране на обновяванията

При старта на обновяването програмата проверява за наличие на лицензионния ключов файл в директорията наинсталация и при неговото отсътствие се опитва да го получи чрезИнтернет на сървъра www.drweb.com (това действие е разгледанов края на т. Получаване на ключовия файл). При отсътствие наключовия файл обновяването е невъзможно.

При наличие на ключовия файл програмата проверява на сървъраwww.drweb.com, дали ключовия файл не е блокиран(блокировката на файла се извършва в случай на неговатадискредитация, т. е. поява на фактори за неговото незаконноразпространение). В случай на блокиране обновяването не сеизвъшва, компонентите на Dr.Web Антивирус могат да бъдатблокирани; на потребителя се изпраща съответното съобщение.

В случай на блокиране на вашия ключов файл се свържете сдилъра, от който сте придобили Dr.Web Антивирус.

След успешната проверка на ключовия файл се извършваобновяването. Програмата автоматично зарежда всичкиобновления на файловете, съответстващи на вашата версия на Dr.Web Антивирус, а ако условията на вашия договорразрешават това, се зарежда новата версия на програмниякомплекс (в случай на нейното излизане).

При обновяването на изпълняемите файлове и библиотеки можеда се наложи рестарт на компютъра. Потребителя се известява затова с помоща на информационен прозорец.

Скенера може да използва обновените бази при следващия,след обновяването старт. Стража и Пощенския стражпериодично проверяват състоянието на базата и зарежд атобновените бази автоматично.

При старта на модула за автоматичното обновяване по разписаниеили в режим на команден ред се използват параметри за команденред (вж. Приложение A).

http://www.drweb.com

http://www.drweb.com



Приложения

5.1. Приложение A. Допълнителнипараметри за команден ред

Допълнителните параметри за команден ред (ключове) сеизползват за задаване на параметрите на програмите, които сестартират с отваряне за изпълнение на изпълняемия файл. Товасе отнася за Скенерите на всички версии (вж. т. Сканиранев режим на команден ред) и за модула на автоматичнотообновяване (вж. Глава 4. Автоматично обновяване). Тези ключовемогат да задават параметри, отсъстващи в конфигурационнияфайл, а тези параметри, които в тях са зададени, имат най- високприоритет.

Ключовете започват със символа / и, както останалите параметри

на командния ред, се разделят с кавички.

Понататък са изброени отделните параметри на командния ред заСкенера и за модула за автоматично обновяване. Ако ключа имамодификации, те също се изпълняват.

Параметрите са изброени в азбучен ред.



5.1.1. Параметри за команден ред заСкенерите

/? – извежда на екрана кратка справка за работата с

програмата.

/@<име_файл> или /@+<име_файл> предписва да се

извърши проверка на обектите, които са причислени вуказания файл. Всеки обект се задава в отделен ред нафайла-списък. Това може да бъде всеки пълен път с указаноиме на файла, всеки ред ?boot, означаващ проверка на

зареждащите сектори, а за GUI-версията на Скенера също иимена на файлове с маски и имена на директории. Файл-списъка може да бъде подготвен с помоща на всеки текстовиредактор ръчно, а също и автоматично от приложнипрограми, използващи Скенера за проверка на конкретнитефайлове. След завършване на проверката Скенера изтривафайл-списъка, ако е използвана форма на ключа безсимвола +.

/AL – проверява всички файлове на зададеното устройство

или в зададената директория независимо от разширениятаили вътрешния формат.

/AR – проверява файлове, намиращи се вътре в архивите.

В настоящото време се обезпечава проверка (без лечение)на архивите ARJ, ZIP, PKZIP, ALZIP, RAR, LHA, GZIP, TAR,BZIP2, 7-ZIP, ACE и др., а също и MS CAB-архиви – WindowsCabinet Files и ISO-образи на оптичните дискове (CD и DVD).В указания вид (/AR) ключа задава информиране на

потребителя в случай на откриване в архива, съдържание назаразени или подозрителни файлове. Ако ключа е допълненс модификатор D, M, или R, се извършват други действия:

o /ARD – изтрива;

o /ARM – премества (по подразбиране – в

поддиректорията infected.!!!);

o /ARR – преименува (по подразбиране първата буква

на разширението се заменя със символа #).

o Ключа може да завършва с модификатора N, в такъв

случай няма да се разпечатва името на програмата-архиватор след името на архивния файл.



/CN – задава действие над контейнери (HTML, RTF,

PowerPoint), съдържащи заразени или подозрителни обекти.В указания вид (/CN) ключа задава информиране на

потребителя в случай на откриване на такъв контейнер. Акоключа се допълва от модификаторите D, M, или R, се

извършват други действия над контейнерите:

o /CND – изтрива;

o /CNM – премества (по подразбиране – в


o /CNR – преименува (по подразбиране първата буква


o Ключа може да завършва с модификатора N, в такъв

случай няма да се разпечатва съобщение с указване натипа на контейнера.

/CU –действия над инфектирани файлове и зареждащите

сектори на дисковете. Без допълнителните парамери D, Mили R се извършва лечение на излечимите обекти и

изтриване на неизлечимите файлове (ако друго не езададено от параметъра /IC). Други действия се

изпълняват само над инфектирани файлове:

o /CUD – изтрива;

o /CUM – премества (по подразбиране – в


o /CUR – преименува (по подразбиране първата буква


/DA – тества компютъра един път в денонощието. Датата

на следващата проверка се записва във файла законфигурация, затова той трябва да бъде достъпен засъздаване и последващ презапис.

/EX – проверява файлове с разширения, съхраняващи се

в конфигурационния файл, по подразбиране или принедостъпност на конфигурационния файл, това саразширения EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV,PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*,HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z,TGZ, TAR, TAZ, CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP,SH, SHB, SHS, SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO,OBD, THE*, EML, NWS, SWF, MPP, TBB.



В случай, ако елемент от списъка на проверямите обектисъдържа явно указание за разширение на файла, дори и сприлагане на специалните символи * и ?, ще бъдат

проверени всички файлове, зададени в този елемент отсписъка, а не само подходящите по списък разширения.

/FAST – предписва провеждането на бързо сканиране на

системата (подробно за режима на бързо сканиране вж. т.Стартиране на Скенера).

/FULL – предписва провеждането на пълно сканиране на

всички твърди дискове и външни носители (включително изареждащите сектори).

/GO – пакетен режим на работа на програмата. Вички

въпроси, подразбиращи очакване на отговор отпотребителя, се пропускат; решения, нуждаещи се от избор,се прилагат автоматично. Този режим е полезно да сеизползва за автоматична проверка на файлове, например,при ежедневна или ежеседмична проверка на твърдия диск.

/HA – провежда евристичен анализ на файлове и търси

в тях неизвестни вируси.

/ICR, /ICD или /ICM – действия със заразените файлове,

излекуването на които е невъзможно: /ICR –

преименуване, /ICD – изтриване, /ICM – преместване.

/INI:<путь> – използва алтернативен конфигурационен

файл с указано име или път.

/LITE – предписва да се извърши стартова проверка на

системата, при която се проверяват оперативната памет,зареждащите сектори на всички дискове и обектите заавтостарт.

/LNG:<имя_файла> или /LNG – използва алтернативен

файл за езиковите ресурси (dwl-файл) с указано име илипът, а ако пътя не е указан – вградения (английски) език.

/ML – проверява файлове, имащи формат на съобщение от

E-Mail (UUENCODE, XXENCODE, BINHEX и MIME). В указаниявид (/ML) ключа задава информиране на потребителя в

случай на откриване на заразения или подозрителния обектв пощенския архив. Ако ключа се допълва от модификатораD, M, или R, се извършват други действия:



o /MLD – изтрива;

o /MLM – премества (по подразбиране – в поддиректорията

infected.!!!);

o /MLR – преименува (по подразбиране първата буква на

разширението се заменя със символа #).

o Освен това, ключа може да завършва с дополнителен

модификатор N (едновременно с това могат да бъдат

зададени и основните модификатори). В такъв случай сеотключва извеждането на информация за пощенскитефайлове.

/MW – действия със всички видове нежелателни програми. В

указания вид (/MW) ключа задава информиране на

потребителя. Ако ключа се допълва от модификатор D, M, Rили I, се извършват други действия:

o /MWD – изтрива;

o /MWM – премества (по подразбиране – в


o /MWR – преименува (по подразбиране първата буква

на разширението се заменя със символа #);

o /MWI – игнорира. Действията с отделните видове

нежелателни програми се определят с помоща наключовете /ADW, /DLS, /JOK, /RSK, /HCK.

/NI – не използва параметри, записани в конфигурациония

файл на програмата drweb32.ini.

/NR – не създава файл за отчета.

/NS – забранява възможността за прекъсване на проверката

на компютъра. След указанията на този параметърпотребителя не може да прекъсне работата на програматанатискайки клавиша ESC.

/OK – извежда пълния списък на сканираните обекти,

съпровождайки незаразените с отметка Ok.

/PF – запитва за потвърждение за проверка на следващата

дискета.

/PR – извежда запитване за потвърждение преди

действието.



/QU – Скенера изпълнява проверка на указаните в

командния ред обекти (файлове, дискове, директории), следкоето автоматично завършва (само за GUI-версията наСкенера).

/RP<име_файл> или /RP+<име_файл> – записва отчет

за работата на програмата във файл, името на който еуказано в ключа. При отсъствие на име записва във файл поподразбиране. При наличие на символа «+» файла се

дописва, а при отсъствие – се създава отново.

/SCP:<n> – задава приоритет на изпълнение на сканиране.

<n> може да приема значения от 1 до 50 включително.

/SD – проверява поддиректории.

/SHELL – за GUI-версията на Скенера. Отменя

показването на скрийнсейвъри, изключва проверка напаметта и файловете за автостарт. Също не се зареждат запроверка и по-рано съхранени списъци на пътищакъм проверяеми по подразбиране файлове и директории.Този режим позволява използване на GUI-версията наСкенера вместо конзолния за проверка само на тезиобекти, които са причислени в параметрите на команднитередове.

/SL – осъществява преход по символичните препратки по

време на проверка (само за конзолния Скенер).

/SO – включва звуково съпровождане.

/SPR, /SPD или /SPM – действия с подозрителните

файлове: /SPR – преименува, /SPD – изтрива, /SPM –

премества.

/SS – при завършване на работата съхранява режима,

зададен при текущия старт на програмата, вконфигурационния файл.

/ST – задава скрит режим на работа за GUI-версията на

Скенера. Програмата работи, без да отваря никаквипрозорци и самостоятелно завършва. Но ако в процеса насканиране са били открити вирусни обекти, при завършванена работата ще бъде отворен обичайния прозорец наСкенера. Такъв режим на работа на Скенера предполага,че списъка на проверяемите обекти се задава в команденред.

/TB – изпълнява проверка на зареждащите сектори и



главните зареждащи сектори (MBR) на твърдия диск.

/TM – изпълнява търсене на вируси в оперативната памет

(включаявключително и в системната област на Windows,само за Скенери за Windows).

/TS – изпълнява търсене на вируси във файловете за

автостарт (на папката Автостарт, системните ini-файлове,регистрите на Windows).

/UPN – при проверка на изпълняемите файлове, опаковани

със специални програми-опаковачи, не извежда във файлаза отчета названието на програмата, използвана заопаковка.

/WA – не завършва работата на програмата до натискане на

който и да е клавиш, ако са открити вируси илиподозрителни обекти (само за конзолните Скенери).

Режимите, инсталирани по подразбиране (ако отсъства или не сеизползва конфигурационния файл) са показани в таблица 2.

Някои параметри допускат задаване в края на символа «-».

В такава "отрицателна" форма параметъра означава отмяна насъответния режим. Такава възможност може да бъде полезна вслучай, че този режим е включен по подразбиране или поизпълнение на по-рано инсталиран в конфигурационния файл.Списъка с параметри в команден ред, допускащи "отрицателна"форма са: /ADW, /AR, /CU, /DLS, /FAST, /FULL, /HA, /HCK,

/IC, /JOK, /ML, /MW, /OK, /PF, /PR, /RSK, /SD, /SL, /SO, /SP, /SS, /TB, /TM, /TS, /WA.

За параметрите /CU, /IC и /SP "отрицательная" форма

отменяет выполнение любых действий, указанных в описании этихпараметров. Это означает, что в отчете будет фиксироватьсяинформация о зараженных и подозрительных объектах, ноникаких действий над этими объектами выполняться не будет.

За параметрите /INI и /RP "отрицателната" форма се записва

във вида /NI и /NR съответно.

За параметрите /AL и /EX не е предвидена "отрицателна"

форма, освен ако заданието на единия от тях не отменядействието на другия.



Ако в командния ред се срещат няколко взаимоизключващи сеключа, то действа последния от тях.



5.1.2. Параметри за Конзолния СкенерDWScancl

/AR – проверява архиви. По подразбиране опцията е

включена.

/AC – проверява контейнери. По подразбиране опцията е

включена.

/AFS – използва десен слеш при указване на вложености

вътре в архива. По подразбиране опцията е изключена.

/ARC:<число> – максималното ниво на компресия. Ако

Конзолния скенер определи, че коефициента накомпресия на архива превишава указаното, разпакетиране ипроверка не се извършва. По подразбиране – безограничение.

/ARL:<число> – максимално ниво на вложеност на

проверяемия архив. По подразбиране – без ограничение.

/ARS:<число> – максимален размер на проверяемия архив,

в килобайти. По подразбиране – без ограничение.

/ART:<число> – праг на проверка на нивото на компресия

(минимален размер на файла вътре в архива, от който щебъде започната проверката на коефициента на компресия),в килобайти. По подразбиране – без ограничение.

/ARX:<число> – максимален размер на проверяемите

обекти в архивите, в килобайти. По подразбиране – безограничение.

/BI – извежда информация за вирусните бази. По

подразбиране опцията е включена.

/DR – рекурсивно сканиране на директории (проверява

поддиректории). По подразбиране опцията е включена.

/E:<число> – използва указания брой двежения.

/FL:<име_файл> – сканира пътя, указан във файла.

/FR:<регулярно_изражение> – сканира файловете по

регулярното изразяване. По подразбиране се сканиратвсички файлове.

/FM:<маска> – сканира файловете по маска. По

подразбиране се сканират всички файлове.



/H or /? – извежда на екранна кратка помощ за работа с

програмата.

/HA – езвършва евристичен анализ на файлове и търси в

тях неизвестни вируси. По подразбиране опцията евключена.

/KEY:<ключов_файл> – указва пътя до ключовия файл.

Параметъра е необходим в случай, че ключовия файл не сенамира в същата директория, както и Конзолния скенер.По подразбиране се използва drweb32.key или другподходящ ключов файл от директорията C:\ProgramFiles\DrWeb\.

/LN – сканира файлове, в които се указват препратки. По

подразбиране опцията е изключена.

/LS – сканира под отчетен запис LocalSystem. По


/MA – проверява пощенските файлове. По подразбиране

опцията е включена.

/MC:<число> – установете максималния брой опити за

излекуване на файл. По подразбиране – без ограничение.

/NB – не създава резервно копие на излекуваните/изтритите

файлове. По подразбиране опцията е изключена.

/NI[:X] – ниво на използване на ресурсите на системата.

Определя обема памет използвана за сканиране и системнияприоритет на задачите за сканиране. По подразбиране – безограничение.

/NT – сканира NTFS-потоци. По подразбиране опцията е

включена.

/OK – извежда пълния списък на сканираните обекти,

отбелязвайки незаразените с знака Ok. По подразбиранеопцията е изключена.

/P:<приоритет> – приоритета на стартираните задачи за

сканиране в общата опашка от задачи за сканиране:

0 – слаб.

L – нисък.

N – обичаен. Приоритет по подразбиране.

H – висок.

M – максимален.



/PAL:<число> – ниво на вложеност от упаковачите. По

подразбиране – 1000.

/RA:<име на файла> – дописва отчета за работа на

програмата в указания файл. По подразбиране – отчет не сесъздава.

/RP:<име на файла> – записва отчета за работа на

програмата в указания файл. По подразбиране – отчет не сесъздава.

/RPC:<число> – таймаут на свързването c ScanEngine, в

секунди. По подразбиране – 30 секунди.

/RPCD – използва динамичен идентификатор RPC.

/RPCE – използва динамичен целеви адрес RPC.

/RPCE:<целеви_адрес> – използва указания целеви

адрес RPC.

/RPCH:<име_хост> – използва указаното име на хоста за

извикване на RPC.

/RPCP:<протокол> – използва указания протокол RPC.

Възможно е използването на протоколите: lpc, np, tcp.

/QL – извежда списък на всички файлове, поставени в

карантината на всички дискове.

/QL:<име_логически_диск> – извежда списък на всички

файлове, поставени в карантината на указания логическидиск.

/QR[:[d][:p]] – изтрива файла на указания диск <d>

(име_логически_диск), поставени в карантината вече <p>(количество) дни. Ако <d> и <p> не са указани, то ще бъдатизтрите всички файлове, намиращи се в карантината, навсички логически дискове.

/QNA – извежда пътя в двойни кавички.

/REP – сканира по символни връзки. По подразбиране

опцията е изключена.

/SCC – извежда съдържанието на съставните обекти. По


/SCN – извежда названието на контейнера. По


/SPN – извежда названието на упаковача. По подразбиране

опцията е включена.



/SLS – извежда лога на екрана. По подразбиране опцията е

включена.

/SPS – показва процеса на провеждане на сканирането. По

подразбиране опцията е включена.

/SST – извежда времето за сканиране на файла. По


/TB – изпълнява проверка на зареждащите сектори и

главните зареждащи сектори (MBR) на твърдия диск. Поподразбиране опцията е изключена.

/TM – изпълнява търсене на вируси в оперативната памет

(включително и системната област на Windows). Поподразбиране опцията е изключена.

/TS – изпълнява търсене на вируси във файловете за

автостарт (в папката Автостарт, системния ini-файл,регистъра на Windows). По подразбиране опцията еизключена.

/TR – сканира системните точки за възстановяване. По


/W:<секунди> – максималното време за сканиране. По

подразбиране – без ограничение.

/WCL – извежда, съвместим с drwebwcl.

/X:S[:R] – при завършване на сканирането приведи

машината в указания режим: изключване/рестарт/чакащрежим/спящ режим.

Задаване на действия с различните обекти (C - излекувай, Q -премести в карантина, D - изтрий, I - игнорирай, R - информирай.По подразбиране за всички - информирай):

/AAD:<действие> – действия за рекламни програми

(възможни действия: DQIR)

/AAR:<действие> – действия с инфектирани архиви


/ACN:<действие> – действия с инфектирани контейнери


/ADL:<действие> – действия с програми dialers (възможни

действия: DQIR)

/AHT:<действие> – действия с програми за взлом




/AIC:<действие> – действия с неизлечими файлове

(възможни действия: DQR)

/AIN:<действие> – действия с инфектирани файлове

(възможни действия: CDQR)

/AJK:<действие> – действия с програми-шеги (възможни

действия: DQIR)

/AML:<действие> – действия с инфектирани пощенски

файлове (възможни действия: QIR)

/ARW:<действие> – действия с потенциално опасни

файлове (възможни действия: DQIR)

/ASU:<действие> – действия с подозрителни файлове


Някои ключове могат да имат модификатори, с помоща на коиторежима явно се включва или изключва. Например

/AC- режима явно се изключва,

/AC, /AC+ режима явно се включва.

Такава възможност може да бъде полезна в случай, ако режима евключен/изключен по подразбиране или по изпълнение на по-рано установени в конфигурационния файл. Списък на ключовете,допускащи прилагане на модификатори: /AR, /AC, /AFS, /BI, /DR, /HA, /LN, /LS, /MA, /NB, /NT, /OK, /QNA, /REP, /SCC, /SCN, /SPN, /SLS, /SPS, /SST, /TB, /TM, /TS, /TR, /WCL.

За ключа /FL модификатора "-" означава: провери пътя, посочен

в указания файл, и изтрий този файл.

За ключовете /ARC, /ARL, /ARS, /ART, /ARX, /NI[:X], /PAL, /RPC, /W,приемащи в качеството на значения параметъра <число>, "0"

означава, че параметъра се използва без ограничение.

Пример за използване на ключа при старта на Конзолнияскенер DWScancl:

[<път_до_програмата>]dwscancl /AR- /AIN:C /AIC:Q C:\

проверява всички файлове, с изключение на архивите, на диск C,



инфектираните файлове лекува, неизлечимите премества вКарантина.



5.1.3. Параметри за команден ред на модулаза автоматичното обновяване

При старта на модула за автоматичното обновяване отОрганизатора на задания на Windows или в режим на команденред можете да въведете следните ключове за командните редове:

/DBG – води подробен отчет.

/DIR:<директория> – преназначаване на директорията, в

която се инсталират файловете за обновяване; поподразбиране това е директорията, от която модула заобновяване е бил стартиран.

/INI:<път> – използва алтернативния конфигурационен

файл с указано име или път.

/GO – пакетен режим на работа, без диалогови спирания.

/LNG:<име_файл> – име на файла за езиковите ресурси;

ако не е указан, се използва английски език.

/NI – не използва параметри, записани в

конфигурационния файл на програмата drweb32.ini.

/NR – не създава файл за отчета.

/PASS:<парола на потребителя за http-сървъра> – парола

на потребителя за сървъра за обновявания.

/PPASS:<парола на потребителя за прокси> – парола на

потребителя за прокси-сървъра.

/PUSER:<име на потребителя за прокси> – име на

потребителя за прокси-сървъра.

/PURL:<адрес прокси> – адрес на прокси-сървъра.

/QU – принудително затваря модула за обновявания след

завършване на сеанса на обновяване независимо от това,успешно ли е преминало или не. Успешното обновяванеможе да се провери по кода връщан от програматаdrwebupw.exe (например, от bat-файла по значениетона променливата errorlevel: 0 – успешно, другите

значения – неуспешно).

/REG – старта на модула за обновяване в режим на

регистрация и получаване на регистрационен ключ.



/RP<име_файл> или /RP+<име_файл> – записва отчет за

работа на програмата във файл, името на който е указано включа. При отсъствие на име се записва във файл поподразбиране. При наличие на символа «+» файла се

дописва, при отсъствие – се създава отново.

/SETTINGS – показва прозореца за настройки на модула за

автоматичното обновяване.

/SO – включва звуков съпровод (само при възникване на

грешки).

/ST – стартира модула за обновяване в невидим

прозорец (stealth mode).

/UA – зарежда всички файлове, заявени в списъка за

обновявания, независимо от използваната система иинсталираните компоненти. Режима е предназначен заполучаване на пълно локално копие на сървърната областна обновяванията на Dr.Web; този режим не трябва да сеизползва за обновяване на антивируса, инсталиран накомпютъра.

/UPM:<режим прокси> – режим на използване на прокси-

сървъра; може да се прилагат следните значения:

direct – не използва прокси-сървър,

ieproxy – използва системните настройки,

userproxy – използва настройки, задавани от

потребителя (в раздела Обновяване в панела занастройки на Dr.Web или от ключовете /PURL,

/PUSER, /PPASS).

/URL:<url сървъра за обновяване> – допускат се само UNC-

пътища.

/URM:<режим> – режима за рестарт след обновяването;

може да се прилагат следните значения:

prompt – при завършване на сеанса за обновяването

в случай на необходимост от рестарт издавазапитване,

noprompt – в случай на необходимост от рестарт без

издаване на запитване,



force – рестартира принудително винаги

(независимо от това, необходимо ли е това заобновяването или не),

disable – забранява рестарта.

/UPD – обичайно обновяване; прилага се заедно с ключа

/REG: в режим на регистрация на допълнително

стартиране и собствен сеанс на обновяване.

/USER:<име на потребителя за http-сървъра> – име на

потребителя за сървъра за обновяване.

/UVB – обновява само вирусните бази и ядрото drweb32.dll

(отменя действието на ключа /UA, ако той е зададен).

Режимите, инсталирани по подразбиране (ако отсъства или не сеизползва конфигурационния файл) са показани в таблица 2.

Параметъра /SO допуска задаване в края на символа «-».

В такава «отрицателна» форма ключа означава отмяна насъответния режим. Такава възможност може да бъде полезна вслучай, че този режим е включен при изпълнението на по-раноинсталиран в конфигурационния файл.

За ключовете /INI и /RP «отрицателната» форма се записва във

вида /NI и /NR съответно.

Ако в командния ред се срещат няколко взаимоизключващи сеключа, то действа последния от тях.



5.1.4. Връщани кодове

Възможните значения на връщания код и съответните им събитияса следните:

Връщан код Събитие

0 OK, не са намерени вируси или подозрения за вируси

1 открити са известни вируси

2 открити са модификации на известни вируси

4 открити са подозрителни за вирус обекти

8 в архивеа, контейнера или пощенската кутия саоткрити известни вируси

16 в архивеа, контейнера или пощенската кутия саоткрити модификации на известни вируси

32 в архивеа, контейнера или пощенската кутия саоткрити подозрителни за вирус обекти

64 успешно е изпълнено лечението дори само на единзаразен с вирус обект

128 изпълнено е изтриване/преименуване/преместванедори само на един заразен файл

Резултата на кода на връщане, формиран при завършване напроверката, е равен на сумата на кодовете на тези събития, коитоса станали по време на проверката (и неговите условия могатеднозначно да бъдат по него възстановени).

Например, връщания код 9 = 1 + 8 означава, че по време напроверката са открити известни вируси (вирус), в това число вархив; обезвреждане не се е провело; повече никакви "вирусни"събития не е имало.



5.2. Приложение B. Настройванипараметри на компонентите на Dr.Web

Настройваните параметри на компонентите на програмниякомплекс (с изключение на SpIDer Guard) се съхраняват, вконфигурационния файл на програмата (файла drweb32.ini,разположен в директорията на инсталация). Този файл иматекстови формат и се разделя на секции, съответстващи наотделните компоненти. Всеки парамеътр на някой откомпонентите се представя в съответната секция в редови вид:<параметър> = <значение>.

Изменение на значението на параметрите сеизвършва по един от следните способи:

чрез средствата на интерфейса на съответсващата програма(Скънера и Пощенския страж). Най-важните от тезинастройки бяха описани по-горе;

чрез задаване на параметрите в команден ред при извикванена програмата в режим на команден ред или по разписание(за Скенера в различните версии). Подробно за тезивъзможности вж. Приложение A.

чрез непосредствено редактиране на конфигурационнияфайл във всеки текстови редактор.

Непосредственното редактиране на конфигурационния файлможе да бъде препоръчано само за опитните потребители.Използването на тази възможност без ясното разбиране наустройството на антивирусния програмен комплекс може дапонижи качеството на защита и даже да доведе до пълнанеработоспособност на някои програми.

Преди редактиране на конфигурационния файл следва дадеактивирате модула за самозащита, стража и пощенскиястраж, както е указано в съответните раздели.



5.2.1. Параметри за Windows-версия наСкенера и модула за автоматичнотообновяване

В колонките на таблица 2 са приведени следните сведения завсеки параметър:

наименование на параметъра,

наименование на компонента, използващ параметъра,

наименование на параметъра в конфигурационния файл,

значение на параметъра,

ключове за команден ред.

Наименованието на параметъра се указва освен в съответствие синтерфейса (в този случаей той се показва в получерен шрифт),така и в условно наименование, ако на него няма аналог винтерфейса (тогава той се показва в светъл шрифт).

В дадената таблица наименованието на компонента «Скенер» сеподразбира за версията на Скенера («Скенер-GUI» и «Скенер-конзолен»).

Ако за отделния режим няма съответстващ му параметър вконфигурационния файл, то значението на параметъра е указан вскобки и се отнася за състоянието на диалоговия елемент наинтерфейса или за зададения ключ за командния ред.

Значенията по подразбиране за Скенера и модула заавтоматичното обновяване са показани в получерен шриф, завсички компоненти – получерен курсив.

Ключовете за команден ред, съответстващи на даденияпараметър, се описват съкратено, без болшинствотомодификатори. По- подробна информация за ключовете еприведена в Приложение A.



Таблица 2. Настраивани параметри на Windows-версиятана Скенера, стража и модула за автоматично обновяване

Наименование Компо-ненти

Пара-метърна конф.файл

Значение Клю-чове

Режим напроверка

Скенер ScanFiles AllByTypeByMasks

/AL/EX

Бърза проверкана системата

Скенер /FAST

Пълна проверкана системата

Скенер /FULL

Приоритет наизпълнение насканирането, от1 до 50

Скенер /SCP

Евристиченанализ

Скенер HeuristicAnalysis

Yes / No /HA

Проверявапаметта

Скенер TestMemory Yes / No /TM

Проверявафайловете заавтостарт

Скенер TestStartup Yes / No /TS

Проверявазареждащитесектори

Скенер TestBootSectors

Yes / No /TB

Проверяваподдиректории

Скенер ScanSubDirectories

Yes / No /SD

Проверка наняколко дискети

Скенер PromptFloppy

Yes / No /PF

Файлове вархиви

Скенер CheckArchives

Yes / No /AR

Пощенскифайлове

Скенер CheckEMailFiles

Yes / No /ML






Макс. дължина наразопакования отархива файл,подлежащ напроверк, Кбайт

Скенер-конзолен

MaxFileSizeToExtract

(не езададено)

Макс. коефициентна компресия нафайла в архива


MaxCompressionRatio


Нисък праг насработване напараметъраMaxCompressionRatio, Кбайт


CompressionCheckThreshold


Списък наразширенията

Скенер FilesTypes (вж. следтабл.)

Списък намаските

Скенер UserMasks (вж. следтабл.)

Списък наизключенитепътища

Скенер ExcludePaths

(празно)

Списък наизключенитефайлове

Скенер ExcludeFiles (празно)

Проверяватвърдите дискове(при сканиране спараметъра откоманден ред * ипри натискане набутона Изберидиск)

Скенер ScanHDD Yes / No






Проверява дискети(при сканиране спараметъра откоманден ред * ипри натискане набутона Изберидиск)

Скенер ScanFDD Yes / No

Проверявакомпакт-дискове(при сканиране спараметъра откоманден ред * ипри натискане набутона Изберидиск)

Скенер ScanCD Yes / No

Проверявамрежовитедискове (приприсканиране спараметъра откоманден ред * ипри натискане набутона Изберидиск)

Скенер ScanNet Yes / No

Запитване заподтвърждене

Скенер PromptOnAction

Yes / No /PR

Преименуваразширения

Скенер RenameFilesTo

#??

Име надиректорията закарантина

Скенер MoveFilesTo infected.!!!

Списък напътищата довирусните бази

Скенер VirusBase *.vdb






Път додиректорията навременнитефайлове накомпонента

Скенер TempPath %TMP%, %TEMP%,директориянаинсталация

Действия свсички видовенежелателнипрограми

Скенер Информира /MW

Инфектираниобекти

Скенер InfectedFiles ReportCureDeleteRenameMove

/CU

Неизлечимиобекти

Скенер IncurableFiles

ReportDeleteRenameMove

/IC

Подозрителниобекти

Скенер SuspiciousFiles


/SP

Инфектираниархиви

Скенер ActionInfectedArchive


/AR

Инфектиранипощенскифайлове

Скенер ActionInfectedMail


/ML

Рекламнипрограми

Скенер ActionAdware

ReportDeleteRenameMoveIgnore

/ADW






Програми dialers Скенер ActionDialers


/DLS

Програми-шеги Скенер ActionJokes ReportDeleteRenameMoveIgnore

/JOK

Потенциалноопаснипрограми

Скенер ActionRiskware


/RSK

Програми завзлом

Скенер ActionHacktools


/HCK

Разрешаваизтриване наархивите беззапитване ипредупреждения

Скенер EnableDeleteArchiveAction

Yes / No

Води файл заотчета

Скенер,модул заобновя-вания

LogToFile Yes / No /RP/NR

Име на файла заотчета

Скенер LogFileName

drweb32w.logspiderg3.log

/RP

Име на файла заотчета

Модул заобновя-вания

drwebupw.log

/RP






Режим наотваряне наотчета


OverwriteLog

Yes / No /RP

Кодировка наотчета


LogFormat ANSIOEM

Проверяемиобекти в отчета

Скенер LogScanned Yes / No /OK

Имена наопаковачите вотчета

Скенер LogPacked Yes / No

Имена наархиваторите вотчета

Скенер LogArchived Yes / No

Статистика вотчета

Скенер LogStatistics Yes / No

Пределенразмер на файлаза отчета


LimitLog Yes / No

Пределенразмер файла заотчета, Кбайт


MaxLogSize 5128192

Затваря прозорецаслед сеанса


Yes / No /QU






Очаква натисканена клавиш (следзавършване насканирането вслучай наоткриване навируси)


WaitAfterScan

(Вкл./Изкл.) /WA

Изпълнявав пакетен режим


(Вкл./Изкл.) /GO

Забранявапрекъсване отпотребителя

Скенер (Вкл./Изкл.) /NS

Проверява единпът в денонощие

Скенер (Вкл./Изкл.) /DA

Проверява самоявно зададенитеобекти

Скенер-GUI

(Вкл./Изкл.) /SHELL

Не отваряпрозорец (режимstealth)

Скенер-GUI

(Вкл./Изкл.) /ST

Използваалтернативенконфиг. файл.Не използваникакъв конфиг.файл


(Вкл./Изкл.) /INI/NI

Използва собственфайл за свързване

Скенер UseDiskForSwap

Yes / No

Показва индикаторна работата(прогрес-индикатор)

Скенер ShowProgressBar

Yes / No






Звуци Скенер,модул заобновя-вания

PlaySounds Yes / No /SO

Опасност (звук) Скенер AlertWav alert.wav

Излекуван (звук) Скенер CuredWav cured.wav

Изтрит (звук) Скенер DeletedWav deleted.wav

Преименуван(звук)

Скенер RenamedWav

renamed.wav

Преместен (звук) Скенер MovedWav moved.wav

Край напроверката(звук)

Скенер FinishWav finish.wav

Грешка (звук) Скенер,модул заобновя-вания

ErrorWav error.wav

Автосъхранениена настройкитепри изход

Скенер AutoSaveSettings

Yes / No /SS

Използванастройкиот регистъра

Скенер-GUI

(Вкл./Изкл.)

Приоритет напроверка

Скенер ScanPriority 2550

Език (Language) Скенер,модул заобновя-вания

LngFileName

ru-drw eb.dw l /LNG






Режим прокси Скенер-GUI(настройкина модулаза обновя-вания)

UpdateProxyMode

directieproxyuserproxy

/UPM

Обновява самовирусните бази иядрото drweb32.dll

модул заобновя-вания

UpdateVirusBasesOnly

Yes / No /UVB

Зарежда всичкифайлове, заявенив списъка заобновявания


UpdateAllFiles

Yes / No /UA

Режим на рестартпри обновяване


UpdateRebootMode

promptnopromptforcedisable

/URM

Води подробенотчет


(Вкл./Изкл.) /DBG

Списъка с разширенията на файловете (значение на параметъраFilesTypes в конфигурационния файл) по подразбиране

съдържа следните разширения: EXE, COM, DLL, SYS, VXD, OV?,BAT, BIN, DRV, PRG, BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF,CL*, HT*, VB*, JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z,TGZ, TAR, TAZ, CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH,SHB, SHS, SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*,EML, NWS, SWF, MPP, TBB.

Списъка с избраните маски (значение на параметъра UserMasksв конфигурационния файл) по подразбиране се състои отзначения, получавани с добавяне на знака * и точка пред

разширенията от списъка на разширенията на файловете(например, "*.exe").



5.2.2. Параметри за SpIDer Mail за Windows

Параметрите за SpIDer Mail за Windows се описват в отделнатаблица 3. Таблицата е оформена по принципа, аналогичен напринципа на оформяне на таблица 2. В списъка на допустимитезначения на параметъра и значенията по подразбиране запощенския страж са отделени с курсив.

Таблица 3. Настройвани параметри на пощенския страж

Наименование Параметърна конф. файла

Значение Ключ

Използваалтернативенконфигурационенфайл

(Вкл./Изкл.) -ini:име_файл

Използваалтернативен файлза потребителскияключ

(Вкл./Изкл.) -key:име_файл

Език (Language) LngFileName ru-drweb.dwl -lng:име_файл

Евристиченанализатор

HeuristicAnalysis Yes / No

Проверявафайлове вархивите

CheckArchives Yes / No

Контрол навируснатаактивност

VirusActivityControl Yes / No

Таймаут напроверката написма, при

ScanTimeout 250

Макс. дължина нафайлапри разопаковане,Кбайт

MaxFileSizeToExtract 30720





Макс. коефициентна компресия наархива

MaxCompressionRatio

Infinite

Макс. ниво навложеноств архива

MaxArchiveLevel 64

Предупреждениеза вируси в изход.поща

ShowAlerts Yes / No

Инфектираниписма

ActionInfected DeleteMove

Подозрителниписма

ActionSuspicious DeleteMoveSkip

Непроверениписма

ActionNotChecked DeleteMoveSkip

Изтривамодифициранитеписма на сървъра

DeleteMessagesOnServer

Yes / No

Прилага заглавие‘X-AntiVirus’ всъобщенията

InsertXAntiVirus Yes / No

Папка закарантина

PathForMovedFiles infected.!!!

Път до търсещиямодул

EnginePath (празно)

Път до вируснитебази

VirusBasesPath (празно)

Флаг-файл заобновявания

UpdateFlag drwtoday.vdb

Период напроверка на флаг-файла, при

UpdatePeriod 300





Всичко търсещимодули

MaximumLoadEngines

10

Търсещи модулипри старта

PreloadEngines 1

Изключвасвободните модуличрез, при

UnusedEngineUnloadTimeout

420

Води отчет EnableLog Yes / No

Отчет запроверяванитеобекти

EnableLogScanInfo Yes / No

Файл за отчета LogFileName spiderml.log

Пределен размерна файла за отчета,Кбайт

MaximumLogSize 500

Разрешаваанимациа наиконката

EnableIconAnimation Yes / No

Разрешава иконк всистемния трей

HideIcon Yes / No

Показвауведомявания

NoBalloons Yes / No

Превключвател на Прихващането насвързваниятаавтоматично илиРъчна настройкана свързването

HookModeAuto Yes / No

Проверяваприхващането насвързването пристарта (авт. режим)

HookCheck Yes / No

Адрес-Порт (първияелемент от списъка,авт. Режим)

Hook1 *:143адрес:порт





Адрес-Порт(продолжение насписъка, авт. Режим)

Hook2Hook3…

адрес:портадрес:порт…

Порт наSpIDerMail- Адресна сървъра-Портна сървъра (ръченрежим, първияелемент от списъка)

HookManual1 7000->адресPOP3/SMTP/IMAP4/NNTP:порт

Порт наSpIDerMail- Адресна сървъра-Портна сървъра (ръченрежим, продължениепо списъка)

HookManual2HookManual3…

7001->адресPOP3/SMTP/IMAP4/NNTP:порт7002->адресPOP3/SMTP/IMAP4/NNTP:порт…

Разрешава пункт вменю Изключи

AllowDisable Yes / No

Разрешава пункт вменю Изход

AllowExit Yes / No

Разрешава пункт вменю Настройки

AllowSettings Yes / No

Разрешава пункт вменю Преинициализация

AllowReinitialize Yes / No

Максимален бройедновременнообрабатванизапитвания на единлок. порт (ръченрежим)

MaximumChildConnections

20

Добавян в съобщениев реда

Xbanner (празно)





Път до директориятана временнитефайлове накомпонента

TempPath %TMP%, %TEMP%,дир. наинсталация

Преинициализация -reinit

Изключи -disable

Включи -enable

Обнови -update

Изход -exit



5.3. Приложение C. Вредоноснипрограми и начини за обезврежданетоим

С развитие на компютърните технологии и мрежовите решения,все по-голямо разпространение получават различните вредоноснипрограми, направени на това, че така или иначе да нанесат вредина потребителите. Тяхното развитие е започнало още в епохата назараждане на изчислителната техника, и паралелно са серазвивали средствата за защита от тях. До този момент несъществува единна класификация на всички възможни заплахи,което е свързано с непредсказуемия характер на тяхното развитиеи постоянното осъвършенстване на сменящите се технологии.

Вредоносните програми могат да се разпространяват чрезИнтернет, локалната мрежа, електронната поща и преносиминосители на информация. Некои са разчетени за невниманието инеопитността на потребителя и могат да действат напълноавтономно, други се явяват скрити инструменти под управлениетона компютърните взломаджии и са способни да нанесат вредидаже и на надеждно защитени системи.

В тази глава са представени описанията на всички основни и най-разпространени типове вредоносни програми, за борбата с коитона първо място и направлене е разработката на «Доктор Веб».



5.3.1. Класификация на вредоноснитепрограми и другите компютърни заплахи

Компютърните вируси

Главната особеност на тези програми е възможността завграждане на кода в изпълнимия код на други програми. Товавъведение е заразяване (или инфекция). В повечето случаиинфектирания файл сам става носител на вируса, при коетовнедрената част от кода не е задължително да съвпада соригинала. Действията на болшинството вируси е насочено заповреждане или унищожение на данните. Вируси, които сивнедряват във файловете на операционната система (в основни,изпълняеми файлове и динамични библиотеки), се активират пристарта на поразената програма и затова се разпространяват, сенаричат файлови.

Някои вируси се внедряват не във файловете, а в зареждащитезаписи на дискети, разделите на твърдите дискове, а също и вMBR (Master Boot Record) на твърдите дискове. Такива вируси сенаричат зареждащи, заемат неголям обем от паметта ипребивават в състояние на готовност за продължение наизпълнението на своята задача до изключване, рестарт или накомпютъра.

Макровируси – това са вируси, заразяващи файловете надокументи, използвани от приложенията на Microsoft Office идруги програми, допускащи наличие на макрокоманди (предивсичко за езика Visual Basic). Макрокоманди – това са вграденипрограми (макроси) на пълнофункционален език за програмиране.Например, в Microsoft Word тези макроси могат автоматично да сестартират при отварянето на всеки документ, неговото затваряне,съхранение и т.н.

Вируси, които са способни да се активизират и изпълняватзададени от вирусописателя действия, например, при достигане откомпютъра до определено състояние се наричат резидентни.



Болшинството вируси заразяват една или друга защита заоткриване. Способността на защитата постоянно да сеусъвършенства и заедно с това да се разработват нови технологииспособства за борбата с тях.

Например, шифрованият вирус шифрова своя код при всяко новозаразяване за затрудняване на неговото откриване във файла,паметта или зареждащия сектор. Всеки екземпляр на такъв вируссъдържа само кротки общи фрагменти (процедура наразшифровка), които може да се изберат в качеството насигнатури.

Съществуват също и полиморфни вируси, използващи вдопълнение за шифроване на кода специална процедур заразшифроване, променяща сама себе си във всеки нов екземплярна вируса, което води до отсъствие в такъв вирус на байтовитесигнатури.

Стелт вируси (вируси-невидимки) – вирусни програми,предприемащи специални действия за маскировка на своятядейност с цел скриване на своето присътствие в заразенитеобекти. Такъв вирус снема преди заразяването характеристикитена инфектираната програма, а след това подправя старите даннина програмата, търсещи изменените файлове.

Вирусите също могат да се класифицират по езика, на който санаписани (болшинството се пишат на асемблер, всоконивовиезици за програмиране, скриптови езици и т.н.) и по поражеамитеоперационни системи.

Компютърни червеи

В последнео време, червеите станаха многократно по-разпространени, от вируси и други вредоносни програми. Както ивирусите, такива програми са способни да размножават своитекопия, но те не могат да заразяват други компютърни програми.Червеите проникват на компъюта от мрежата (често кактовложение в съобщения от електронната поща или чрез Интернет)и разпращат своите функционални копия в други компютърнимрежи. При тово за начало на разпространението червеите могат



да използоват както действията на потребителя, така иавтоматичния режим на избор и атака на компютъра.

Червеите не винаги изцяло се състоят от един файл (тело начервея). В много червеи има така наречената инфекционна част(шел-код), която се зарежда в ОЗУ и «дозарежда» по мрежатанепосредственно само тялото във вид на изпълняем файл. Докатов системата не е тялото на червея, от него може да се избавитерестартирайки компютъра (при което се извършва прекъсване наОЗУ). Ако вече в системата се е съхранило тялото на червея,тогава да се справи с него може само антивирус.

При интензивното разпространение, червеите са способни даизвадят от строя цели мрежи, даже дори те да не носят никаквополезно натоварване (не наносят пряка вреда на системата).

Троянски програми (троянски коне, троянци)

Този тип вредоносни програми не е способен на саморепликация.Троянците подменят някоя от често стартираните програми иизпълняват нейните функции (или имитират изпълнение на тезифункции), едновременно извършвайки накакво вредоноснодействие (повреждане и изтриване на данни, разпращане наконфиденциална информация и т.н.), всяко даващо възможност занесанкционирано използване на компютъра от други лица,например за нанасяне на вреда на трети лица.

Троянеца притежава сходни с вирусите маскировъчни ивредоносни функции и даже може да бъде модул на вируса, ноосновно троянските програми се разпространяват, като отделниизпълняеми файлове, които се стартират или от самияпотребител, или от определен процес на системата.

Руткит

Тази вредоносна програма, е предназначена за прихващане насистемните функции на операционната система с цел скриване насвоето присъствие в системата. Освен това, руткита може дамаскира процесите на другите програми, различни ключове в



регистъра, папки, файлове. Руткита се разпространява катосамостоятелна програма или като допълнителен компонент всъстава на друга вредоносна програма. По същество – това енабор инструменти, които се инсталират в системата, до която еполучен първоначалния достъп.

По принцип на своята работа руткитите условно се разделят надве групи: User Mode Rootkits (UMR) – работещи в режима напотребителя (прихващайки функциите на библиотеките напотребителския режим), и Kernel Mode Rootkits (KMR) – работещив режима на ядрото (прихващайки функциите на нивото носистемното ядро, което значително усложнява неговото откриванеи обезвреждане).

Програми за взлом

Към дадения тип вредоносни програми се отнасят различниинструменти, които злоумишленика използува за взлом накомпютри и мрежи. Най-разпространените сред тях се явяватскенери на портове, които показват уязвимостите в системнатазащита на компютъра. Някои, подобни програми се използват отадминистраторите за контрол на безопасността на своите мрежи.Понякога към програмите за взлом се причисляват различниразпространени ПО, които могат да се използват за взлом, а същои някои програми, използващи методи на социална инженерия(получаване на конфиденциалн информация от потребителя попътя на въвеждането им в заблуждение).

Шпионски програми

Този тип вредоносни програми, е предназначен за следене насистемата и изпращане на събраната информация на трети строни– създателя или на поръчителя на такава програма. Поръчителитена шпионските програми могат да бъдат: разпространители наспам и реклами, маркетингови агентства, скам-агентства,престъпни групировки, деятели на промишлен шпионаж.

Такива програми тайно се закачат на компютъра заедно с някоепрограмно обезпечение или при разглеждането на определени



HTML-страници и изкачащи рекламни прозорци исамоинсталиращи без да информират за това потребителя.Основните ефекти от присъствието на шпионски програми накомпютъра – нестабилна работа на браузера и забавенапроизводителност на системата.

Рекламни програми

Често под този термин се разбира програмния код, вграден вразлично безплатно програмно обезпечение, при използването накоето на потребителя принудително му се показва реклама. Нопонякога такъв код може скрито да се разпространявапосредством други вредоносни програми и да демонстрирареклама, например, в интеренет-браузерите. Рекламните програмиработят на основание на данните, събрани от шпионскитепрограми.

Програми-шеги

Този тип вредоносни програми, както и рекламните програми, ненанасят пряка вреда на системата. Често всички те генериратсъобщения за несъществуващи грешки и заплашват с действия,които могат да доведат до повреждане на данните. Технитеосновн функции се явяват запитване на потребителя, целящонеговото раздразнение.

Програми dialers

Тово са специални компютърни програми, разработени засканиране на некой диапазон от телефони номера за намиране натакъв, на който отговаря модем. В последствие злоумишленицитеизползват намерения номера за повишаване на сметката зателефона жертва или за назабележимо закачане на потребителячрез модема към скъпо платени телефонни служби.

Всички горепосочени типове програми се считат за вредоносни, т.к. представляват заплаха както за данните на потребителя, така иза неговите права на конфиденциалност на информацията. Към



вредоносните е прието да се причисляват програми, нескриващисвоето внедряване в системата, програми за разпращане на спам ианализатори на трафика, тъй като потенциално и те могат приопределени обстоятелства да нанесат вреда на потребителя.

Сред програмните продукти също се разделяет на цели класовепотенциално опасни програми, които не се създават за нанасянена вреда, но със силата на своите особенности могат дапредставляват заплаха за безопасността на системата. При което,това не са само програми, които могат случайно да повредят илиизтрият данни, но и такива, които могат да се изплзват от хакериили други програми за нанасяне на вреда в системата. Към тяхможе да се отнесат и различни програми за отдалечено общуванеи администриране, FTP-сървъри и т.н.

Някои видове хакерски атаки и интернет-мошенничества:

Атаки по метода на подбора на парола – специалнатроянска програма изчислява необходимата за проникване вмрежата парола по метода на подбор на основанията назаложеният в тази програма речник от пароли или генерираслучайни последователности от символи.

DoS-атаки (отказ от обслужване) и DDoS-атаки(разпределен отказ от обслужване) – вид мрежова атака,граничеща с тероризъм, заключаваща се в разпращането наогромен брой запитвания с изискване на услуги къматакуемия сървър. При достигане на определенотоколичество запитвания (ограничените апаратнивъзможности на сървъра), сървъра престава да се справя стях, което води до отказ в обслужването. DDoS-атаките сеотличават от DoS-атаки по това, че се осъществяватедновременно от голям брой IP-адреси.

Пощенски бомби – един от простите видове мрежови атаки.Злоумишленика изпраща на компютъра на потребителя илина пощенския сървър на компанията едно огромносъобщение, или множество (десетки хиляди) пощенскисъобщения, което води до извеждане на системата от строя.В антивирусните продукти на Dr.Web за пощенски сървърие предвиден специален механизъм на защита от такиваатаки.



Снифинг – вид мрежови атаки, също наричани "пасивнопрослушване на мрежи". Несанкционирано прослушване намрежи и наблюдение за данни, които се извършват спомоща на специални невредоносни програми – пакетенснифер, който осъществява прихващането на всичкимрежови пакети на домейна, за който върви наблюдението.

Спуфинг – вид мрежови атаки, заключаващи се вполучаване по лъжлив път на достъп в мрежата посредствомимитация на свързване.

Фишинг (Phishing) – технология на интернет-мошенничество, заключаващо се в кражба на личниконфиденциални данни, такива като пароли за достъп,данни от банкови и идентификационни карти и т.н. Спомоща на спамерски разпращания или пощенски червеи напотенциалните жертви се разпращат лажливи писма, отимето на легалните организации, в които те просят завлизането на направените от престъпниците интернет-сайтове на тази учреждения и да потвърдят пароли, PIN-кодове и друга лична информация, в последствиеизползвана от злоумишлениците за кражби на пари отсметките на жертвите и за други престъпления.

Вишинг (Vishing) – технология на интернет-мошенничество,разновидност на фишинга, отличаваща се по използванетовместо на електронната поща на war diallers(автонабиратели) и възможностите на Интернет-телефонията (VoIP).

5.3.2. Действия, предприемани завредоносните програми

Существат множество различни методи за борба с компютърнитезаплахи. За надеждната защита на компютрите и мрежитепродуктите на «Доктор Веб» обединяват в себе си тези методи спомоща на гъвкави настройки и комплексния подход къмосигуряване на безопасност. Основните действия за обезврежданена вредоносните програми се явяват:



1. Лечение – действие, прилагано към вируси, червеи итроянци. То извършва изтриване на вредоносния код отзаразените файлове, а също и изтриване нафункционалните копия на вредоносните програми и повъзможност, възстановяване на работоспособността напоразените обекти (т.е. възвращане на структурата ифункционалността на програмите към състоянието, което ебило преди заразяването). Далеч не всички вредоноснипрограми могат да бъдат излекувани, но именнопродуктите на «Доктор Веб» предоставят най-ефективния алгоритъм на лечение и възстановяване нафайлове, подложени на заразяване.

2. Преместване в карантината – действие, при коетовредоносния обект се помества в специалната папка,където се изолира от останалата система. Това действие сеявява предпочитано при невъзможност от лечение, както иза всички подозрителни обекти. Копията на такивафайлове е желателно да се препратят за анализ въввирусната лаборатория на «Доктор Веб».

3. Изтриване – ефективно действие за борба с компютърнитезаплахи. То е приложимо за всеки тип вредоносни обекти.Следва да се отбележи, че понякога изтриването ще бъдеприложено за някои файлове, за които е било избранолечение. Това се извършва в случай, когато целият файлсе състои от вредоносен код и не съдържа никаква полезнаинформация. Така, например, под лечение на компютъренчервей се разбира изтриване на всички неговифункционални копия.

4. Блокиране, преименуване – тези действия, позволяват дасе обезвредят вредоносните програми, при което, въвфайловата система остават техните пълноценни копия. Впървия случай се блокират всички опити за обръщения от икъм вредоносния обект. Във втория случай, разширениетона файла се променя, което го прави неработоспособен.



5.4. Приложение D. Принципи заименуването на вирусите

При откриване на вирусния код компонентите на антивирусниякомплекс Dr.Web съобщават на потребителя чрез средствата наинтерфейса и записват във файла за отчета името на вируса,присвоено му от специалистите на «Доктор Веб». Тези имена сеизграждат по определени принципи и отразяват конструкцията навируса, класа на уязвимите обекти, среда на разпространение (ОСи прибавени пакети) и ред други особенности. Познаването натизи принципи може да бъде полезно за разглеждане напрограмните и организационните уязвимости на защитаванатасистема. Долу се дава кратко изложение на принципите наименуване на вирусите; по-пълна и постоянно обновяема версияна описанията е достъпна на адрес http://vms.drweb.com/classification/.

Тази класификация в някои случаи е условна, доколкотоконкретните видове вируси могат да притежават едновременноняколко от приведените признаци. Освен това, тя не може да сесчита за изчерпателна, защото постоянно се появяват нови видовевируси и, съответно, върви работа по уточнение накласификацията.

Пълното име на вирус се състои от няколко елемента, разделенипо точки. При това някои елементи, стоящи в началото на пълнотоиме (префикси) и в края (суфикси), се являват типови всъответствие с приетата класификация.

http://vms.drweb.com/classification/

http://vms.drweb.com/classification/



Основни префикси

Префикси на операционната система

Долуизброените префикси се примемат за названия на вирусите,инфектиращи изпълняемите файлове от определениплатформи (ОС):

Win – 16-разрядни програми на ОС Windows 3.1,

Win95 – 32-разрядни програми на ОС Windows 95, ОС

Windows 98, ОС Windows Me,

WinNT – 32-разрядни програми на ОС Windows NT, ОС

Windows 2000, ОС Windows XP, ОС Windows Vista,

Win32 – 32-разрядни програми на различнити среди на ОС

Windows 95, ОС Windows 98, ОС Windows Me и ОС WindowsNT, ОС Windows 2000, ОС Windows XP, ОС Windows Vista,

Win32.NET – програми в операционната среда на Microsoft

.NET Framework,

OS2 – програми на ОС OS/2,

Unix – програми на различните UNIX-системи,

Linux – програми на ОС Linux,

FreeBSD – програми на ОС FreeBSD,

SunOS – програми на ОС SunOS (Solaris),

Symbian – програми на ОС Symbian OS (мобилната ОС).

Да отбележим, че някои вируси могат да заразяват програми отедна система, а сами да действат в друга.

Вируси, поразяващи файлове на MS Office

Група от префикси на вируси, поразяващи обекти на MS Office(указан е езика на макросите, на поразяващите данни типовевируси):

WM – Word Basic (MS Word 6.0-7.0),

XM – VBA3 (MS Excel 5.0-7.0),

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0),



X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0),

A97M – бази данни на MS Access'97/2000,

PP97M – файлове-презентации на MS PowerPoint,

O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), вируса

заразява файлове на повече от един компонент на MS Office.

Префикси на езика на разработка

Група префикси HLL приложени за именуване на вируси,

написани на езици за програмиране от високо ниво, такива като C,C++, Pascal, Basic и други. Използват се модификатори, указващина базовия алгоритъм функциониране, в частност:

HLLW – червеи,

HLLM – пощенски червеи,

HLLO – вируси, презаписващи кода на програмата жертва,

HLLP – вируси-паразити,

HLLC – вируси-спътници.

Към групата префикси на езика за разработка може също да сеотнесе:

Java – вируси за среда на виртуалната машина Java.

Троянски коне

Trojan – общо название на различните Троянски коне (троянци).

В много случаи префикса на тази група се използва съвместно спрефикса Trojan.

PWS – троянец, крадящ пароли,

Backdoor – троянец с RAT-функции (Remote

AdministrationTool – инструмент за отдалеченоадминистриране),

IRC – троянец, използващ за своето функциониране средата

на Internet Relayed Chat channels,

DownLoader – троянец, скрито от потребителя зареждащ

различни вредоносни файлове от Интернет,



MulDrop – троянец, скрито от потребителя зареждащ

различни вируси, съдържащи се непосредственно в неговототяло,

Proxy – троянец, позволяващ на злоумишленика анонимно

да работати в Интернет чере поразения компютър,

StartPage (синоним: Seeker) – троянец,

несанкционирано подменящ адреса на страници, указани вбраузера в качеството на домашни (стартови),

Click – троянец, организиращ препращане на

потребителските запитвания на браузера на определен сайт(или сайтове),

KeyLogger – троянец-шпионин; следящ и записващ

натискането на клавиши от клавиатурата; можепериодически да препраща събраните данни назлоумишленика,

AVKill – спира работата на програмите за антивирусна

защита, защитните стени и т.н.; също може да изтрива тезипрограми от диска,

KillFiles, KillDisk, DiskEraser – изтриват някакво

множество от файлове (файлове в определени директории,файлове по маски, всички файлове на диска и т. н.),

DelWin – изтрива необходимите за работа на

операционната система (Windows) файлове,

FormatC – форматира диск C: (синоним: FormatAll –

форматира няколко или всички дискове),

KillMBR – поврежда или изтрива съдържанието на главния

зареждащ сектор (MBR),

KillCMOS – поврежда или изтрива съдържанието на CMOS.

Средство за използване на уязвимост

Exploit – средство, използващо известните уязвимости на

някои операционни системи или приложения за внедряванев системата на вредоносния код, на вируса или изпълнениена някакви несанкционирани действия.



Средства за мрежови атаки

Nuke – средство за мрежови атаки на някои известните

уязвимости на операционните системи с цел извикване нааварийно завършване на работата на атакуваната система,

DDoS – програма-агент за провеждане на разпределени

мрежови атаки от типа "отказ в обслужването" (DistributedDenial Of Service),

FDOS (синоним: Flooder) – Flooder Denial Of Service –

програма за различен род вредоносни действия в Мрежата,така или иначе използващи идеята за атаки от типа "отказ вобслужването"; за разлика от DDoS, където против една целедновременно се използват множество агенти, работещи наразлични компютри, FDOS-програмата работи като отделна,"самодостоятелна" програма.

Скрипт-вируси

Префикси на вируси, написани на различни изици и сценарии:

VBS – Visual Basic Script,

JS – Java Script,

Wscript – Visual Basic Script и/или Java Script,

Perl – Perl,

PHP – PHP,

BAT – език на командния интерпретатор на ОС MS-DOS.

Вредоносни програми

Префикси на обекти, явяващ се не вируси, а други вредоноснипрограми:

Adware – рекламна програма,

Dialer – програма dialers (препращаща звъненето на

модема на по-рано зададени платен номер или платенресурс),

Joke – програма-шега,

Program – потенциално опасна програма (riskware),

Tool – програма-инструмент за взлом (hacktool).



Разни

Префикса generic се използва след другия префикс,

обозначаващ средата или метода на разработка, за обозначаванена типичния за представителя на този тип вируси. Такъв вирус непритежава никакви характерни признаци (като текстови редове,специални ефекти и т. н.), които биха позволили да му се присвоинякакво особенно название.

По-рано за именуването на простите и безлични вируси сеизползваше префикса Silly с различни модификатори.

Суфикси

Суфиксите се използват за именуване на някои специфичнивирусни обекти:

generator – обект не се явява вирус, а вирусен генератор,

based – вирус разработен с помоща на указания вирусен

генератор или по пътя на видоизменението на указаниявирус. В повечето случаи имената на този тип се явяватродови и могат да обозначат стотици и понякога дажехиляди вируси,

dropper – указва, че обекта не се явява вирус, а

инсталатор на указания вирус.



5.5. Приложение E. Защита накорпоративни мрежи с помоща наDr.Web® Enterprise Suite

Dr.Web осигурява надежднат, гъвкава, леко настройвана всъответствие с желанията на потребителя защита от вируси идруги нежелателни програми.

Версиите на комплекса, предназначени за операционната системаWindows, а също и версиите за другите платформи позволяват дасе организира надеждната защита на компютрите във всякаорганизация. Функционирането на компютрите в среда накорпоративна мрежа създава особенни проблеми за антивируснатазащита:

като правило, инсталацията на ПО на компютрите ворганизацията се извършва от администратора накорпоративната мрежа. Инсталацията на антивируснитекомплекси, и тяхното своевременно обновяване се явява заадминистратора значително допълнително натоварване инеобходимост от осигуряване на физически достъп докомпютрите;

самостоятелно внасяне от недостатъчно квалифициранипотребители на изменения в настройките на антивируснатазащита създава "грижи" в защитита – вирусите проникватвътре в корпоративната мрежа, след което тяхнотоотстраняване става по-сложна задача;

работата на антивирусната защита може да бъде напълноефективна само при условие на анализ на нейната работа отквалифицирани специалисти по антивирусна безопасност –изучаване на протоколите, файловете, преместени вкарантината и т. н. Тази работа е затруднена в условията,когато указаните сведения се съхраняват на десетки истотици отделни компютри.

За решение на указаните задаче е разработен програмниякомплекс Dr.Web Enterprise Suite (по натам Dr.Web ES).



Dr.Web ES решава следните задачи:

централизирана (без необходимост от непосредствен достъпна персонала) инсталация на антивирусните пакетисъответстващи на типа на защитаваните компютри (работнистанции и сървъри в локалната мрежа);

централизирана настройка на параметрите на антивируснитепакети;

централизирано обновяване на вирусните бази ипрограмното обезпечение на защитаваните компютри;

мониторинг на вирусните събития на всички защитаваникомпютри, а също и състоянието на антивирусните пакети иОС.

Dr.Web ES позволява както съхранението за потребителите назащитаваните компютри права на настройка и управление наантивирусните пакети на дадените компютри, така и гъвкаво да гиограничите, до пълна забрана.

Програмния комплек Dr.Web ES има архитектура "клиент-сървър". Неговите компоненти се инсталират на компютрите отлокалната мрежа и обменят информация, използвайки мрежовипротоколи (подробното взаимодействие на компонентите откомплекса е описано долу). Съвокупността от компютри, на коитое инсталиран взаимодействащите компоненти на Dr.Web ES, щесе наричат антивирусна мрежа.

В състава на антивирусната мрежа влизат следнитекомпоненти:

Антивирусен агент. Този компонент се инсталира назащитавания компютър. Извършва инсталация, обновяване иуправление на антивирусните пакети в съответствие синструкциите, получавани от антивирусния сървър (вж.долу). Агента също предава на антивирусния сървъринформация за вирусните събити и друге необходимисведения за защитавания компютър;

Антивирусен сървър. Този компонент се инсталира на единот компютрите в локалната мрежа. Антивирусния сървърсъхранява дистрибутивите на антивирусните пакети заразличните операционни системи на защитаваните



компютри, обновяванията на вирусните бази, антивируснитепакети и антивирусните агенти, потребителските ключове инастройките на пакетите за защитаваните компютри и гипредава по заповед на агентите на съответните компютри.Антивирусния сървър води единен журнал за събитията вантивирусната мрежа и журнали по отделно зазащитаваните компютри.

Долу е представена общата схема на фрагментите в локалнатамрежа, на частите от които е сформирана защитаващата яантивирусна мрежа.

Целият поток от команди, данни и статистическата информация вантивирусната мрежа в определен ред преминава презантивирусния сървър. Антивирусната конзола също обменяинформациия само със сървъра; измененията в конфигурациитена работните станции и предаването на команди на антивируснитеагенте се осъществява от сървъра на основата на команднатаконзола.

Логическата структура на фрагментите на антивирусната мрежаима вид, представен долу.



От сървъра до работните станции и обратно (плътна тънка линияна рисунката) с използване на един от поддържаните мрежовипротоколи (TCP, IPX или NetBIOS) се предават:

запитвания на агента за получаване на централизираноразписание и централизирано разписание от дадена работнастанция;

настройки на агента и антивирусния пакет;

запитвания за заданията, подлежащи за изпълнение(сканиране, обновяване на вирусните бази и т. н.);

модулите на антивирусните пакети – при получаване отагента задания за тяхната инсталация;

обновявания на ПО и вирусните бази – при изпълнение назаданията за обновяване;



съобщения на агента за конфигурацията на работнатастанция;

статистика за работата на агента и антивирусните пакети зазаписи в централизирания журнал;

съобщения за вирусните събития и други подлежащи нафиксация събития.

Обема на трафика между работните станции и сървъра, взависимост от настройките на работните станции и тяхнотоколичество, може да бъде значителен, заради което впрограмния комплекс Dr.Web ES се предвижда възможност закомпресия на трафика.

Трафика между сървъра и работните станции може да бъдезашифрован. Това позволява избягването на разгласяване насведения, предавани по описания канал, а също и подмяна на ПО,зареждано на работните станции.

Dr.Web ES позволява:

пределно да се упрости процеса на инсталация наантивирусното ПО на защитаваните компютри, при което вболшинството случаи (за компютрите, работещи подуправлението на Windows 2000, Windows XP, Windows 2003,Windows Vista) инсталацията може да се извършицентрализирано, без физическия достъп до компютъра;

централизирано да се настройва антивирусното ПО и да сеизвършва неговото обновяване с минимална трудозагуба;

да се следи състоянието на антивирусната защита;

при необходимост централизирано де се стартират илипрекъсват задания на антивирусното ПО на компютрите;

да се събира и изучава информация за вирусните събития навсички защитавани компютри;

при необходимост да се предоставит на отделен потребителвъзможността самостоятелно да настройва антивируснотоПО;

да се осъществява управление на антивирусната мрежа иполучаването на информация за нея от администратора наантивирусната защита както от работните места вкорпоративната мрежа, така и отдалечено чрез Интернет.



В крупните корпоративни мрежи, начисляващи стотици илихиляди компютри, е целесъобразно да се създават чрезсредствата на Dr.Web ES антивирусна мрежа с няколко сървъра.При което между сървърите се изгражда йерархична връзка,позволяваща да се упрости процеса на предаван на работнитестанции обновяванията на вирусните бази и ПО и приема наинформация за вирусната ситуация. Администратора получававъзможност да изучава отчета за работата на мрежата както заотделните сървъри, така и обобщениятя по всички антивируснимрежи.

Dr.Web ES в условията на корпоративната мрежа повишаванадежността на антивирусната защита и снижава разхода занейното обслужване в сравнение с инсталацията на защитаванитекомпютри персонални антивирусни комплекси.

Програмния комплекс Dr.Web Enterprise Suite имаред преимущества в сравнение с аналогичнитепродукти:

висока надеждност и безопасност на примеманите решения;

лекота на администриране;

мултиплатформенност на всички компоненти;

прекрасна мащабност.

Ние препоръчваме да придобиете и инсталирате Dr.Web ES в следните случаи:

вашата корпоративна мрежа има значителен мащаб(няколко десетки компютри или повече),

имате малка мрежа, поради което, по тази или другапричини (специфика на ПО, оборудване или квалификацияна персонала) вече използвате в тази мрежа политика натвърдо администриране, инсталация и настройки на ПО.

За компютри, не включени в корпоративната мрежа, използвайтеперсоналния антивирус Dr.Web за Windows и версиите на Dr.Web за други платформи.



5.6. Приложение F. Dr.Web® AV-Deskза провайдери на интернет-услуги

Програмния комплекс Dr.Web AV-Desk позволява да се упростизадачата на поддържане на антивирусната защита на голямброй потребители. Dr.Web AV-Desk е предназначен заорганизации, специализирани за оказване на различен родинтернет-услуги (провайдери на достъпа в интернет (ISP),доставчици на услуги по приложение (ASP), а също и банковиуслуги (online banking) и т. н.).

AV-Desk позволява да се инсталират антивирусните пакети на Dr.Web на работните станции на клиентите в организации, да сеуправлява тяхната работа, обновявания, оперативно да се следи ирешават проблеми, възникващи на компютрите на клиентите ворганизацията, без необходимост от физически достъп домашините или предаването на инструкции на потребителя.

Създаването на такава антивирусна мрежа решава ред проблеми,часто срещащи се в практиката както на корпоративните клиенти,така и на отделните потребители:

в организациите инсталацията на ПО на компютрите,като правило, се извършва от администратора накорпоративната мрежа. Инсталацията на антивируснитекомплекси, тяхното своевременно обновяване са явява заадминистратора значително допълнително натоварване и енеобходимо осигуряването на физически достъп докомпютрите;«в къщи» потребителя не винаки навреме проследявавирусните събития на своя компютър или може въобще дане е инсталирал антивирусно ПО;недостатъчно квалифицираните потребители могат давнесат в настройките на антивирусната защита изменения,които да създадат "проблеми" в защитата, които значителнопонижават нивото на безопасност;работата на антивирусната защита може да бъде напълноефективна само при условие на анализ на нейната работа отквалифицирани специалисти по антивирусна безопасност –изучаване на протоколите, файловете, преместени вкарантината и т. н.



Dr.Web AV-Desk е разработен за решаване на тези проблеми.Той осигурява единна и надеждна комплексна антивирусна защитана работните станции, икономисва време и усилия наадминистраторите и освобождава потребителя от необходимосттада се занимава с въпросите на антивирусната защита, безснижаване на нивото на безопасност.

Dr.Web AV-Desk изпълнява следните задачи:

проста инсталация на ПО и компонентите на комплекса ибърза организация на антивирусната защита,

създаване на дистрибутиви с уникални идентификатори ипредаването им на потребителите за инсталация на сервиза;

централизирана настройка на параметрите на антивируснитепакети на защитаваните компютри в мрежата,

централизирано обновяване на вирусните бази ипрограмното обезпечение на защитаваните компютри;

мониторинг на вирусните събития, а също и състоянието наантивирусните пакети и ОС на всички защитавани компютри.

Програмния комплекс Dr.Web AV-Desk има архитектура "клиент-сървър". В състава на антивирусната мрежа, организирана спомоща на Dr.Web AV-Desk, влизат следните компоненти:

Антивирусен сървър. Този компонент се инсталира на единот компютрите в локалната мрежа. Антивирусния сървърсъхранява дистрибутивите на антивирусните пакети заразличните операционни системи на защитаванитекомпютри, обновяванията на вирусните бази, антивируснитепакети и антивирусните агенти, потребителските ключове инастройките на пакетите за защитаваните компютри и гипредава по заповед на агентите на съответните компютри.Антивирусния сървър води единен журнал за събитията вантивирусната мрежа и журнали по отделно зазащитаваните компютри.

Уеб-конзола. Този компонент позволява създаването иредактиране на отчетните записи на потребителя, а същосъздаването за всеки потребител индивидуален дистрибутивна агента АV-Desk. Уеб-конзолата може да се използва отадминистратора на всеки компютър, имащ достъп доИнтернет.



Вграден уеб-сървър. Този компонент се инсталираавтоматично заедно с антивирусния сървър. Тойпредставлява някакво разширение на стандартната уеб-страница на сървъра и дава възможност:

o да се разглежда общата информация за сървъра

AV-Desk;

o да се чете документацията;

o да се разглеждат хранилищата.

Антивирусен агент AV-Desk. Този компонент се инсталирана защитавания компютър, след което извършва на негоинсталация на антивирусния пакет. В бъдеще агентаизвършва регулярни обновявания на инсталиранотоантивирусно ПО, предава му команди и настройки отантивирусния сървър, а също изпраща на антивирусниясървър информация за вирусните събития и другинеобходими сведения за защитавания компютър.

Долу е представена общата схема на фрагментите в локалнатамрежа.



Целият поток от команди, данни и статистическата информация вантивирусната мрежа в определен ред преминава презантивирусния сървър. Антивирусната конзола също обменяинформациия само със сървъра; измененията в конфигурациитена работните станции и предаването на команди на антивируснитеагенте се осъществява от сървъра на основата на команднатаконзола.

В крупните корпоративни мрежи, начисляващи стотици илихиляди компютри, е целесъобразно да се създават чрезсредствата на Dr.Web AV-Desk антивирусна мрежа с няколкосървъра. При което между сървърите се изгражда йерархичнавръзка, позволяваща да се упрости процеса на предаван на



работните станции обновяванията на вирусните бази и ПО иприема на информация за вирусната ситуация. Администратораполучава възможност да изучава отчета за работата на мрежатакакто за отделните сървъри, така и обобщениятя по всичкиантивирусни мрежи.

Dr.Web AV-Desk в условията на корпоративната мрежа повишаванадежността на антивирусната защита и снижава разхода занейното обслужване в сравнение с инсталацията на защитаванитекомпютри персонални антивирусни комплекси.

Програмния комплекс Dr.Web AV-Desk има редпреимущества в сравнение с аналогичните продукти:

висока надеждност и безопасност на прилаганите решения;

лекота на администриране;

мултиплатформенност на всички компоненти;

прекрасна мащабност.



5.7. Приложение G. Техническаподдръжка

Страницата на службата за техническа поддръжка на компанията«Доктор Веб» се намира на адрес http://support.drweb.com/.

При възникване на проблем с инсталацията или работата напродуктите на компанията, преди всичко се обръщайте за помощкъм отдела за техническа поддръжка, настоятелно се препоръчвада пробвате да намерите решение чрез един от следните способи:

запознайте се с последните версии на описанията иръководствата на адрес http://solutions.drweb.com/

прочитете раздела за често задаваните въпроси на адресhttp://support.drweb.com/faq/

опитайте се да намерите отговор в базата знания на Dr.Webна адрес http://wiki.drweb.com/

посетете форума на Dr.Web на адрес http://forum.drweb.com/

Ако след това не сте успяли да решите проблема, то можете дапопълнит уеб-форма с въпроса в съответната секция на разделаhttp://support.drweb.com/.

Намерете най-близкото представителство на «Доктор Веб», ацялата контактна информация, необходима на потребителя,можете да намерите на адрес http://company.drweb.com/contacts/moscow.

http://support.drweb.com/

http://solutions.drweb.com/

http://support.drweb.com/faq/

http://wiki.drweb.com/

http://forum.drweb.com/

http://forum.drweb.com/

http://support.drweb.com/

http://company.drweb.com/contacts/moscow

http://company.drweb.com/contacts/moscow


205

Предметeн Указател

Eevent log 93

Жжурнали за регистрация 92

операционна система 93

текстови журнал 94

Кключ 16

получаване 17

продължение 20

ключевой файл

получение 18

ключов файл

действителност 16

обновяване 20

получаване 17, 18, 47

Ллиценз

получаване 17

продължение 20

лицензионен ключов файл 16

обновяване 20

лицензиране 15

логове 92

event log 93

текстови лог 94

Пполучаване на ключовия файл 17

продължение

лиценз 20

продължение на лиценза 20

Ррегистрация на събития 92

Ссъбития 92

журнал на операционнатасистема 93

журнали за регистрация 92

регистрация 92

текстови журнал 94

Ттекстови журнал 94

Ффайл за ключа 16

© «Доктор Веб», 2003-2011