drweb 600 win space pro ru

«Доктор Веб», Центральный офис в России125124Россия, Москва3-я улица Ямского поля, вл.2, корп.12А

Веб-сайт: www.drweb.comТелефон: +7 (495) 789-45-87

Информацию о региональных представительствах и офисах Выможете найти на официальном сайте компании.

Dr.Web® Security Space ProВерсия 6.0Руководство пользователя23.07.2010

© «Доктор Веб», 2003-2010. Все права защищены.

Материалы, приведенные в данном документе, являютсясобственностью «Доктор Веб» и могут быть использованыисключительно для личных целей приобретателя продукта.Никакая часть данного документа не может быть скопирована,размещена на сетевом ресурсе или передана по каналам связи ив средствах массовой информации или использована любымдругим образом кроме использования для личных целей безссылки на источник.

ТОРГОВЫЕ ЗНАКИDr.Web, SpIDer Mail, SpIDer Guard, CureIt! и логотипы Dr.WEB иDr.WEB INSIDE являются зарегистрированными товарнымизнаками «Доктор Веб» в России и/или других странах. Иныезарегистрированные товарные знаки, логотипы и наименованиякомпаний, упомянутые в данном документе, являютсясобственностью их владельцев.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИНи при каких обстоятельствах «Доктор Веб» и его поставщики ненесут ответственности за ошибки и/или упущения, допущенные вданном документе, и понесенные в связи с ними убыткиприобретателя продукта (прямые или косвенные, включаяупущенную выгоду).

«Доктор Веб»

Мы благодарны пользователям за поддержкурешений семейства Dr.Web!

«Доктор Веб» - российский разработчик средствинформационной безопасности.

«Доктор Веб» предлагает эффективные антивирусные иантиспам-решения как для государственных организаций и

крупных компаний, так и для частных пользователей.

Антивирусные решения семейства Dr.Web разрабатываются с 1992 года и неизменно демонстрируют превосходныерезультаты детектирования вредоносных программ,соответствуют мировым стандартам безопасности.

Сертификаты и награды, а также обширная географияпользователей свидетельствуют об исключительном доверии к

продуктам компании.

Руководство пользователя

4

Содержание

7Глава 1. Введение

10О чем эта документация

11Используемые обозначения и сокращения

12Системные требования

13Проверка антивируса

14Лицензирование

14Ключевой файл

15Получение ключевого файла

19Продление лицензии

20Глава 2. Установка программы

20Установка Dr.Web® Security Space Pro

21Первая установка Dr.Web Security Space Pro

33Повторная установка и удаление Dr.Web SecuritySpace Pro

35Процедура получения ключевого файла

38Глава 3. Приступая к работе

42Модуль управления SpIDer Agent

47Менеджер лицензий

49Карантин

53Сканер для Windows

54Запуск Сканера

58Действия при обнаружении вирусов

61Настройка параметров программы

67Сканирование в режиме командной строки


5

69SpIDer Guard для Windows

70Управление сторожем SpIDer Guard

71Основные настройки сторожа

77SpIDer Mail для Windows

81Управление почтовым сторожем SpIDer Mail

82Основные настройки почтового сторожа

90SpIDer Gate

91Управление SpIDer Gate

92Настройка SpIDer Gate

98Модуль Родительского контроля

98Настройка параметров модуля

103Firewall

104Обучение Dr.Web Firewall

110Управление программой

112Настройки

136Регистрация событий

142Задания на сканирование и обновление

145Глава 4. Автоматическое обновление

145Принцип работы модуля автоматическогообновления

148Запуск модуля автоматического обновления

153Приложения

153Приложение A. Дополнительные параметрыкомандной строки

153Параметры командной строки для Сканеров

160Параметры командной строки для модуляавтоматического обновления

163Коды возврата


6

164Приложение B. Настраиваемые параметрыкомпонентов Dr.Web

165Параметры Windows-версий Сканера и модуляавтоматического обновления

176Параметры SpIDer Mail для Windows

180Приложение C. Вредоносные программы испособы их обезвреживания

181Классификация вредоносных программ и другихкомпьютерных угроз

187Действия, применяемые к вредоноснымпрограммам

189Приложение D. Принципы именования вирусов

195Приложение E. Защита корпоративной сетис помощью Dr.Web® Enterprise Suite

202Приложение F. Dr.Web® AV-Desk дляпровайдеров интернет-услуг


7Введение

Глава 1. Введение

Dr.Web® Security Space Pro обеспечивает многоуровневуюзащиту системной памяти, жестких дисков и сменныхносителей от проникновений вирусов, руткитов, троянскихпрограмм, шпионского и рекламного ПО, хакерских утилит иразличных вредоносных объектов из любых внешнихисточников. Важной особенностью комплекса является егомодульная архитектура. Dr.Web Security Space Proиспользует программное ядро и вирусные базы, общие для всехкомпонентов и различных сред. В настоящее время, наряду сDr.Web Security Space Pro, поставляются версии антивирусадля IBM® OS/2®, Novell® NetWare®, а также ряда системсемейства Unix® (например, Linux® и FreeBSD®).

Dr.Web использует удобную и эффективную процедуруобновления вирусных баз и версий программного обеспечениячерез Интернет.

Dr.Web способен также обнаруживать и удалять с компьютераразличные нежелательные программы (рекламные программы,программы дозвона, программы-шутки, потенциально опасныепрограммы, программы взлома). Для обнаружениянежелательных программ и действий над содержащими ихфайлами применяются стандартные средства антивирусныхкомпонентов Dr.Web.

Dr.Web Security Space Pro может включать в себя следующиекомпоненты:

Dr.Web Сканер для Windows – антивирусный сканер сграфическим интерфейсом. Программа запускается позапросу пользователя или по расписанию и производитантивирусную проверку компьютера. Существует такжеверсия программы с интерфейсом команднойстроки (Dr.Web Консольный сканер для Windows);

SpIDer Guard® для Windows – антивирусный сторож,(называемый также монитором). Программа постояннонаходится в оперативной памяти, осуществляя проверкуфайлов и памяти «на лету», а также обнаруживая


8Введение

проявления вирусной активности;

SpIDer Mail® для Windows – почтовый антивирусныйсторож. Программа перехватывает обращения любыхпочтовых клиентов компьютера к почтовым серверам попротоколам POP3/SMTP/IMAP4/NNTP (под IMAP4 имеетсяв виду IMAPv4rev1), обнаруживает и обезвреживаетпочтовые вирусы до получения писем почтовымклиентом с сервера или до отправки письма на почтовыйсервер. Почтовый сторож также может осуществлятьпроверку корреспонденции на спам с помощьюкомпонента Антиспам Dr.Web;

SpIDer GateTM – антивирусный HTTP-сторож. Принастройках по умолчанию SpIDer Gate автоматическипроверяет входящий HTTP-трафик и блокирует передачуобъектов, содержащих вредоносные программы;

Родительский контроль. С помощью данногокомпонента осуществляется ограничение доступапользователя к ресурсам, содержащимся как локально, насамом компьютере, так и в сети;

Dr.Web Firewall – персональный межсетевой экран,предназначенный для защиты вашего компьютера отнесанкционированного доступа извне и предотвращенияутечки важных данных по сети;

Dr.Web Модуль автоматического обновления –позволяет зарегистрированным пользователям получатьобновления вирусных баз и других файлов комплекса, атакже производит их автоматическую установку;незарегистрированным пользователям дает возможностьзарегистрироваться, а также получить лицензионный(при наличии серийного номера) или демонстрационныйключ (см. п. Получение ключевого файла). Кроме того, спомощью модуля автоматического обновлениязарегистрированные пользователи могут продлить срокдействия лицензии (при наличии серийного номерапродления);

SpIDer Agent – модуль управления, с помощью которогоосуществляется запуск и настройка компонентов Dr.WebSecurity Space Pro.

Для организации централизованного управления антивируснойзащитой в масштабе предприятия поставляется специальное


9Введение

средство – Dr.Web® Enterprise Suite. Подробнее об этомпрограммном комплексе см. Приложение E.

Для провайдеров интернет-услуг защиту их клиентов от вирусови спама обеспечивает Dr.Web® AV-Desk. Подробнее о данномпрограммном комплексе см. Приложение F.


10Введение

О чем эта документация

Настоящее руководство пользователя содержит необходимыесведения по установке и эффективному использованиюантивирусного программного комплекса Dr.Web® SecuritySpace Pro.

Подробное описание всех элементов графического интерфейсасодержится в справочной системе комплекса, доступной длязапуска из любого компонента программы.

Настоящее руководство содержит подробное описаниепроцесса установки Dr.Web, а также начальные рекомендациипо его использованию для решения наиболее типичныхпроблем, связанных с вирусными угрозами. В основномрассматриваются наиболее стандартные режимы работыкомпонентов комплекса (настройки по умолчанию).

В Приложениях содержится подробная справочнаяинформация по настройке антивирусного комплекса,предназначенная для опытных пользователей.

В связи с постоянным развитием, интерфейс программы можетне совпадать с предоставленными в данном документеизображениями. Всегда актуальную справочную информацию

вы можете найти по адресу http://products.drweb.com.

http://products.drweb.com/?lng=ru


11Введение

Используемые обозначения исокращения

В данном руководстве используются обозначения, приведенныев таблице 1.

Таблица 1. Обозначения

Обозначение Комментарий

Полужирноеначертание

Названия элементов графического интерфейса ипримеры ввода, который необходимо выполнить вточности так, как он приведен в справке.

Зеленое иполужирноеначертание

Наименования продуктов «Доктор Веб» или ихкомпонентов.

Зеленое иподчеркнутоеначертание

Ссылки на страницы справки и веб-сайты.

Моноширинныйшрифт

Примеры кода, ввода для командной строки иинформации, выводимой пользователюприложением.

Курсив Термины и замещающий текст (приводится вместоинформации, которую необходимо ввестипользователю). В случае примеров вводакомандной строки курсив указывает на значенияпараметров.

ЗАГЛАВНЫЕБУКВЫ

Названия клавиш клавиатуры.

Знак плюс («+») Указывает на одновременность нажатия клавишклавиатуры. Например, запись ALT+F1обозначает, что необходимо нажать клавишу F1,удерживая нажатой клавишу ALT.

Восклицательныйзнак

Важное замечание или предупреждение опотенциально опасных или чреватых ошибкамиситуациях.


12Введение

Системные требования

Перед установкой Dr.Web Security Space Pro следует:

удалить с компьютера другие антивирусные пакетыдля предотвращения возможной несовместимости ихрезидентных компонентов с резидентнымикомпонентами Dr.Web Security Space Pro;

в случае установки Dr.Web Firewall, удалить скомпьютера другие межсетевые экраны;

установить все рекомендуемые производителемоперационной системы критические обновления.

Использование Dr.Web Security Space Pro возможно накомпьютере, удовлетворяющем следующим требованиям:

Компонент Требование

Операционнаясистема

Одна из следующих:

Microsoft® Windows® 2000 Workstation спакетом обновлений SP4 и Update Rollup 1;

Windows® XP с пакетом обновлений SP2;

Windows® Vista;

Microsoft® Windows® 7.

Поддерживаются 32- и 64-битные версииоперационных систем.

Возможно, потребуется загрузить с сайта Microsoft иустановить обновления ряда системных компонентов.Программный комплекс сообщит вам, принеобходимости, их наименования и URL.

Процессор Поддерживающий систему команд i686 и старше.

Оперативнаяпамять

512 МБ и больше.

Прочее Подключение к сети Интернет для обновлениявирусных баз и компонентов Dr.Web Security SpacePro.


13Введение

Проверка антивируса

Вы можете проверить работоспособность антивирусныхпрограмм, обнаруживающих вирусы по их сигнатурам, сиспользованием тестового файла EICAR (European Institute forComputer Anti-Virus Research).

Многими разработчиками антивирусов принято для этой целииспользовать одну и ту же стандартную программу test.com.Эта программа была специально разработана для того, чтобыпользователь, не подвергая свой компьютер опасности, могпосмотреть, как установленный антивирус будетсигнализировать об обнаружении вируса. Программа test.comне является сама по себе вредоносной, но специальнообрабатывается большинством антивирусных программ каквирус. Dr.Web® Security Space Pro называет этот «вирус»следующим образом: EICAR Test File (Not a Virus!).

Примерно так его называют и другие антивирусные программы.

Программа test.com представляет собой 68-байтный COM-файл,в результате исполнения которого на консоль выводитсятекстовое сообщение EICAR-STANDARD-ANTIVIRUS-TEST-FILE!

Файл test.com состоит только из текстовых символов, которыеформируют следующую строку:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Если вы создадите файл, содержащий приведенную вышестроку и сохраните его под именем test.com, то в результатеполучится программа, которая и будет описанным выше«вирусом».


14Введение

Лицензирование

Права пользователя на использование антивируса Dr.WebSecurity Space Pro регулируются при помощи специальногофайла, называемого ключевым файлом.

Для работы Dr.Web Security Space Pro вам необходимополучить и установить ключевой файл.

Дополнительную информацию о сроках и типах лицензированияможно найти на официальном сайте «Доктор Веб» по адресуhttp://www.drweb.com/.

Ключевой файл

Ключевой файл имеет расширение .key и содержит, вчастности, следующую информацию:

перечень компонентов, которые разрешено использоватьданному пользователю;

период, в течение которого разрешено использованиеантивируса;

другие ограничения (в частности, количествокомпьютеров, на которых разрешено использоватьантивирус).

Существует три типа ключевых файлов:

лицензионный ключевой файл, который приобретаетсявместе с Dr.Web Security Space Pro и позволяет какпользоваться продуктом, так и получать техническуюподдержку. Параметры этого ключевого файла,регулирующие права пользователя, установлены всоответствии с пользовательским договором. В такойфайл также заносится информация о пользователе ипродавце продукта;

демонстрационный ключевой файл, которыйиспользуется для ознакомления с продуктом. Такой

http://www.drweb.com/


15Введение

ключевой файл обеспечивает полную функциональностьосновных компонентов, но имеет ограниченный срокдействия — 30 дней;

временный ключевой файл, который используется в томслучае, если при установке вы не указываетелицензионный или демонстрационный ключевой файл.Такой ключевой файл обеспечивает полнуюфункциональность компонентов Dr.Web Security SpacePro, однако обновления не будут загружаться до тех пор,пока вы не установите лицензионный илидемонстрационный ключевой файл.

Ключевой файл Dr.Web Security Space Pro являетсядействительным при одновременном выполнении следующихусловий:

срок действия лицензии не истек;

ключ распространяется на все используемые программоймодули;

целостность ключа не нарушена.

При нарушении любого из условий ключевой файл становитсянедействительным, при этом Dr.Web Security Space Proперестает обнаруживать и обезвреживать вредоносныепрограммы.

Получение ключевого файла

Ключевой файл поставляется в виде файла c расширением .keyили в виде ZIP-архива, содержащего этот файл.

Вы можете получить ключевой лицензионный файл одним изследующих способов:

в процессе регистрации продукта на официальном сайте«Доктор Веб»;

в процессе установки продукта или его первогообновления;

вместе с дистрибутивом продукта, если лицензионныйфайл был включен в комплект поставки;


16Введение

на отдельном носителе.

Ключевые файлы, полученные при помощи процедурырегистрации продукта, устанавливаются автоматически.Ключевые файлы, полученные другим путем, необходимоустановить.

Получение ключевого файла в процессе регистрациина сайте

Регистрация на сайте и загрузка ключевого файлаосуществляется по сети Интернет. Перед началом установкиубедитесь, что ваш компьютер имеет действующееинтернет-соединение.

Для получения лицензионного ключевого файла необходимрегистрационный серийный номер продукта. Во время даннойпроцедуры получение демонстрационного файла невозможно.

1. Зайдите на сайт, адрес которого указан врегистрационной карточке, прилагаемой к продукту.

2. Заполните форму со сведениями о покупателе.

3. Введите регистрационный серийный номер (находитсяна регистрационной карточке).

4. Сформированный ключевой файл высылается поэлектронной почте в виде ZIP-архива, содержащегофайл с расширением .key. Также вы можете загрузитьархив со страницы регистрации.

5. После получения ключевого файла установите его навашем компьютере.


17Введение

Получение ключевого файла в процессе установкиDr.Web Security Space Pro

Регистрация на сайте и загрузка ключевого файлаосуществляется по сети Интернет. Перед началомустановки убедитесь, что ваш компьютер имеетдействующее интернет-соединение. Во время даннойпроцедуры возможно получение демонстрационного файла.

1. Запустите установку продукта (см. разделПервая установка Dr.Web Security Space Pro).

2. На шаге Ключевой файл Dr.Web выберите Получитьфайл в процессе установки.

3. Выполните остальные шаги установки в обычномрежиме. На завершающей стадии установки или припервом обновлении продукта при помощимодуля автоматического обновления запуститсяпроцедура получения ключевого файла. По завершениипроцедуры Dr.Web Security Space Pro автоматическизагрузит и установит ключевой лицензионный файл.

Рекомендуется сохранять лицензионный ключевой файл доистечения срока его действия. При переустановке продуктаили в случае установки на несколько компьютеров повторнаярегистрация серийного номера не требуется. Вы можетеиспользовать ключевой файл, полученный при первойрегистрации.

Демонстрационный ключ может использоваться только натом компьютере, на котором вы проходили регистрацию.


18Введение

Повторная регистрация

Повторная регистрация может потребоваться в случае утратыключевого файла. При повторной регистрации необходимоуказать те же персональные данные, которые вы ввели припервой регистрации. Допускается использовать другой адресэлектронной почты – в таком случае ключевой файл будетвыслан по новому адресу.

В случае использования демонстрационного ключа выдаётсятот же ключевой файл, который был выдан ранее.Демонстрационный ключ выдается на одну и ту же машинуне чаще, чем 1 раз в 4 месяца.

Количество запросов на получение ключевого файлаограничено – регистрация с одним и тем же серийнымномером допускается не более 25 раз. Если это числопревышено, ключевой файл не будет выслан. В этом случаеобратитесь в службу технической поддержки (в запросеследует подробно описать ситуацию, указать персональныеданные, введенные при регистрации, и серийный номер).Ключевой файл будет выслан вам службой техническойподдержки по электронной почте.

http://support.drweb.com/request/

http://support.drweb.com/request/


19Введение

Продление лицензии

В некоторых случаях, например, при окончании срока действиялицензии или при изменении характеристик защищаемойсистемы или требований к ее безопасности, вы можете принятьрешение о приобретении новой или расширенной лицензии наDr.Web Security Space Pro. В таком случае вам потребуетсязаменить уже существующий и зарегистрированный в системелицензионный ключевой файл. Dr.Web Security Space Proподдерживает обновление лицензии «на лету», при котором нетребуется переустанавливать антивирус или прерывать егоработу.

Замена ключевого файла

1. Чтобы продлить лицензию, используйте Менеджерлицензий. Для приобретения новой или продлениятекущей лицензии вы также можете воспользоватьсявашей персональной страничкой на официальном сайтекомпании «Доктор Веб», которая открывается в окнеинтернет-браузера по умолчанию при выборе пунктаМой Dr.Web как в Менеджере лицензий, так и в менюSpIDer Agent.

2. Если текущий ключевой файл недействителен, Dr.WebSecurity Space Pro переключится на использованиенового ключевого файла.


20Установка Dr.Web Security Space Pro

Глава 2. Установка программы

Перед установкой комплекса настоятельно рекомендуется:

установить все критические обновления, выпущенныекомпанией Microsoft для вашей версии операционнойсистемы (их можно загрузить и установить с сайтаобновлений компании по адресу http://windowsupdate.microsoft.com);

проверить при помощи системных средств файловуюсистему и устранить обнаруженные дефекты;

закрыть активные приложения.

Перед установкой Dr.Web Security Space Pro следуетудалить с компьютера другие антивирусные пакеты имежсетевые экраны для предотвращения возможнойнесовместимости их резидентных компонентов.

Установка Dr.Web® Security Space Pro

В данном разделе описывается установка Dr.Web SecuritySpace Pro на компьютеры, работающие под управлением однойиз следующих операционных систем:

Microsoft® Windows® 2000 Workstation с пакетомобновлений SP4 и Update Rollup 1;

Microsoft® Windows® XP с пакетом обновлений SP2;

Microsoft® Windows® Vista;

Microsoft® Windows® 7.

Поддерживаются 32- и 64-битные версии операционных систем.

http://windowsupdate.microsoft.com

http://windowsupdate.microsoft.com



Первая установка Dr.Web Security Space Pro

Для установки Dr.Web Security Space Pro необходимыправа Администратора.

Установка Dr.Web Security Space Pro возможна в двухрежимах:

1. В фоновом режиме.

2. В обычном режиме.

Установка в фоновом режиме

Для запуска установки Dr.Web Security Space Pro в фоновомрежиме, в командной строке введите имя исполняемого файлас необходимыми параметрами (параметры влияют на ведениеотчета и перезагрузку после окончания установки):

Установка Параметры

Без перезагрузкии без веденияотчёта

/S /V/qn

С перезагрузкойи без веденияотчёта

/S /V"/qn REBOOT=Force"

или

/S /V"/qn REBOOT=F"

Без перезагрузкии с ведениемотчёта

/S /V"/qn /lv*\"<путь>\drweb-setup.log\""

С перезагрузкойи с ведениемотчёта

/S /V"/qn /lv*\"<путь>\drweb-setup.log\"

REBOOT=F"

или

/S /V"/qn /lv*\"<путь>\drweb-setup.log\"

REBOOT=Force"



Например, при запуске следующей команды:

C:\Documents and Settings\drweb-600-win-space-pro-x86 /S /V"/qn /lv*\"%temp%\drweb-setup.log\"REBOOT=F"

будет проведена установка Dr.Web Security Space Pro, созданфайл отчета и проведена перезагрузка после установки.

Если необходимо установить Dr.Web Security Space Pro наопределённом языке, то дополнительно необходимо задатьследующий параметр:

/L<код_языка>

Например,

/L1049 /S /V"/qn REBOOT=Force"

Список языков:

Код Язык

1026 болгарский

2052 китайкий (КНР)

1029 чешский

1031 немецкий

1032 греческий

1033 английский

1034 испанский

1061 эстонский

1036 французский

1038 венгерский

1040 итальянский

1063 литовский

1062 латышский



Код Язык

1045 польский

2070 португальский

1049 русский

1051 словацкий

1055 турецкий

1058 украинский

1028 китайский (традиционный)

Независимо от выбранного языка будет дополнительноустановлен английский язык.



Установка в обычном режиме

Чтобы запустить установку в обычном режиме, воспользуйтесьодним из следующих методов:

в случае поставки установочного комплекта в видеединого исполняемого файла запустите на исполнениеэтот файл;

в случае поставки установочного комплекта нафирменном диске вставьте диск в привод. Если дляпривода включен режим автозапуска диска, процедураустановки запустится автоматически. Если режимавтозапуска отключен, запустите на выполнение файлautorun.exe, расположенный на диске. Откроется окно,содержащее меню автозапуска. Нажмите кнопкуУстановить.

Следуйте указаниям программы установки. На любом шаге доначала копирования файлов на компьютер вы можетевыполнить следующее:

чтобы вернуться к предыдущему шагу программыустановки, нажмите кнопку Назад;

чтобы перейти на следующий шаг программы, нажмитекнопку Далее;

чтобы прервать установку, нажмите кнопку Отмена.

Процедура установки:

1. На первом шаге выберите язык установки, который будетиспользоваться в интерфейсе. Независимо от вашеговыбора дополнительно будет установлен английскийязык.

2. На следующем шаге ознакомьтесь с лицензионнымсоглашением. Для продолжения установки егонеобходимо принять.

3. На следующем шаге программа установки предупредитвас о возможной несовместимости Dr.Web SecuritySpace Pro и иных антивирусов, установленных на вашемкомпьютере, и предложит удалить их. Выполните одноиз следующих действий:



если на вашем компьютере установлены другиеантивирусы, то рекомендуется нажать кнопкуОтмена и прервать установку, удалить илидезактивировать эти антивирусы и после этогоначать установку заново;

если на вашем компьютере не установлены другиеантивирусы, для продолжения установите флажок Яподтверждаю, что на компьютере нет другихантивирусных программ и нажмите кнопкуДалее.

4. На шаге Ключевой файл Dr.Web программа установкипредупредит вас о том, что для работы Dr.Web SecuritySpace Pro необходим ключевой файл (лицензионныйили демонстрационный). Выполните одно из следующихдействий:

если у вас есть ключевой файл, и он находится нажестком диске или сменном носителе, нажмитекнопку Обзор и выберите ключевой файл встандартном окне открытия файла;



если у вас нет ключевого файла, но вы готовы егополучить в процессе установки, выберите Получитьфайл в процессе установки;

для продолжения установки с временным ключевымфайлом выберите Получить ключевой файлпозднее. Обновления не будут загружаться до техпор, пока вы не укажете лицензионный илидемонстрационный ключевой файл.

Нажмите кнопку Далее.

Используйте только ключевой файл вариантаDr.Web Security Space Pro. Ключевой файл должениметь расширение .key. Если файл находится вархиве, необходимо извлечь его соответствующимархиватором.



5. На следующем шаге вам будет предложено выбрать типустановки:

Установка по умолчанию предполагает установкувсех компонентов, английского и русского языковинтерфейса, а также всех вспомогательныхпрограмм, причем этапы установки до шага 10 будутпроведены автоматически;

Пользовательская установка предназначена дляопытных пользователей. В процессепользовательской установки вам будет предложеносамостоятельно выбрать устанавливаемыекомпоненты, указать настройки прокси-сервера инекоторые дополнительные параметры установки.

Выберите необходимый тип установки и нажмите кнопкуДалее.

6. Если вы выбрали режим установки по умолчанию, топерейдите к описанию шага 10. Если вы выбрали режимПользовательской установки, то в открывшемся окневыберите устанавливаемые компоненты, при



необходимости измените каталог установки и нажмитекнопку Далее.

7. На следующем шаге вам будет предложено настроитьсоздание ярлыков для запуска Dr.Web Security SpacePro. Укажите необходимые пункты и нажмите кнопкуДалее.

8. На следующем шаге вам будет предложено указатьнастройки подключения к прокси-серверу. Выберитеодин из следующих вариантов:

если для выхода в Интернет прокси-сервер неиспользуется, выберите Не использовать прокси-сервер;

если для выхода в Интернет вы используете текущиенастройки прокси-сервера, выберите пунктИспользовать системные настройки прокси-сервера (IP и Порт);

если вы хотите задать настройки прокси-сервера,выберите пункт Настройки прокси-сервера иукажите необходимые параметры.




9. На следующем шаге вы можете установить флажокЗагрузить обновления во время установки, чтобы впроцессе установки были загружены актуальные вирусныебазы и другие модули антивируса.




10.Откроется информационное окно с сообщением оготовности к установке. Вы можете выполнить одно изследующих действий:

чтобы провести полную проверку файловой системыпосле установки Dr.Web Security Space Pro,установите флажок Провести полную проверкусистемы после установки программы;

чтобы запустить процесс копирования файлов,нажмите кнопку Установить;

чтобы изменить параметры установки, нажмитекнопку Назад.

11.Если на шаге 4 вы выбрали Получить файл в процессеустановки, то на следующем шаге модульавтоматического обновления попытается получитьключевой файл через Интернет при помощи процедурырегистрации пользователя.

12.Если в процессе установки вы указали или получилидействующий ключевой файл и на шаге 9 установилифлажок Загрузить обновления во время установки,



то будет выполнен процесс обновления вирусных баз идругих компонентов Dr.Web Security Space Pro.Обновление проводится автоматически и не требуетдополнительных действий.

13.Если в состав устанавливаемых компонентов входит GUI-версия Сканера, то по завершении установки Сканерзапустится и проведет быстрое сканирование. В случаеобнаружения инфицированных файлов выберитенеобходимые действия для этих объектов. Послезавершения проверки выключите Сканер.

Известна проблема несовместимости Cканера спрограммой WindowBlinds, позволяющей настраиватьэлементы графического интерфейса операционныхсистем семейства Windows. Для корректной работыантивируса необходимо отключить возможностьизменения интерфейса Dr.Web в настройкахпрограммы WindowBlinds, добавив файл drweb32w.exeв список исключаемых программ.

14.Для завершения процесса установки выполнитеперезагрузку компьютера.



Если в состав устанавливаемых компонентов входит Dr.Web Firewall, программа установки наодном из этапов предупредит вас о возможнойнесовместимости Dr.Web Security Space Pro идругих межсетевых экранов, установленных на вашемкомпьютере, и предложит удалить их. Выполнитеодно из следующих действий:

если на вашем компьютере установлен другоймежсетевой экран, то рекомендуется нажатькнопку Отмена и прервать установку, удалитьили дезактивировать межсетевой экран и послеэтого начать установку заново;

если на вашем компьютере не установленыдругие межсетевые экраны, для продолженияустановите флажок Я под твержд аю, что накомпьютере нет д ругих межсетевыхэкранов и нажмите кнопку Далее.

Во время установки Dr.Web Security Space Pro накомпьютер под управлением Windows Vista илиWindows 7, если в состав устанавливаемыхкомпонентов входит Dr.Web Firewall, операционнаясистема запросит разрешение на установкудрайверов для межсетевого экрана. Для успешногозавершения установки рекомендуется разрешитьустановку драйверов.



Повторная установка и удаление Dr.WebSecurity Space Pro

С помощью программы установки Dr.Web Security Space Proвы можете также:

изменить состав установленных компонентов;

удалить все установленные компоненты с компьютера.

Изменение и удаление программы

1. Чтобы запустить установку, воспользуйтесь одним изследующих методов:

в случае поставки установочного комплекта в видеединого исполняемого файла запустите наисполнение этот файл;

в случае поставки установочного комплекта нафирменном диске вставьте диск в привод. Если дляпривода включен режим автозапуска диска,процедура установки запустится автоматически.Если режим автозапуска отключен, запустите навыполнение файл autorun.exe, расположенный надиске с дистрибутивом. Откроется окно,содержащее меню автозапуска. Нажмите кнопкуУстановить;

запустите программу установки при помощи утилитыустановки и удаления программ операционнойсистемы Windows.

2. Если вы запустили установку через установочныйкомплект, выберите язык работы программы.

3. В открывшемся окне выберите режим работы программыустановки:

чтобы изменить состав устанавливаемыхкомпонентов, выберите вариант Изменить;

чтобы удалить все установленные компоненты,выберите пункт Удалить.



4. Для удаления Dr.Web Security Space Pro илиизменения состава компонентов программе установкипотребуется отключить модуль самозащиты Dr.WebSecurity Space Pro. Для этого введите код,изображенный в открывшемся окне.

5. При необходимости по просьбе программыперезагрузите компьютер для завершения процедурыудаления или изменения состава компонентов.



Процедура получения ключевогофайла

Процедура получения ключевого файла запускаетсяавтоматически в процессе установки или из менюSpIDer Agent после завершения установки и помогаетподключиться к официальному сайту «Доктор Веб» изарегистрировать продукт.

Для получения ключевого файла:

1. На первом шаге вам будет предложено выбрать: получитьдемонстрационный или лицензионный ключевой файл(подробно о ключевом файле см. Лицензионный ключевойфайл). Если у вас имеется регистрационный серийныйномер, выданный вам при приобретении антивируса,выберите вариант Получить лицензионный ключевойфайл. Если вы устанавливаете программу сознакомительными целями, выберите Получитьдемонстрационный ключевой файл и перейдите кшагу 4.



2. В открывшемся окне введите серийный номер и нажмитекнопку Далее.

Если вы уже являлись пользователем Dr.Web® SecuritySpace Pro, то вы можете продлить действиеприобретенной лицензии на 100 дополнительных дней.Для этого укажите серийный номер либо лицензионныйключевой файл предыдущей регистрации.



Нажмите кнопку Далее. Откроется окно вводарегистрационных данных.

3. В окне ввода персональных данных, необходимых дляполучения ключевого файла, заполните все поля инажмите кнопку Далее.

4. В окне Подтверждение регистрационных данныхпроверьте правильность ввода. Если все данные введеныверно, нажмите кнопку Далее. Иначе нажмите кнопкуНазад, чтобы вернуться к шагу 4, и проверьтеправильность введённых данных.

5. Запускается процедура загрузки и установки ключевогофайла. Протокол ее работы отображается винформационном окне. Если получение ключевогофайла завершилось успешно, в информационном окневыводится соответствующее сообщение и указываетсяпуть размещения полученного ключевого файла. Впротивном случае выводится сообщение об ошибке.



Глава 3. Приступая к работе

Программа установки по умолчанию устанавливает накомпьютер следующие компоненты антивирусной защиты:

Сканер для среды Windows (с GUI-интерфейсом иконсольную версию);

сторож SpIDer Guard;

почтовый сторож SpIDer Mail;

антивирусный HTTP-сторож SpIDer Gate;

модуль Родительского контроля;

межсетевой экран Firewall;

компонент Антиспам;

модуль Link Checker;

модуль управления SpIDer Agent.

В обязательном порядке устанавливается модульавтоматического обновления и ряд дополнительных утилит.

Компоненты антивирусной защиты используют общие вирусныебазы и единые алгоритмы обнаружения и обезвреживаниявирусов в проверяемых объектах. Однако методика выбораобъектов для проверки существенно различается, чтопозволяет использовать эти компоненты для организациисущественно разных, взаимодополняющих стратегий защитыкомпьютера.

Так, Сканер для Windows проверяет (по командепользователя или автоматически, по расписанию)определенные файлы (все файлы, выбранные логическиедиски, каталоги и т. д.). При этом по умолчанию проверяетсятакже оперативная память и все файлы автозапуска. Так каквремя запуска задания выбирается пользователем, можно неопасаться нехватки вычислительных ресурсов для другихважных процессов.

Сторож SpIDer Guard постоянно находится в памятикомпьютера и перехватывает обращения к объектам файловой



системы. По умолчанию программа проверяет на наличиевирусов открываемые файлы на сменных носителях и сетевыхдисках и запускаемые, создаваемые или изменяемые файлы нажестких дисках. Благодаря менее детализированному способупроверки программа практически не создает помех другимпроцессам на компьютере, однако, это осуществляется за счетнезначительного снижения надежности обнаружения вирусов.

Достоинством программы является непрерывный, в течениевсего времени работы компьютера, контроль вируснойситуации. Кроме того, некоторые вирусы могут бытьобнаружены только сторожем по специфичным для нихдействиям.

Почтовый сторож SpIDer Mail также постоянно находится впамяти. Программа перехватывает все обращения почтовыхклиентов вашего компьютера к почтовым серверам попротоколам POP3/SMTP/ IMAP4/NNTP и проверяет входящую (иисходящую) почту до ее приема (или отправки) почтовымклиентом. SpIDer Mail ориентирован на проверку всеготекущего почтового трафика, проходящего через компьютер, врезультате чего проверка почтовых ящиков становится болееэффективной и менее ресурсоемкой. В частности, могутотслеживаться попытки массовой рассылки почтовыми червямисвоих копий по адресной книге пользователя с помощьюсобственных реализаций почтовых клиентов, которые могутбыть встроены в функционал вирусов. Это также позволяетотключить проверку почтовых файлов в SpIDer Guard, чтозначительно снижает потребление ресурсов компьютера.

Антивирусный HTTP-сторож SpIDer Gate при настройках поумолчанию автоматически проверяет входящий HTTP-трафик иблокирует передачу объектов, содержащих вредоносныепрограммы. Через протокол HTTP работают веб-обозреватели(браузеры), менеджеры загрузки и многие другие приложения,обменивающиеся данными с веб-серверами, т.е. работающие ссетью Интернет. При базовых настройках SpIDer Gateблокирует передачу объектов, содержащих вредоносныепрограммы. Программа постоянно находится в оперативнойпамяти компьютера и автоматически перезапускается призагрузке Windows.



С помощью модуля Родительского контроля осуществляетсяограничение доступа пользователя к ресурсам, содержащимсякак локально, на самом компьютере, так и в сети. Ограничениедоступа к ресурсам локальной файловой системы позволяетсохранить целостность важных файлов и защитить их отзаражения вирусами, а также сохранит необходимуюконфиденциальность данных. Существует возможность защитыкак отдельных файлов, так и папок целиком, расположенныхкак на локальных дисках, так и на внешних носителяхинформации. Также можно наложить полный запрет напросмотр информации со всех внешних носителей. Контрольдоступа к интернет-ресурсам позволяет как оградитьпользователя от просмотров нежелательных веб-сайтов(сайтов, посвященных насилию, азартным играм и т.п.), так иразрешить пользователю доступ только к тем сайтам, которыеопределены настройками модуля Родительского контроля.

Персональный межсетвой экран Dr.Web Firewall предназначендля защиты вашего компьютера от несанкционированногодоступа извне и предотвращения утечки важных данных посети. Firewall позволяет вам контролировать подключение ипередачу данных по сети Интернет и блокироватьподозрительные соединения на уровне пакетов и приложений.

Для организации эффективной антивирусной защиты можнорекомендовать следующую схему использования компонентовDr.Web:

произвести сканирование всей файловой системыкомпьютера с предусмотренными по умолчанию(максимальными) настройками подробности сканирования;

сохранить настройки системного сторожа по умолчанию;

осуществлять полную проверку почты при помощипочтового сторожа;

осуществлять проверку входящего HTTP-трафика припомощи SpIDer Gate;

блокировать все неизвестные соединения с помощьюмежсетевого экрана;

периодически, по мере обновления вирусных баз,повторять полное сканирование компьютера (не режераза в неделю);



в случае временного отключения сторожа, если в этотпериод компьютер подключался к Интернету илипроизводилась загрузка файлов со сменного носителя,провести полное сканирование немедленно.

Антивирусная защита может быть эффективной только приусловии своевременного (желательно, ежечасного)получения обновлений вирусных баз и других файловкомплекса (см. Глава 4. Автоматическое обновление).

Использование компонентов Dr.Web Security Space Proподробнее описано в следующих разделах.



Модуль управления SpIDer Agent

После установки программного комплекса в область

уведомлений Windows добавляется значок SpIDer Agent .

При наведении курсора мыши на значок появляетсявсплывающая подсказка с информацией о запущенныхкомпонентах, а также датой последнего обновления антивирусаи количеством записей в вирусных базах. Также, в соответствиис настройками (см. ниже), над значком SpIDer Agent могутпоявляться различные подсказки-уведомления.

С помощью контекстного меню значка модуля управленияосуществляется запуск и настройка компонентов Dr.WebSecurity Space Pro.

Пункт О программе открывает окно с информацией о версияхкомпонент Dr.Web Security Space Pro, а также о вирусныхбазах.

Пункт Зарегистрировать лицензию запускает процедурурегистрации пользователя для получения ключевого файла с



сервера компании «Доктор Веб».

Пункт Мой Dr.Web открывает вашу персональную страницу насайте компании «Доктор Веб». На данной странице высможете получить информацию о вашей лицензии (срокдействия, серийный номер), продлить срок ее действия, задатьвопрос службе поддержки и многое другое.

Пункт Справка открывает файл справки Dr.Web SecuritySpace Pro.

Пункты SpIDer Guard, SpIDer Mail, SpIDer Gate,Родительский контроль, Обновление открывают доступ кнастройкам и управлению соответствующих компонентов.

Пункт Сканер запускает Сканер Dr.Web, которыйавтоматически начинает быструю проверку компьютера.

Пункт Отключить/Включить Самозащиту позволяетотключить/включить защиту файлов, веток реестра изапущенных процессов Dr.Web от повреждений и удаления.

Чтобы отключить самозащиту:

выберите в меню SpIDer Agent пункт ОтключитьСамозащиту;

введите код подтверждения.

В меню SpIDer Agent пункт Отключить Самозащитузаменится на пункт Включить Самозащиту.

Отключать самозащиту не рекомендуется.

Отключение самозащиты возможно только в Административном режиме.



Пункт Инструменты открывает меню, предоставляющеедоступ:

к Менеджеру лицензий (см. раздел Менеджерлицензий);

к настройкам самого SpIDer Agent.

В окне настроек SpIDer Agent производится выбор языкаинтерфейса Dr.Web Security Space Pro.

Также в этом окне в первом разделе производитсянастройка типов подсказок-уведомлений, появляющиеся ввиде всплывающего окна над значком SpIDer Agent вобласти уведомлений Windows. Компоненты,перечисленные в окне настроек, посылают уведомленияв случае срабатывания соответствующей защиты. Такжеуведомление может появляться при каждом обновлениивирусных баз.

В разделе Компоненты вы можете выбрать один извариантов:

Запускать все установленные компонентыантивируса при загрузке (рекомендуется);



Выборочный запуск компонентов (нерекомендуется). В этом режиме вы можетеотключить автоматический запуск некоторыхкомпонентов;

к стандартному заданию операционной системы Windows,которое определяет периодичность и параметрыобновления Dr.Web Security Space Pro (пунктПланировщик);

к Карантину (см. Карантин).

Пункт Административный/Пользовательский режимпозволяет переключаться между полнофункциональнымАдминистративным режимом и ограниченнымПользовательским режимом работы с Dr.Web SecuritySpace Pro. В Пользовательском режиме действуютследующие ограничения: недоступны настройки компонентов,обновления, Родительский контроль и пункт Планировщик,а также функции отключения сторожа SpIDer Guard, Dr.WebFirewall и самозащиты. Для переключения вАдминистративный режим вам необходимы праваадминистратора.



Данный пункт отображается только при отсутствииадминистративных привилегий. Например, при работе всреде операционных систем Microsoft Windows 2000 илиWindows XP в пользовательском режиме, или в среде WindowsVista или Microsoft Windows 7 при включенной системеконтроля учетной записи UAC. В противном случае данныйпункт недоступен и Dr.Web Security Space Pro постоянноработает в полнофункциональном режиме.



Менеджер лицензий

Менеджер лицензий в доступном виде отображаетинформацию, содержащуюся в имеющихся у вас ключевыхфайлах Dr.Web Security Space Pro.

Чтобы открыть это окно, в контекстном меню значка SpIDer

Agent в области уведомлений Windows выберите пунктИнструменты, а затем пункт Менеджер лицензий.

В группе Компоненты выделены те компоненты, с которымисогласно лицензии работает Dr.Web Security Space Pro.

Получение ключевого файла

Для получения ключевого файла с сервера компании «ДокторВеб», нажмите кнопку Получить новую лицензию и ввыпадающем списке выберите через сеть Интернет.Запустится процедура получения ключевого файла.

Для работы Dr.Web Security Space Pro требуется установить взащищаемой системе ключевой файл Dr.Web Security SpacePro.



Установка полученного ключевого файла

1. Нажмите кнопку Получить новую лицензию. Ввыпадающем списке выберите указав путь к файлу надиске.

2. Укажите путь до ключевого файла. Если вы получилиключевой файл в виде ZIP-архива, распаковывать егонеобязательно.

3. Dr.Web Security Space Pro автоматически начнетиспользовать ключевой файл.

При получении ключевого файла в процессе установки или вкомплекте дистрибутива установка ключевого файлапроизводится автоматически и никаких дополнительныхдействий не требует.

Для того чтобы удалить ключевой файл из списка, нажмитекнопку Удалить текущую лицензию. Последнийиспользуемый ключ не может быть удален.

При работе программы ключевой файл по умолчанию долженнаходиться в каталоге установки. Программа регулярнопроверяет наличие и корректность ключевого файла. Воизбежание порчи ключа, не модифицируйте ключевой файл.

При отсутствии действительного ключевого файла(лицензионного или демонстрационного) активность всехкомпонентов блокируется. Единственное разрешенное втакой ситуации действие – запуск модуля автоматическогообновления с целью регистрации и получения ключевогофайла.



Карантин

Это окно содержит данные о содержимом Карантина Dr.WebSecurity Space Pro, который служит для изоляции файлов,подозрительных на наличие вредоносных объектов. ПапкиКарантина создаются отдельно на каждом логическом диске,где были обнаружены подозрительные файлы. Приобнаружении зараженных объектов на съемном носителе, еслизапись на носителе возможна, на нём создается папка Карантини в неё переносится зараженный объект.

Для просмотра и редактирования содержимого карантинавыберите в разделе Инструменты контекстного менюSpIDer Agent пункт Карантин.

В центральной части окна отображается таблица синформацией о состоянии карантина, включающая следующиеполя:

Имя – список имен объектов, находящихся в карантине;

Угроза – классификация вредоносной программы,определяемая Dr.Web Security Space Pro приавтоматическом перемещении объекта в карантин;



Путь – полный путь, по которому находился объект доперемещения в карантин.

В нижней части окна карантина отображается подробнаяинформация о выделенных объектах карантина. Вы можетевключить отображение столбцов с подробной информацией обобъекте, аналогичной данным в нижней части окна.

Настройка отображения столбцов

1. Чтобы задать параметры отображения информации втаблице Карантина, щелкните правой кнопки мыши позаголовку таблицы и выберите пункт Настроитьколонки.

2. В открывшемся окне установите флажки напротив техпунктов, которые вы хотите включить в таблицуобъектов. Чтобы исключить столбцы из таблицыобъектов, снимите флажки напротив соответствующихпунктов. Также вы можете выполнить одно изследующих действий:

чтобы установить флажки напротив всех объектовсразу, нажмите кнопку Отметить все;

чтобы снять все флажки, нажмите кнопку Снятьотметки.

3. Для изменения порядка следования столбцов в таблицевыберите соответствующий столбец в списке и нажмитена одну из следующих кнопок:

Вверх – для перемещения столбца ближе к началутаблицы (вверх по списку в настройках и левее втаблице объектов).

Вниз – для перемещения столбца ближе к концутаблицы (вниз по списку в настройках и правее втаблице объектов).

4. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.

Боковая панель слева служит для фильтрации объектовкарантина, которые будут отображены. При нажатии насоответствующий пункт, в центральной части окна будутпоказаны все объекты карантина или только заданные группы



объектов: файлы, почтовые объекты, веб-страницы или всеостальные объекты, не попадающие в данные категории.

В окне карантина файлы могут видеть только те пользователи,которые имеют права доступа к этим файлам.

В окне карантина доступны следующие кнопки управления:

Добавить – добавить файл в карантин. В открывшемсябраузере по файловой системе выберите нужный файл;

Восстановить – переместить файл из карантина ивосстановить первоначальное местоположение файла накомпьютере (восстановить файл под тем же именем и впапку, в которой он находился до перемещения вкарантин).

Используйте данную функцию только в том случае,если вы уверены, что объект безопасен.

В выпадающем меню вы можете выбрать вариантВосстановить в – переместить файл под заданнымименем в папку, указанную администратором;

Пересканировать – сканировать файл из карантинаповторно;

Удалить – удалить файл из карантина и из системы.

Для работы одновременно с несколькими файлами выберитенеобходимые файлы, удерживая клавиши SHIFT или CTRL, затемщелкните правой кнопкой мыши в на любой строчке таблицы ивыберите необходимое действие.

Для настройки свойств Карантина нажмите кнопку в окнеКарантина. Откроется окно Свойства карантина, в которомвы можете изменять следующие параметры:

в разделе Задать размер карантина вы можетеуправлять объемом дискового пространства, занимаемогопапкой Карантина;



в разделе Вид вы можете установить флаг Показыватьрезервные копии, чтобы отобразить в таблице объектоврезервные копии файлов, находящихся в Карантине.

Резервные копии создаются автоматически при перемещениифайлов в Карантин. Даже при хранении файлов в Карантинебессрочно, их резервные копии сохраняются временно.



Сканер для Windows

По умолчанию Сканер производит антивирусное сканированиевсех файлов с использованием как вирусных баз, так иэвристического анализатора (алгоритма, позволяющего сбольшой вероятностью обнаруживать неизвестные программевирусы на основе общих принципов их создания). Исполняемыефайлы, упакованные специальными упаковщиками, припроверке распаковываются. Проверяются файлы в архивах всехосновных распространенных типов (ZIP, ARJ, LHA, RAR и многихдругих), файловых контейнерах (PowerPoint, RTF и других), атакже файлы в составе писем в почтовых ящиках почтовыхпрограмм (формат писем должен соответствовать RFC822).

Dr.Web в случае обнаружения известного вируса или приподозрении на зараженность объекта вирусом по умолчаниювыводит пользователю сообщения об этом в специальном полеотчета в нижней части главного окна.



Запуск Сканера

Сканер устанавливается как обычное приложение Windows изапускается по команде пользователя (или по расписанию, см.Задания на скранирование и обновление).

Запуск Сканера

Рекомендуется запускать Сканер от имени пользователя,обладающего правами администратора. В противном случаете файлы и папки, к которым непривилегированныйпользователь не имеет доступа (в том числе и системныепапки), не будут подвергнуты проверке.

1. Для запуска Сканера используйте одно из следующихсредств:

значок Сканера на Рабочем столе;

пункт Сканер контекстного меню значка SpIDerAgent (см. Модуль управления SpIDer Agent);

пункт меню Сканер Dr.Web в папке Dr.WebГлавного меню Windows (открывается по кнопкеПуск);

специальную команду операционной системыWindows (подробнее см. п.Сканирование в режиме командной строки).

Чтобы запустить Сканер с настройками по умолчаниюдля проверки какого-либо файла или каталога,воспользуйтесь одним из следующих способов:

выберите в контекстном меню значка файла иликаталога (на Рабочем столе или в Проводникеоперационной системы Windows) пункт ПроверитьDr.Web;

перетащите значок файла или каталога на значокили открытое Главное окно Сканера.

2. После запуска программы открывается ее главное окно.

Если вы запускаете Сканер на проверку файла или



каталога, то после этого немедленно начинаетсясканирование выбранного объекта. В противном случае,при настройках по умолчанию, немедленно после запускапрограммы производится быстрое сканирование.Сканирование остальных объектов файловой системыпроизводится по запросу пользователя.

3. На выбор предоставляется три возможных режимапроверки: Быстрая, Полная и Выборочно. Вцентральной части окна в зависимости от выбранногорежима отображается информация о проверяемыхобъектах, либо файловая структура, представленная ввиде иерархического дерева (в случае выборочнойпроверки).

Во время быстрой проверки проверяются:

оперативная память;

загрузочные секторы всех дисков;

объекты автозапуска;

корневой каталог загрузочного диска;

корневой каталог диска установки Windows;



системный каталог Windows;

папка Мои Документы;

временный каталог системы;

временный каталог пользователя.

В режиме полной проверки производится полноесканирование оперативной памяти, всех жестких дисков исменных носителей (включая загрузочные секторы).

В режиме выборочной проверки пользователюпредоставляет возможность выбирать любые файлы ипапки для антивирусной проверки.

4. Если вы выбрали выборочный режим проверки, виерархическом списке выберите объекты для проверки.В случае полной или быстрой проверки выбиратьобъекты не требуется. На рисунке изображена ситуация,в которой выбрана для сканирования папкаDocuments and Settings на логическом диске C.



По умолчанию наряду с выбранными объектамитакже будут проверяться подкаталоги всехвыбранных каталогов и логических дисков, а такжезагрузочные секторы всех логических дисков, накоторых выбран хотя бы один каталог или файл, атакже главные загрузочные секторысоответствующих физических дисков.

При быстрой и полной проверке Сканер определит,не был ли изменен HOSTS-файл (текстовый файл,который содержит базу данных доменных имен ииспользуется при их трансляции в сетевые адресаузлов). HOSTS-файл может подвергнутьсявоздействию вредоносных программ (например, сцелью перенаправить пользователя наопределённый сайт). В том случае, если HOSTS-файлбыл изменен, Сканер предложит восстановить егоисходное состояние. Это позволит устранитьнесанкционированное изменение файла вредоноснымпрограммным обеспечением.

5. Для того чтобы приступить к сканированию, нажмите

кнопку Старт в правой части главного окна.

В случае запуска Сканера на портативномкомпьютере, работающем от батареи, появитсяпредупреждение, информирующее вас об оставшемсязаряде батареи. Вы можете отключить проверкурежима питания вашего ноутбука на вкладке Общиеокна настроек Сканера. Подробнее об измененииостальных настроек программы см. Настраиваемыепараметры программы.

6. После начала сканирования в правой части окна

становятся доступными кнопки Пауза и Стоп . Налюбом этапе проверки вы можете сделать следующее:

чтобы приостановить проверку, нажмите кнопку

Пауза . Для того чтобы возобновить проверку

после паузы, снова нажмите кнопку Старт ;



чтобы полностью остановить проверку, нажмите

кнопку Стоп .

Действия при обнаружении вирусов

По умолчанию Сканер лишь информирует пользователя обовсех зараженных и подозрительных объектах. Вы можетеиспользовать программу для того, чтобы попытатьсявосстановить функциональность зараженного объекта(вылечить его), а при невозможности – чтобы устранитьисходящую от него угрозу (удалить объект).

Выбор действия

1. Выберите один или несколько зараженных объектов. Выможете указать действие сразу для всех или несколькихобъектов в списке отчета. Чтобы выделить все объекты,нажмите кнопку Выделить все.

Для выделения объектов в списке отчета вы можетеиспользоваться следующие клавиши и комбинации клавиш:

INSERT – выделить объект;

CTRL+A – выделить все;

клавиша умножения (*) на цифровой клавиатуре –выделить все или полностью снять выделение.

2. Щелкните правой клавишей мыши по одной из выбранныхстрок отчета. В открывшемся контекстном меню выберитедействие, которое вы хотите предпринять. Также выможете воспользоваться одной из соответствующих кнопок,расположенных непосредственно под полем отчета.



3. При выборе варианта Вылечить необходимо такжевыбрать действие, которое будет предпринято в случаеневозможности лечения.

Переименование производится путем замены расширенияфайла, по умолчанию первый символ расширениязаменяется на символ #.

Перемещение производится в каталог, заданный внастройках программы, по умолчанию это подкаталогкаталога установки программы с названием infected.!!!.

Удалить — удалить инфицированный объект.

Существуют следующие ограничения:

лечение подозрительных объектов невозможно;

перемещение, переименование или удалениеобъектов, не являющихся файлами (например,загрузочных секторов), невозможно;



любые действия для отдельных файлов внутриархивов, контейнеров или в составе писемневозможны – действие в таких случаяхприменяется только ко всему объекту целиком.

Подозрительные файлы, перемещенные в каталогinfected.!!!, рекомендуется передавать длядальнейшего анализа в антивирусную лабораторию«Доктор Веб», используя специальную форму навеб-сайте http://vms.drweb.com/sendvirus/.

По умолчанию при выборе действия Уд алить дляфайловых архивов, контейнеров или почтовыхящиков программа выдает предупреждение овозможной потере данных.

4. После выполнения выбранного вами действия антивирусдобавляет в колонку Действие поля отчета сообщение орезультате операции.

В некоторых случаях, выбранное вами действие не можетбыть выполнено немедленно. В этом случае в полеотчета Сканера в колонке Действие появляется записьБудет излечен после рестарта, Будет удален послерестарта и т. п. в зависимости от выбранного действия.Указанное действие будет реально выполнено толькопосле перезагрузки компьютера, т. е. это будетотложенное действие. Поэтому при обнаружении такихобъектов рекомендуется провести перезагрузку системысразу после окончания сканирования. При необходимостивы можете настроить автоматическую перезагрузкуоперационной системы для завершения лечения (см.Настраиваемые параметры программы).

Подробный отчет о работе программы сохраняется в видефайла отчета. По умолчанию он размещается в подпапкеDoctorWeb, расположенной в папке профиля пользователя%USERPROFILE% и именуется drweb32w.log.

http://vms.drweb.com/sendvirus/.



Настройка параметров программы

Рекомендуется запускать Сканер от имени пользователя,обладающим правами администратора. В противном случаепользовательские настройки не будут сохранены при выходеиз системы.

Настройки программы по умолчанию являются оптимальнымидля большинства применений, их не следует изменять безнеобходимости.

Изменение настроек программы

1. Чтобы вызвать Настройки программы, выполните одноиз следующих действий:

выберите в главном меню программы пунктНастройки, после чего в открывшемся подменювыберите пункт Изменить настройки;

убедившись, что окно Сканера активно, нажмитеF9.



Откроется окно настроек, содержащее нескольковкладок.

2. Внесите необходимые изменения. При необходимостинажимайте кнопку Применить перед переходом надругую вкладку.

3. Для более подробной информации о настройках,задаваемых на каждой вкладке, воспользуйтесь кнопкойСправка.

4. По окончании редактирования настроек нажмите кнопкуОК для сохранения внесенных изменений или кнопкуОтмена для отказа от них.

Ниже описываются часто используемые случаи изменениянастроек по умолчанию.

Настройки по умолчанию Dr.Web Security Space Pro являютсяоптимальными для режима, в котором сканированиепроизводится по запросу пользователя. Программа производитнаиболее полное и подробное сканирование выбранныхобъектов, информируя пользователя обо всех зараженных илиподозрительных объектах и предоставляя ему возможностьназначать действия программы по отношению к ним.Исключением являются объекты, содержащие программы-шутки, потенциально опасные программы и программы взлома:по умолчанию они игнорируются.

Однако когда сканирование производится без участияпользователя, оптимальны настройки, обеспечивающиеавтоматическую реакцию программы на обнаружениезараженных объектов.



Настройка реакции программы на обнаружениезараженных объектов

1. Перейдите в окне настроек на вкладку Действия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта.

Оптимальным для автоматического режима являетсязначение Вылечить.

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимогообъекта. Это действие аналогично рассмотренному впредыдущем пункте, с той разницей, что вариантВылечить отсутствует.

В большинстве случаев оптимальным являетсявариант Переместить.

4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружение



подозрительного объекта (полностью аналогичнопредыдущему пункту).

5. Аналогично настраивается реакция программы наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.

6. Аналогично настраиваются автоматические действияпрограммы при обнаружении вирусов илиподозрительного кода в файловых архивах, контейнерахи почтовых ящиках. Действия по отношению квышеуказанным объектам выполняются над всемобъектом, а не только над зараженной его частью. Поумолчанию во всех этих случаях предусмотреноинформирование.

7. Снимите флаг Запрос подтверждения, чтобыпрограмма выполняла предписанное действие безпредварительного запроса.

8. В случаях, когда в качестве реакции программы заданопереименование, программа по умолчанию заменяетпервый символ расширения имени файла на #. При

необходимости вы можете изменить маскупереименования расширения файла. Для этого введитенужное значение маски переименования в поле вводаПереименовать расширение.

9. В случаях, когда в качестве реакции программы заданоперемещение, программа по умолчанию перемещаетфайл в подкаталог infected.!!! каталога установкипрограммы. При необходимости вы можете задать другоеимя каталога в поле ввода Путь для перемещения.

10.Для успешного завершения лечения некоторыхзараженных (инфицированных) файлов требуетсяперезагрузка операционной системы. Параметрыперезагрузки системы вы можете настроить в окнеНастройки лечения. Откройте это окно, нажав кнопкуДополнительно, расположенную в правом нижнем углувкладки. Вы можете выбрать один из вариантов:

Перезагружать систему автоматически, еслинеобходимо. Этот режим может привести к потеренесохраненных данных;



Не перезагружать систему автоматически. Вслучае выбора этого варианта рекомендуетсяустановить флаг Предлагать перезагрузку вслучае необходимости, для того чтобы корректнозавершать лечение инфицированных файлов вудобное для вас время.

Вкладка Типы файлов

На этой вкладке задаются дополнительные ограничения насостав файлов, подлежащих сканированию в соответствии сзаданием на сканирование, а также указывается, проводится липроверка почтовых файлов и архивов.

В группе кнопок выбора Режим проверки задается способотбора проверяемых файлов:

вариант Все файлы обеспечивает максимальную защиту(выбран по умолчанию);

варианты Выбранные типы и Заданные маскипредписывают проверять только файлы, расширения илиимена которых соответственно входят в список,задаваемый в правой части вкладки. По умолчанию списоквключает расширения основных типов файлов, могущихбыть носителями вирусов, и основных типов файловыхархивов. Вы можете отредактировать этот список.

На этой вкладке задается также режим проверки Файлов вархивах и Почтовых файлов. По умолчанию проверяются ифайловые архивы, и почтовые ящики.

Вкладка Отчет

На этой вкладке вы можете настроить параметры веденияфайла отчета.



Большинство параметров, заданных по умолчанию, следуетсохранить, однако по мере накопления опыта работы с отчетомвы можете изменить степень детальности протоколированиясобытий (в отчет всегда включаются сведения о зараженных иподозрительных объектах; сведения о проверке упакованныхфайлов и архивов и сведения об успешной проверке остальныхфайлов по умолчанию не включаются).

Вы можете предписать программе отображать в отчетесведения о проверке всех файлов, независимо от исхода – дляэтого установите флаг Проверяемые объекты (этозначительно увеличит объем отчета).

Вы можете предписать программе отображать именаархиваторов (установите флаг Имена архиваторов) илиупаковщиков исполняемых файлов (установите флаг Именаупаковщиков).

Вы можете отменить установленное по умолчанию ограничениемаксимального размера файла отчета (снимите флагПредельный размер) или ввести собственное значениелимита длины файла в поле ввода рядом с флагом.



Вкладка Общие

На этой вкладке задаются параметры взаимодействияпрограммы с операционной системой, а также звуковыереакции программы на различные события.

Флажок Автосохранение настроек предписывает программесохранять измененные настройки при завершении работыСканера Dr.Web. В противном случае изменения в настройкахсохраняются, только если пользователь явно потребовал этого(пункт Сохранить настройки в меню Настройки главного окнаСканера Dr.Web). Данный режим задан по умолчанию.

Флажок Проверять работу от батареи позволяет проверятьперед началом сканирования, работает ли ноутбук от батареи.Опция доступна только для портативных компьютеров(ноутбуков).

Бегунок Приоритет проверки позволяет изменить приоритетпроцесса сканирования в системе.

Сканирование в режиме командной строки

Вы можете запускать программу Dr.Web Сканер для Windowsв режиме командной строки. Такой способ позволяет задатьнастройки текущего сеанса сканирования и переченьсканируемых объектов в качестве параметров вызова. Именно втаком режиме возможен автоматический вызов Сканера порасписанию.

Синтаксис команды запуска следующий:

[<путь_к_программе>]drweb32w [<объекты>] [<ключи>]

Вместо программы Dr.Web Сканер д ля Windows можетиспользоваться Dr.Web Консольный сканер д ля

Windows. В этом случае вместо drweb32w необходимо

набрать имя команды drwebwcl.



Список объектов сканирования может быть пуст или содержатьнесколько элементов, разделенных пробелами.

Наиболее распространенные следующие варианты указанияобъектов сканирования:

* – сканировать все жесткие диски;

C: – сканировать диск C:;

D:\games – сканировать файлы в каталоге;

C:\games\* – сканировать все файлы и подкаталоги

каталога C:\games.

Параметры – ключи командной строки, которые задаютнастройки программы. При их отсутствии сканированиевыполняется с ранее сохраненными настройками (илинастройками по умолчанию, если вы не меняли их).

Каждый параметр этого типа начинается с символа /, ключи

разделяются пробелами.

Ниже приведено несколько наиболее часто используемыхключей. Полный их список содержится в Приложении A.

/cu – лечить инфицированные объекты.

/icm – перемещать неизлечимые файлы (в каталог по

умолчанию), /icr – переименовывать (по умолчанию).

/qu – закрыть окно Сканера по окончании сеанса.

/go – не выдавать никаких запросов.

Последние два параметра особенно полезны приавтоматическом запуске Сканера (например, по расписанию).

Консольная версия сканера д ля Windows по умолчаниюиспользует те же настройки, что и GUI-версия Сканера.Параметры, заданные средствами графического интерфейсаСканера (см. п. Настройка параметров программы),используются также при сканировании в режиме команднойстроки, если иные значения параметров не были заданы ввиде ключей. Некоторые настройки Сканера могутзадаваться только в конфигурационном файле программы.(См. Приложение B).



SpIDer Guard для Windows

По умолчанию SpIDer Guard запускается автоматически прикаждой загрузке операционной системы, при этом запущенныйсторож SpIDer Guard не может быть выгружен в течениетекущего сеанса работы операционной системы. Принеобходимости приостановить на некоторое время работусторожа (например, при выполнении критическичувствительного к загрузке процессора задания в реальноммасштабе времени) выберите в меню SpIDer Guardконтекстного меню модуля управления пункт Отключить.

Временное отключение мониторинга доступно толькопользователю, обладающему правами администратора.

При настройках по умолчанию сторож «на лету» проверяет нажестком диске – только создаваемые или изменяемые файлы,на сменных носителях и сетевых дисках – все открываемыефайлы. Кроме того, сторож постоянно отслеживает действиязапущенных процессов, характерные для вирусов, и при ихобнаружении блокирует эти процессы.

Сторож в пакете Dr.Web Security Space Pro при обнаружениизараженных объектов применяет к ним действия согласноустановленным настройкам.

Соответствующим изменением настроек вы можете задатьавтоматическую реакцию программы на вирусные события.Пользователь сможет следить за ней с помощью окнастатистики и файла отчета.



Управление сторожем SpIDer Guard

В меню SpIDer Guard сосредоточены основные средстванастройки и управления сторожем.

Пункт Статистика открывает окно, содержащее сведения оработе сторожа в течение текущего сеанса (количествопроверенных, зараженных и подозрительных объектов,предпринятые действия и др.).

Пункт Настройки открывает доступ к основной частинастраиваемых параметров программы (подробнее см. п.Основные настройки сторожа).

Пункт Отключить позволяет временно отключить SpIDerGuard (доступно только пользователю, имеющему праваадминистратора данного компьютера).

Пункты Настройки, Отключить/Запустить доступнытолько в Административном режиме.



Основные настройки сторожа

Основные настраиваемые параметры сторожа сосредоточены вразделах окна Настройки SpIDer Guard (см. ниже). Для тогочтобы получить справку о параметрах, задаваемых в каком-либоразделе, перейдите в этот раздел и нажмите кнопку

Справка .

По окончании редактирования настроек нажмите кнопку ОК,чтобы сохранить изменения, или кнопку Отмена, чтобыотказаться от внесенных изменений.

Ниже описываются некоторые наиболее часто изменяемыенастройки программы.

Раздел Проверка

По умолчанию установлен режим проверки Оптимальный:сканирование на жестких дисках – только запускаемых,создаваемых или изменяемых файлов, на сменных носителях исетевых дисках – всех открываемых файлов.

В режиме Параноидальный производится проверка всехоткрываемых, создаваемых или изменяемых файлов на жесткихдисках, сменных носителях и сетевых дисках.

Флажок Использовать эвристический анализ включаетрежим эвристического анализатора (режим поиска неизвестныхвирусов на основании анализа структуры файла).



Группа настроек Дополнительные возможности позволяетзадать параметры проверки «на лету», которые будутприменяться вне зависимости от выбранного режима работысторожа SpIDer Guard.

Здесь вы можете задать проверку:

файлов запускаемых процессов вне зависимости от ихрасположения;

установочных файлов;

файлов и загрузочных секторов на сетевых дисках;

файлов и загрузочных секторов на съемных носителях.

Группа настроек Предотвращение подозрительныхдействий позволяет запретить некоторые действия, которыемогут привести к заражению вашего компьютера.



Некоторые внешние накопители (в частности, мобильныевинчестеры с интерфейсом USB) могут представляться всистеме как жесткие диски. Поэтому такие устройстваследует использовать с особой осторожностью, проверяя навирусы при подключении к компьютеру с помощьюантивирусного Сканера.

Отказ от проверки архивов в условиях постоянной работысторожа не ведет к проникновению вирусов на компьютер, алишь откладывает момент их обнаружения. При распаковкезараженного архива (открытии зараженного письма) будетсделана попытка записать инфицированный объект на диск,при этом сторож его неминуемо обнаружит.

Задание исключений

В разделе Исключения задается список каталогов и файлов,исключаемых из проверки.

В поле Список исключаемых путей и файлов приводитсясписок каталогов и файлов, которые не проверяются сторожем SpIDer Guard. В таком качестве могут выступать каталогикарантина антивируса, рабочие каталоги некоторых программ,временные файлы (файлы подкачки) и т. п.

По умолчанию список пуст. Вы можете добавить к исключениямконкретные каталоги и файлы или использовать маски, чтобызапретить проверку определенной группы файлов.

Вы можете формировать список исключений следующимобразом:

чтобы указать конкретный существующий каталог илифайл, нажмите кнопку Обзор и выберите каталог илифайл в стандартном окне открытия файла. Вы такжеможете вручную ввести полный путь к файлу или каталогув поле ввода;

чтобы исключить из проверки все файлы или каталоги с



определенным именем, введите это имя в поле ввода.Указывать путь к каталогу или файлу при этом нетребуется;

чтобы исключить из проверки файлы или каталогиопределенного вида, введите определяющую их маску вполе ввода. Маска задает общую часть имени объекта. Приэтом:

символ «*» заменяет любую, возможно пустуюпоследовательность символов;

символ «?» заменяет любой, но только один символ;

остальные символы маски ничего не заменяют иозначают, что на данном месте в имени файла иликаталога должен находиться именно этот символ.

Пример:

отчет*.doc – маска, задающая все документыMicrosoft Word, название которых начинается сподстроки «отчет», например, файлы отчет-февраль.doc, отчет121209.doc и т.д.;

*.exe – маска, задающая все исполняемые файлы cрасширением EXE, например, setup.exe, iTunes.exe ит.д.;

photo????09.jpg – маска, задающая все файлыизображений формата JPG, название которыхначинается с подстроки «photo» и заканчиваетсяподстрокой «09», при этом между двумя этимиподстроками в названии файла стоит ровно четырепроизвольных символа, например, photo121209.jpg,photoмама09.jpg или photo----09.jpg.

Кнопка Добавить позволяет добавить к списку исключение,указанное в поле ввода.

Кнопка Удалить позволяет удалить из списка выбранноеисключение.



Настройка действий

В разделе Действия вы можете настроить автоматическиедействия сторожа с зараженными объектами.

Состав доступных реакций зависит от типа вирусного события.

Реакции Лечить, Карантин, Игнорировать и Удалитьаналогичны таким же реакциям Сканера.

Изменение настроек сторожа

1. В окне Настройки SpIDer Guard выберите разделДействия.

2. Выберите в выпадающем списке Инфицированныеобъекты реакцию программы на обнаружениеинфицированного объекта. Рекомендуется установитьдействие Лечить.

3. Выберите в выпадающем списке Неизлечимые объектыреакцию программы на обнаружение неизлечимогообъекта. Рекомендуется установить действие Карантин.Дальнейшие действия с перемещенными файламирассмотрены в п. Действия при обнаружении вирусов.



4. Выберите в выпадающем списке Подозрительныеобъекты реакцию программы на обнаружениеподозрительного объекта. Рекомендуется установитьдействие Игнорировать или Карантин.

5. Выберите в выпадающих списках Потенциальноопасные рекламные программы и Программыдозвона реакцию программы на обнаружениеподозрительного объекта. Рекомендуется установитьдействие Карантин.

6. Аналогично настраивается реакция программы наобнаружение объектов, содержащих рекламныепрограммы, программы дозвона, программы-шутки,потенциально опасные программы и программы взлома.Рекомендуется установить действие Игнорировать.

7. Нажмите кнопку ОК.

Раздел Отчет

В этом разделе вы можете задать одну из следующих степенейдетальности ведения отчета:

Стандартный – в данном режиме в отчете фиксируютсятолько наиболее значимые события, такие какпроведение обновлений, запуск и остановка сторожаSpIDer Guard и вирусные события. Данный режимведения отчета походит для большинства применений;

Расширенный – в данном режиме в отчете помимообщих событий фиксируются данные о проверяемыхфайлах, именах упаковщиков и содержимом проверяемыхсоставных объектов (архивов, файлов электронной почтыили файловых контейнеров);

Отладочный – в данном режиме в отчете фиксируетсямаксимальное количество информации о работе сторожаSpIDer Guard, что может привести к значительномуувеличению файла отчета.



SpIDer Mail для Windows

Почтовый сторож SpIDer Mail для Windows по умолчаниювключается в состав устанавливаемых компонентов, постояннонаходится в памяти и автоматически запускается при загрузкеWindows. (Автоматическую загрузку почтового сторожа можноотключить в настройках SpIDer Agent).

По умолчанию программа автоматически перехватывает всеобращения любых почтовых программ вашего компьютера кPOP3-серверам по порту 110, к SMTP-серверам по 25, к IMAP4-серверам по порту 143 и к NNTP-серверам по порту 119.

Антивирусный почтовый сторож получает все входящие письмавместо почтового клиента и подвергает их антивирусномусканированию с максимальной степенью подробности. Приотсутствии вирусов или подозрительных объектов письмапередаются почтовой программе «прозрачным» образом – так,как если бы они поступили непосредственно с сервера.Аналогично проверяются исходящие письма до отправки насервер.

Реакция программы на инфицированные и подозрительныевходящие письма, а также письма, не прошедшие проверку(например, с чрезмерно сложной структурой), по умолчаниюследующая (об изменении этих настроек см. п. Основныенастройки почтового сторожа):

из зараженных писем удаляется вредоносная информация(лечение);

письма с подозрительными объектами перемещаются ввиде отдельных файлов в карантин, почтовой программепосылается сообщение об этом;

письма, не прошедшие проверку, пропускаются, как инезараженные;

все удаленные или перемещенные письма такжеудаляются с POP3- или IMAP4-сервера.

Инфицированные или подозрительные исходящие письма непередаются на сервер, пользователь оповещается об отказе



отправить письмо (как правило, почтовая программа при этомего сохранит).

При наличии на компьютере неизвестного вируса,распространяющегося через электронную почту, программаможет определять признаки типичного для таких вирусов«поведения» (массовые рассылки). По умолчанию этавозможность включена.

Почтовый сторож предоставляет возможность проверкивходящих писем на спам с помощью компонента Антиспам Dr.Web. По умолчанию эта возможность включена. (О настройкахработы Антиспама Dr.Web см. п.Основные настройки почтового сторожа).

Настройки программы по умолчанию являются оптимальнымидля начинающего пользователя, обеспечивая максимальныйуровень защиты при наименьшем вмешательстве пользователя.При этом, однако, блокируется ряд возможностей почтовыхпрограмм (например, направление письма по многим адресамможет быть воспринято как рассылка, полученный спам нераспознается), а также утрачивается возможность полученияполезной информации из автоматически уничтоженных писем(из незараженной текстовой части). Более опытныепользователи могут изменить параметры сканирования почты инастройки реакции программы на события.

В ряде случаев автоматический перехват POP3-, SMTP-, IMAP4-и NNTP-соединений невозможен; в таком случае программапредоставляет возможность настроить перехват соединенийвручную.

Сторож SpIDer Guard и Сканер также могут обнаруживатьвирусы в почтовых ящиках некоторых форматов, однакопочтовый сторож SpIDer Mail имеет перед этими программамиряд преимуществ:

далеко не все форматы почтовых ящиков популярныхпрограмм поддерживаются сторожем и Сканером;напротив, при использовании почтового сторожазараженные письма даже не попадают в почтовые ящики;



SpIDer Guard по умолчанию не проверяет почтовыеящики, при включении этой возможностипроизводительность системы значительно снижается;

Сканер проверяет почтовые ящики, но только по запросупользователя или по расписанию, а не в моментполучения почты, причем данное действие являетсячрезвычайно ресурсоёмким и занимает значительноевремя.

Таким образом, при настройках всех компонентов поумолчанию почтовый сторож SpIDer Mail первымобнаруживает и не допускает на компьютер вирусы иподозрительные объекты, распространяющиеся по электроннойпочте. Его работа является весьма экономичной с точки зрениярасхода вычислительных ресурсов; остальные компонентымогут не использоваться для проверки почтовых файлов.

Антиспам Dr.Web

Технологии Антиспама Dr.Web состоят из нескольких тысячправил, которые условно можно разбить на несколько групп:

эвристический анализ – чрезвычайно сложная,высокоинтеллектуальная технология эмпирическогоразбора всех частей письма: поля заголовка, тела,содержания вложения;

фильтрация противодействия – состоит враспознавании уловок, используемых спамерами дляобхода антиспам-фильтров;

анализ на основе HTML-сигнатур – сообщения, в составкоторых входит HTML-код, сравниваются с образцамибиблиотеки HTML-сигнатур антиспама;

семантический анализ – сравнение слов и выраженийсообщения со словами и идиомами, типичными для спама,производится по специальному словарю. Анализуподвергаются как видимые, так и визуально скрытыеспециальными техническими уловками слова, выраженияи символы;

анти-скамминг технология – к числу скамминг- ифарминг-сообщений относятся т.н. «нигерийские



письма», сообщения о выигрышах в лотерею, казино,поддельные письма банков. Для их фильтрацииприменяется специальный модуль;

фильтрация технического спама – так называемыеbounce-сообщения возникают как реакция на вирусы, иликак проявление вирусной активности. Специальныймодуль антиспама определяет такие сообщения какнежелательные.



Управление почтовым сторожем SpIDer Mail

Управление компонентом SpIDer Mail осуществляется припомощи меню пункта SpIDer Mail, расположенного в

контекстном меню значка модуля управления SpIDer Agent (см. Модуль управления SpIDer Agent).

При выборе пункта Настройки открывается окно настроеккомпонента (см. п. Основные настройки почтового сторожа).

При выборе пункта Статистика открывается окно синформацией о работе программы в текущем сеансе(количество проверенных, зараженных, подозрительныхобъектов и предпринятые действия).

Выберите Отключить чтобы остановить работу сторожа. Длятого чтобы запустить SpIDer Mail выберите пункт Включить.

Пункт Настройки доступен только в Административномрежиме.



Основные настройки почтового сторожа

При необходимости вы можете изменить настройки почтовогосторожа. Для этого откройте окно настроек (см. Управлениепочтовым сторожем SpIDer Mail).

При редактировании настроек пользуйтесь системой помощипрограммы (общая справка по каждому разделу вызывается принажатии кнопки Справка).

По окончании редактирования настроек нажмите кнопку ОК.

Большинство настроек по умолчанию являются оптимальными вбольшинстве случаев. Ниже описываются параметры, длякоторых чаще всего возникает необходимость в настройках,отличных от заданных по умолчанию.



Настройка действий над сообщениями при обнаруженииугрозы

Вы можете настроить реакцию программы в разделе Проверка.

Реакция программы для каждого типа угрозы выбирается ввыпадающих списках. Рекомендуется установить следующиедействия:

для Инфицированных писем – действие Лечить;

для Неизлечимых сообщений и Подозрительных –действие Перемещать в карантин;

для Непроверенных и Поврежденных писем –действие Игнорировать;

для рекламных программ и программ дозвона - действиеПеремещать в карантин;

для программ-шуток, программ взлома и потенциальноопасных программ – действие Игнорировать.

Защиту от подозрительных писем можно отключать только втом случае, когда компьютер дополнительно защищенпостоянно загруженным сторожем SpIDer Guard.

Вы можете увеличить надежность антивирусной защиты посравнению с уровнем, предусмотренным по умолчанию, выбравв списке Непроверенные письма пункт В карантин. Файлы сперемещенными письмами в этом случае рекомендуетсяпроверить Сканером.

Опытные пользователи могут также отказаться от режима, вкотором удаленные или перемещенные программой письматакже немедленно удаляются на POP3/IMAP4-сервере, удаляятакие письма вручную или с использованием более гибкихнастроек почтовой программы. Для этого снимите флагУдалять модифицированные письма на сервере вдополнительных настройках.

Для доступа к дополнительным настройкам сканирования



нажмите кнопку Дополнительно.

В открывшемся диалоговом окне вы можете настроитьособенности проверки, действия над письмом, а такжеоптимизацию сканирования:

таймаут проверки письма - максимальное время, втечение которого письмо проверяется. По истеченииуказанного времени проверка письма прекращается;

максимальную длину файла при распаковке. Еслипрограмма определяет, что после распаковки архив будетбольше указанной длины, проверка и распаковкапроизводиться не будет;

максимальный коэффициент сжатия архива. Еслипрограмма определяет, что коэффициент сжатия архивапревышает указанный, распаковка и проверкапроизводиться не будет;

максимальный уровень вложенности в архив. Еслиуровень вложенности в архив превышает указанный,проверка будет производиться только до указанногоуровня вложенности.



Раздел Антиспам

Изменение настроек Антиспама Dr.Web осуществляется вразделе Антиспам.

Почтовый сторож по умолчанию осуществляет проверкувходящих писем на спам. Для того чтобы входящаякорреспонденция не проверялась Антиспамом, выберитережим Не проверять почту на наличие спама.

Ко всем проверенным письмам будут добавляться заголовки:

X-DrWeb-SpamState: Yes/No. Значение Yesпоказывает, что письму присвоен статус спам, No —

письмо, по мнению SpIDer Mail, спамом не является.

X-DrWeb-SpamVersion: version. version – версия

библиотеки Антиспама Dr.Web.

Установка флага в поле Добавлять префикс к полюSubject писем, содержащих спам указывает почтовомусторожу SpIDer Mail добавлять специальный префикс ктемам писем, распознаваемых как спам. Этот префикс



задается в поле, расположенном под флагом. Добавлениепрефикса поможет вам создать правила для фильтрациипочтовых сообщений, помеченных как спам, в тех почтовыхклиентах (например, MS Outlook Express), в которыхневозможно настроить фильтры по заголовкам писем.

Если для получения почтовых сообщений вы используетепротоколы IMAP/NNTP – настройте вашу почтовую программутаким образом, чтобы письма загружались с почтовогосервера сразу целиком, без предварительного просмотразаголовков. Это необходимо для корректной работыАнтиспама.

Флаг, установленный в поле Разрешать текст на кириллицеуказывает Антиспаму не причислять письма, написанные сустановленной кириллической кодировкой, к спаму безпредварительного анализа. Если флаг снят, то такие письма сбольшой вероятностью будут отмечены фильтром как спам.

Установка и снятие флага Разрешать текст на азиатскихязыках работает аналогично.

В окне Белый и Черный списки содержатся «черные» и«белые» списки адресов отправителей почтовых сообщений.

Если адрес отправителя добавлен в «белый» список,письмо не подвергается анализу на содержание спама.Однако если доменное имя адресов получателя иотправителя письма совпадают, и это доменное имязанесено в белый список с использованием знака «*», то

письмо подвергается проверке на спам.

Если адрес отправителя добавлен в «черный» список,письму без дополнительного анализа присваиваетсястатус спама.

Чтобы добавить в список определенного отправителя, введитеего полный почтовый адрес. Допускается использование знака «*» вместо части адреса. (Например, запись вида *@domain.org означает все адреса с доменным именем domain.org).



Если какие-либо письма неправильно распознаютсяАнтиспамом, следует отправлять их на специальныепочтовые адреса, для анализа и повышения качества работыфильтра. Письма, ошибочно оцененные как спам,отправляйте на адрес [email protected], а спам, нераспознанный системой - на адрес [email protected]. Всесообщения следует пересылать только в виде вложения (ане в теле письма).

Раздел Перехват

По умолчанию сторож автоматически перехватывает почтовыйтрафик всех пользовательских приложений на вашемкомпьютере. Отключить проверку почтового трафиканекоторых программ вы можете в разделе Исключения. Дляэтого добавьте необходимое приложение в список исключений.

Управление перехватом соединений с почтовыми серверамисосредоточено в разделе Перехват.

По умолчанию, перехват производится автоматически. Список

mailto:[email protected]

mailto:[email protected]



перехватываемых адресов находится в дополнительном окне,для открытия которого нажмите кнопку Настройкасоединения.

По умолчанию, список автоматически перехватываемыхобращений включает все IP-адреса (задано при помощисимвола *) и портов 143 (стандартный для IMAP4-протокола),

119 (стандартный для NNTP-протокола), 110 (стандартный дляPOP3-протокола) и 25 (стандартный для SMTP-протокола).

Для того чтобы удалить какой-либо элемент из списка,выберите его в списке и нажмите кнопку Удалить.

Для того чтобы добавить какой-либо сервер или группусерверов в список, введите его адрес (доменное имя или IP-адрес) в поле Адрес, а номер порта, к которому происходитобращение, в поле Порт, и нажмите кнопку Добавить.

Адрес localhost не перехватывается при указании символа

*. Данный адрес при необходимости следует указывать в

списке перехвата в явном виде.

Настройка перехвата вручную

1. В приведенном выше окне выбора способа перехвата (см. выше) выберите вариант Ручная настройкасоединений и нажмите кнопку Настройки соединения.Откроется окно настройки соединений в ручномрежиме.



2. Составьте список ресурсов (POP3/SMTP/IMAP4/NNTP-серверов), обращения к которым предполагаетсяперехватывать. Перенумеруйте их без пропусков,начиная с числа 7000. Эти номера далее будутименоваться портами SpIDer Mail.

3. Для каждого из ресурсов введите в поле Порт SpIDerMail присвоенный ему номер, в поле Адрес сервера –доменное имя сервера, либо его IP-адрес, в поле Портсервера – номер порта, к которому происходитобращение, и нажмите кнопку Добавить.

4. Повторите эти действия для каждого ресурса.

5. Нажмите кнопку ОК.

В настройках почтового клиента вместо адреса и порта POP3/

SMTP/IMAP4/NNTP-сервера укажите адрес localhost:<порт_SpIDer_Mail>, где <порт_SpIDer_Mail> – порт,

назначенный соответствующему POP3/SMTP/IMAP4/NNTP-серверу.



SpIDer Gate

SpIDer Gate - антивирусный HTTP-сторож. При настройках поумолчанию SpIDer Gate автоматически проверяет входящийHTTP-трафик и блокирует передачу объектов, содержащихвредоносные программы. Через протокол HTTP работают веб-обозреватели (браузеры), менеджеры загрузки и многие другиеприложения, обменивающиеся данными с веб-серверами, т.е.работающие с сетью Интернет.

С помощью изменения настроек SpIDer Gate (см. НастройкаSpIDer Gate) вы можете отключить проверку исходящего иливходящего трафика, а также сформировать список техприложений, HTTP-трафик которых будет проверяться в любомслучае и в полном объеме. Также существует возможностьисключения из проверки трафика отдельных приложений.

При базовых настройках SpIDer Gate блокирует получаемые посети объекты, содержащие вредоносные программы.

Программа постоянно находится в оперативной памятикомпьютера и автоматически перезапускается при загрузкеWindows. Вы можете изменить режим автоматического запускапрограммы, сняв соответствующий флажок в разделеКомпоненты окна настроек SpIDer Agent.



Управление SpIDer Gate

Управление компонентом SpIDer Gate осуществляется припомощи меню пункта SpIDer Gate, расположенного вконтекстном меню значка Модуля управления SpIDer Agent.

При выборе пункта Настройки откроется окно настроекпрограммы (см. Настройка SpIDer Gate).

Доступ к изменению настроек модуля защищен паролем.

При выборе пункта Статистика откроется окно с информациейо работе программы в текущем сеансе.

Пункт Отключить/Включить позволяет запустить/остановитьработу SpIDer Gate.

Пункт Настройки доступен только в Административномрежиме.



Настройка SpIDer Gate

Настройки программы по умолчанию являются оптимальнымидля большинства применений, их не следует изменять безнеобходимости.

Доступ к изменению настроек модуля защищен паролем. Припервом запуске модуля появится диалоговое окно, в которомвам будет предложено ввести новый пароль.

Изменение настроек HTTP-сторожа

1. Выберите в меню SpIDer Gate (см. Управление SpIDerGate) пункт Настройки. Откроется окно задания пароля.

2. Введите ранее сохраненный пароль. Задание пароляпроизводится при вызове окна настроек модуля в первыйраз.

3. Внесите необходимые изменения в разделах настроек.

4. Для того чтобы получить информацию о настройках,расположенных в разделе, нажмите кнопку Справка

.

5. Нажмите кнопку Применить для немедленногосохранения внесенных изменений.

6. По окончании редактирования настроек нажмите кнопкуOK.



Раздел Действия

В группе Режим проверки предоставляется возможностьвыбора типа проверяемого HTTP-трафика. По умолчаниюпроверяется только входящий трафик, т.е. выбран режимПроверять входящий HTTP-трафик (рекомендуется).

Также вы можете установить автоматическую блокировкудоступа к известным веб-сайтам, с которых распространяютсявирусы или вредоносные программы других типов. Для этогоустановите флажок Блокировать известные источникираспространения вирусов.

В этом же разделе вы можете настроить Баланс проверки –распределение ресурсов в зависимости от приоритетностисканирования трафика. При меньшем приоритете проверкискорость работы с сетью Интернет уменьшается, посколькуHTTP-сторожу SpIDer Gate приходится дольше ждать загрузкиданных и проверять больший объем информации. Приувеличении приоритета сканирования проверка производитсячаще, что позволяет сторожу отдавать данные быстрее, темсамым повышая скорость работы с сетью. Однако при болеечастых проверках повышается нагрузка на процессор. Выможете подобрать наилучший баланс опытным путем.



Для настройки дополнительных опций в разделе Действиянажмите кнопку Расширенные настройки.

В появившемся окне вы можете настроить блокировкувредоносных программ и объектов, а также проверку архивов.По умолчанию блокируются все вредоносные программы иопция проверки архивов включена.

Раздел Фильтр приложений

По умолчанию SpIDer Gate проверяет входящий трафик. Вразделе Фильтр приложений производится настройкапараметров проверки HTTP-трафика.

SpIDer Gate производит проверку того HTTP-трафика, которыйпроходит через порты, указанные в верхней части раздела. Поумолчанию проверяются 80, 8080 и 3128 HTTP-порты; данныепорты чаще всего используются приложениями для передачиинформации по протоколу HTTP. Если вы знаете, что какое-либо приложение, установленное на вашем компьютере,использует иной порт для HTTP-трафика, то добавьте данныйпорт в список Порты HTTP.



Добавьте в список Приложения, проверяемые по всемпортам те программы, сетевую активность которых следуетпроверять с особенной тщательностью. Такими программамимогут считаться веб-обозреватели, менеджеры загрузок, атакже новые установленные программы.

Добавьте в список Приложения, исключенные из проверките программы, сетевую активность которых SpIDer Gateконтролировать не должен. Исключать из проверки следуеттолько те приложения, действиям и защищенности которых выполностью доверяете.

Для того чтобы добавить приложение в список, нажмитекнопку Обзор и выберите приложение в стандартном окнеоперационной системы.

Для того чтобы удалить приложение из списка, выберите его вэтом списке и нажмите кнопку Удалить.

Раздел Прокси-сервер

В разделе Прокси-сервер вы можете включить локальныйпрокси-сервер. Укажите, какой порт вы ходите выделить



локальному прокси-серверу SpIDer Gate. Этот же портнеобходимо указать в настройках подключения приложений,использующих для работы сеть Интернет.

Если для доступа в Интернет уже используется прокси-сервер,укажите его адрес и порт.

Раздел Отчет

В этом разделе вы можете задать одну из следующих степенейдетальности ведения отчета:

Стандартный – в данном режиме в отчете фиксируютсятолько наиболее значимые события, такие какпроведение обновлений, запуск и остановка сторожаSpIDer Gate и вирусные события. Данный режим веденияотчета походит для большинства применений;

Расширенный – в данном режиме в отчете помимообщих событий фиксируются данные о проверяемыхфайлах, именах упаковщиков и содержимом проверяемыхсоставных объектов (архивов, файлов электронной почтыили файловых контейнеров);

Отладочный – в данном режиме в отчете фиксируется



максимальное количество информации о работе сторожаSpIDer Gate, что может привести к значительномуувеличению файла отчета.



Модуль Родительского контроля

С помощью модуля Родительского контроля осуществляетсяограничение доступа пользователя к ресурсам, содержащимсякак локально, на самом компьютере, так и в сети.

Ограничение доступа к ресурсам локальной файловой системыпозволяет сохранить целостность важных файлов и защитить ихот заражения вирусами, а также сохранит необходимуюконфиденциальность данных. Существует возможность защиты,как отдельных файлов, так и папок целиком, расположенныхкак на локальных дисках, так и на внешних носителяхинформации. Также можно наложить полный запрет напросмотр информации со всех внешних носителей.

Контроль доступа к интернет-ресурсам позволяет, как оградитьпользователя от просмотров нежелательных веб-сайтов(сайтов, посвященных насилию, азартным играм и т.п.), так иразрешить пользователю доступ только к тем сайтам, которыеопределены настройками модуля Родительского контроля.

Доступ к изменению настроек модуля Род ительскогоконтроля защищен паролем.

Настройка параметров модуля

На компьютерах под управлением Windows® Vista и болеепоздних настройки Род ительского контроля доступнытолько в Ад министративном режиме.

В разделе Фильтр URL осуществляется настройка ограничениядоступа к ресурсам сети Интернет. Настройки разделаЛокальный доступ позволяют ограничить доступ как кресурсам файловой системы самого компьютера, так и ресурсамвнешних носителей.



Изменение настроек Родительского контроля

1. Выберите в контекстном меню модуля пункт Настройки.Откроется окно задания пароля.

2. Введите ранее сохраненный пароль. Задание пароляпроизводится при вызове настроек параметров модуля впервый раз. Для того чтобы изменить пароль нажмитекнопку Сменить пароль, расположенную в окненастроек.

3. Внесите необходимые изменения в разделах настроек.

4. Для того чтобы получить информацию о настройках,расположенных в разделе, нажмите кнопку Справка

.

5. Нажмите кнопку Применить для немедленногосохранения внесенных изменений.

6. По окончании редактирования настроек нажмите кнопкуOK.

Раздел Фильтр URL



В этом разделе вы можете выбрать один из вариантов:

Разрешить посещать все сайты. В этом режимеограничений на доступ к веб-ресурсам нет;

Блокировать сайты с нежелательным илисомнительным контентом. В этом режиме вы можетеуказать категории тех ресурсов, доступ к которым выхотите ограничить. Также фильтр позволяет вамсамостоятельно указать сайты, доступ к которым выможете запретить или разрешить вне зависимости отдругих ограничений. Для настройки блокируемыхресурсов - нажмите кнопку Черный список, укажитересурс и нажмите Добавить. Для настройки разрешенныхресурсов - нажмите Белый список, укажите ресурс инажмите Добавить;

Разрешать сайты только из "Белого списка". В этомрежиме доступ будет запрещен ко всем веб-ресурсам,кроме указанных в Белом списке. Для создания спискаразрешенных ресурсов нажмите кнопку Белый список,укажите ресурс и нажмите Добавить.

Списки адресов веб-сайтов, относящихся ко всемтематическим категориям, регулярно обновляются модулемавтоматического обновления вместе с обновлением вирусныхбаз.

Для того чтобы создать список доменных адресов:

Введите в поле ввода доменное имя (часть доменногоимени).

Если вы хотите добавить в список определенный сайт,введите его полный адрес (прим.: www.example.com).Доступ ко всем ресурсам, расположенным на этом сайтебудет разрешен/запрещен.

Если вы хотите разрешить/запретить доступ к тем веб-сайтам, в адресе которых содержится определенныйтекст, введите в поле этот текст. (Прим.: example.Доступ к адресам example.com, example.test.com, test.

http://www.example.com



com/example, test.example222.ru и т.п. будетзаблокирован/разрешен).

В том случае, когда введенная строка содержит символ".", данная строка будет рассматриваться как имя домена.Тогда все ресурсы, находящиеся на этом домене будутотфильтрованы. Если данная строка содержит и символ"/" (прим.: example.com/test), то та часть, что стоитслева от символа, будет считаться доменным именем, ачасти справа от символа - частью разрешенного/блокируемого на данном домене адреса (т.о. будутотфильтрованы такие адреса как example.com/test11,template.example.com/test22 и т.п.).

Нажмите кнопку Добавить, расположенную справа.Адрес (часть адреса) будет добавлен в список,расположенный выше.

Введенная строка при добавлении в список может бытьпреобразована модулем к универсальному виду. (Прим.:http://www.example.com будет преобразована в www.example.com).

Для того чтобы удалить какой-либо ресурс из списка, выберитеего в этом списке и нажмите кнопку Удалить.

Раздел Локальный доступ

В разделе Локальный доступ задаются ограничения доступа клокальным ресурсам компьютера.

Вы можете разрешить или запретить использование съемныхносителей и передачу данных по сети (локальной и сетиИнтернет), а также ограничить доступ к конкретным папкам ифайлам на вашем компьютере.






Формирование списка ресурсов ограниченного доступа

1. В группе Ограничивать доступ к папкам и файлампользователя выберите вариант Ограничивать доступк выбранным объектам.

2. Нажмите кнопку Обзор и выберите необходимый объектв стандартном окне операционной системы.

3. При необходимости повторите шаги 1 и 2 длядобавления других каталогов и файлов. Чтобывозобновить доступ к каталогу или файлу, выберитесоответствующий элемент в списке и нажмите кнопкуУдалить.



Firewall

Dr.Web® Firewall предназначен для защиты вашего компьютераот несанкционированного доступа извне и предотвращенияутечки важных данных по сети.

Dr.Web Firewall позволяет вам контролировать подключение ипередачу данных по сети Интернет и блокироватьподозрительные соединения на уровне пакетов и приложений.

Основные функции программы

Dr.Web Firewall предоставляет вам следующие преимущества:

контроль и фильтрация всего входящего и исходящеготрафика;

контроль подключения на уровне приложений;

фильтрация пакетов на сетевом уровне;

быстрое переключение между наборами правил;

регистрация событий.



Обучение Dr.Web Firewall

После установки Dr.Web Firewall некоторое время в процессевашей работы за компьютером производится обучениепрограммы. При обнаружении попытки со стороныоперационной системы или пользовательских приложенийподключиться к сети Dr.Web Firewall проверяет, заданы ли дляэтих программ правила фильтрации, и, если правилаотсутствуют, выводит соответствующее предупреждение:



Обработка сообщений

1. При обнаружении попытки подключения к сети состороны приложения, ознакомьтесь со следующейинформацией:

Поле Описание

Приложение Наименование программы.Удостоверьтесь, что путь к нему,указанный в поле Путь к приложению,соответствует правильномурасположению программы.

Путь кприложению

Полный путь к исполняемому файлуприложения и его имя.

Цифровая подпись Цифровая подпись приложения.

Целевой адрес Протокол и адрес хоста, к которомусовершается попытка подключения.

Порт Порт, по которому совершается попыткаподключения.

Направление Тип соединения.

2. Примите решение о подходящей для данного случаяоперации и выберите соответствующее действие внижней части окна:

чтобы однократно блокировать данноеподключение, выберите действие Запретить;

чтобы однократно позволить приложению данноеподключение, выберите действие Разрешить;

чтобы перейти к форме создания правилафильтрации, выберите действие Создать правило.Откроется окно, в котором вы можете либо выбратьпредустановленное правило, либо вручную создатьправило для приложений.



3. Нажмите кнопку OK. Dr.Web Firewall выполнитуказанную вами операцию, и окно оповещения будетзакрыто.

Для создания правил необходимы права администратора.

В случаях, когда программа, осуществляющая попыткуподключения, уже известна Dr.Web Firewall (то есть для неезаданы правила фильтрации), но запускается другимнеизвестным приложением (родительским процессом), Dr.WebFirewall выводит соответствующее предупреждение:



Правила для родительских процессов

1. При обнаружении попытки подключения к сети состороны приложения, запущенного неизвестной дляDr.Web Firewall программой, ознакомьтесь синформацией об исполняемом файле родительскойпрограммы.

2. Когда вы примете решение о подходящей для данногослучая операции, выполните одно из следующийдействий:

чтобы однократно блокировать подключениеприложения к сети, нажмите кнопку Запретить;

чтобы однократно позволить приложениюподключиться к сети, нажмите кнопку Разрешить;

чтобы создать правило, нажмите Создать правилои в открывшемся окне задайте необходимыенастройки для родительского процесса.



3. Dr.Web Firewall выполнит указанную вами операцию, иокно оповещения будет закрыто.

Также возможна ситуация, при которой неизвестноеприложение запускается другим неизвестным приложением, втаком случае в предупреждении будет выведенасоответствующая информация и при выборе Создать правилооткроется окно, в котором вы можете настроить правила и дляприложений, и для родительских процессов:



Управление программой

Dr.Web Firewall устанавливается как компонент сетевогоподключения и запускается автоматически при загрузкеоперационной системы. При необходимости вы можетевременно приостановить работу Dr.Web Firewall, просмотретьстатистику фильтрации и изменить настройки программы.

Управление Dr.Web Firewall осуществляется с помощьюкомпонента SpIDer Agent.



Управление Dr.Web Firewall

1. Откройте контекстное меню значка SpIDer Agent .

2. Выберите в списке компонентов Firewall.

3. В открывшемся меню выберите необходимый пункт:

Пункт Описание

Статистика Выберите этот пункт, чтобы открыть окно сосведениями об обработанных Dr.WebFirewall событиях.

Настройки Выберите этот пункт, чтобы получитьдоступ к основной части настраиваемыхпараметров программы.

На странице Сброс настроек окнанастройки Dr.Web Firewall вы можетевосстановить параметры работы программы,используемые по умолчанию.

Отключить Выберите этот пункт, чтобы временноотключить межсетевой экран. Временноеотключение доступно только пользователю,обладающему правами администратора.Прибегайте к этой возможности состорожностью.

Запустить Выберите этот пункт, чтобы запуститьотключенный межсетевой экран. Этот пунктпоявляется в меню в том случае, когдаработа Dr.Web Firewall была временноприостановлена.

Пункты Настройки, Отключить/Запустить доступнытолько в Административном режиме.



Настройки

Для начала работы с Dr.Web Firewall необходимо:

выбрать режим работы программы;

настроить список авторизованных приложений.

После перезагрузки операционной системы, если не выбраноиначе, Dr.Web Firewall начнет работу в режиме обучения. Внезависимости от режима работы автоматически начнетсярегистрация событий.

Для доступа к настройкам Firewall необходимы праваадминистратора.



Фильтр приложений

Фильтрация на уровне приложений позволяет контролироватьдоступ конкретных программ и процессов к сетевым ресурсам.Вы можете задавать правила как для пользовательских, так идля системных приложений.

На странице Настройки фильтра приложений (разделПриложения) вы можете формировать наборы правилфильтрации, создавая новые, редактируя существующие илиудаляя ненужные правила. Приложение однозначноидентифицируется полным путем к исполняемому файлу. Дляуказания ядра операционной системы Microsoft Windows(процесс system, для которого нет соответствующегоисполняемого файла) используется имя SYSTEM.

Формирование набора правил

Для формирования набора правил выполните одно изследующий действий:

чтобы создать набор правил для новой программы,нажмите кнопку Создать;



чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы удалить все правила для программы,выберите соответствующий набор в списке инажмите кнопку Удалить.

Для каждой программы может быть не более одного набораправил фильтрации.

Дополнительные настройки

Чтобы задать общие настройки фильтрации для всехприложений, на странице Настройки фильтраприложений установите следующие флажки:

Флажок Описание

Разрешатьлокальныесоединения

Установите этот флажок, чтобы разрешитьвсем приложениям беспрепятственноустанавливать соединения на вашемкомпьютере. К таким подключениям правилаприменяться не будут.

Снимите этот флажок, чтобы применятьправила фильтрации вне зависимости от того,происходит ли соединение по сети или врамках вашего компьютера.

На этой странице вы можете:

создать набор правил фильтрации для программы;

отредактировать существующий набор правилфильтрации;

удалить правила фильтрации для программы.

Создание правил для приложений

В окне Создание нового набора правил (илиРедактирование набора правил) отображается тип правиладля конкретного приложения или процесса, а также список



правил, если выбран тип правила Особый. Вы можете изменятьтип правила, формировать список, добавляя новые илиредактируя существующие правила фильтрации, а такжеизменяя порядок их выполнения. Правила применяютсяпоследовательно, согласно очередности в списке.

Вы можете создать правило при помощи окна настроек Dr.WebFirewall. При работе в режиме обучения, вы можетеинициировать создание правила непосредственно из окнаоповещения о попытке несанкционированного подключения.

Для каждого правила в списке предоставляется следующаякраткая информация:

Параметр Описание

Включено Состояние правила.

Действие Указывает на действие, выполняемое Dr.WebFirewall при попытке программы подключиться ксети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;




Разрешать пакеты – разрешитьподключение.

Имя правила Название правила.

Тип соединения Указывает на инициатора подключения:

Вход ящее – правило применяется, еслиинициируется подключение из сети кпрограмме на вашем компьютере;

Исход ящее – правило применяется, еслиподключение инициирует программа навашем компьютере;

Любое – правило применяется внезависимости от того, кто являетсяинициатором подключения.

Описание Пользовательское описание правила.

Формирование правил

1. Если на странице Настройки фильтра приложений вывыбрали создание или редактирование набора правил, воткрывшемся окне задайте программу или процесс, длякоторых будет применяться набор правил. Для этоговыполните одно из следующих действий:

чтобы задать набор правил для программы, нажмите

кнопку и выберите исполняемый файлпрограммы;

чтобы задать набор правил для процесса, нажмите

стрелку на кнопке , выберитеЗапущенное приложение и укажите процесс;

2. Выберите тип правила:

Разрешать - все соединения приложения будутразрешены;

Запрещать - все соединения приложениязапрещены;

Особый - в этом режиме вы можете создать наборправил, разрешающих или запрещающих те или иныесоединения приложения.

3. Если вы выбрали тип правила Особый, создайте набор



правил для приложения используя следующие опции:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в конец списка;

чтобы отредактировать выбранное правило,нажмите кнопку Изменить;

чтобы добавить копию выбранного правила,нажмите кнопку Копировать. Копия добавляетсяпосле выбранного правила;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

4. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры вотобразившемся окне.

5. По окончании редактирования списка нажмите кнопкуОК для сохранения внесенных изменений или на кнопкуОтмена для отказа от изменений.

Настройка параметров правила

Правила фильтрации регулируют сетевое взаимодействиепрограммы с конкретными хостами сети.



Для создания правила:

1. Задайте следующие параметры правила:


Общее

Имя правила Имя создаваемого/редактируемого правила.

Описание Краткое описание правила.

Состояние Состояние правила:

Активно – правило применяется;

Неактивно – правило временно неприменяется.

Типсоединения

Инициатор подключения:


Исход ящее – правило применяется, еслиподключение инициирует программа навашем компьютере;


Действие Указывает на действие, выполняемое Dr.WebFirewall при попытке программы подключитьсяк сети Интернет:

Блокировать пакеты – блокироватьпопытку подключения;

Разрешать пакеты – разрешитьподключение.

Настройкиправила

Протокол Протоколы сетевого и транспортного уровня, покоторым осуществляется подключение.

Поддерживаются следующие протоколысетевого уровня:




IPv4;

IPv6;

IP all - протокол IP любой версии.

Поддерживаются следующие протоколытранспортного уровня:

TCP;

UDP;

TCP & UDP - протокол TCP или UDP.

Входящий/Исходящийадрес

IP-адрес удаленного хоста, участвующего вподключении. Вы можете указывать какконкретный адрес (Равен), так и диапазонадресов (В д иапазоне) или маску подсети(Маска).

Чтобы задать правило для всех хостов,выберите вариант Любой.

Входящий/Исходящийпорт

Порт, по которому осуществляетсяподключение. Вы можете указывать какконкретный порт (Равен), так и диапазонпортов (В д иапазоне).

Чтобы задать правило для всех портов,выберите вариант Любой.

2. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопку Отменадля отказа от изменений.



Родительские процессы

Чтобы разрешить или запретить процессам и приложениямзапускать другие приложения, в разделе Родительскиепроцессы задайте необходимые правила.

Чтобы добавить правило для родительского процесса:

1.Выберите родительский процесс:

чтобы задать правило для программы, нажмитекнопку Создать и выберите исполняемый файлпрограммы;

чтобы задать правило для процесса, нажмитестрелку на кнопке Создать, выберите Запущенноеприложение и укажите процесс.

2.Установите необходимое действие:

Блокировать, чтобы запретить приложениюзапускать процессы;

Разрешить, чтобы разрешить приложениюзапускать процессы.

По умолчанию добавляемый родительский процесс блокируется.



Фильтр пакетов

Фильтрация на уровне пакетов позволяет контролироватьдоступ к сети вне зависимости от программ, инициирующихподключение. Правила применяются ко всем сетевым пакетамопределенного типа, которые передаются через один изсетевых интерфейсов вашего компьютера. Данный видфильтрации предоставляет вам общие механизмы контроля, вотличие от фильтра приложений.

Dr.Web Firewall поставляется со следующимипредустановленными наборами правил:

Allow all – все пакеты пропускаются;

Deny all – все пакеты блокируются;

Default rule – правила, описывающие наиболее частовстречающиеся конфигурации сети и распространенныеатаки (используется по умолчанию для всех новыхинтерфейсов).

Для удобства использования и быстрого переключения междурежимами фильтрации вы можете задать дополнительныенаборы правил.



Набор правил для интерфейса

Чтобы задать параметры работы пакетного фильтра, в окненастроек Dr.Web Firewall выберите раздел Фильтрпакетов. На этой странице вы можете:

формировать наборы правил фильтрации, создаваяновые, редактируя существующие или удаляяненужные правила;

установить правила по умолчанию;

задать дополнительные параметры фильтрации.

Формирование набора правил

Для формирования набора правил выполните одно изследующий действий:

чтобы отредактировать существующий набор правил,выберите его в списке и нажмите кнопку Изменить;

чтобы добавить копию существующего набораправил, нажмите кнопку Копировать. Копиядобавляется под выбранным набором;

чтобы удалить выбранный набор правил, нажмитекнопку Удалить.

Правила по умолчанию

Чтобы установить набор правил, применяемых поумолчанию для всех новых подключенных сетевыхинтерфейсов, выберите набор правил в списке и нажмитекнопку По умолчанию.

Дополнительные настройки

Чтобы задать общие настройки фильтрации пакетов, настранице Настройки пакетного фильтра установитеследующие флажки:



Флажок Описание

Включитьдвустороннийфильтр пакетов

Установите этот флажок, чтобы учитыватьпри фильтрации состояние TCP-соединенияи пропускать только те пакеты,содержимое которых соответствуеттекущему состоянию. В таком случае всепакеты, передаваемые в рамкахсоединения, но не соответствующиеспецификации протокола, блокируются.Этот механизм позволяет лучше защититьваш компьютер от DoS-атак (отказ вобслуживании), сканирования ресурсов,внедрения данных и других злонамеренныхопераций.

Также рекомендуется устанавливать этотфлажок при использовании протоколов сосложными алгоритмами передачи данных(FTP, SIP и т.п.).

Снимите этот флажок, чтобы фильтроватьпакеты без учета TCP-соединений.

ОбрабатыватьфрагментированныеIP пакеты

Установите этот флажок, чтобы корректнообрабатывать передачу больших объемовданных. Размер максимального пакета (MTU- Maximum Transmission Unit) для разныхсетей может варьироваться, поэтому частьIP-пакетов при передаче может бытьразбита на несколько фрагментов. Прииспользовании данной опции ко всемфрагментарным пакетам применяется однои то же действие, предусмотренноеправилами фильтрации для головного(первого) пакета.

Снимите этот флажок, чтобы обрабатыватьвсе пакеты по отдельности.

Создание набора правил

В окне Редактирование набора правил отображается списокправил фильтрации пакетов, входящих в конкретный набор. Выможете формировать список, добавляя новые или редактируясуществующие правила фильтрации, а также изменяя порядоких выполнения. Правила применяются последовательно,



согласно очередности в списке.

Для каждого правила в списке предоставляется следующаякраткая информация:


Включено Состояние правила.

Действие Указывает на действие, выполняемое Dr.WebFirewall при обработке пакета:

Блокировать пакеты – блокироватьпакет;

Разрешать пакеты – передать пакет.

Имя правила Имя правила.

Направление Отправитель пакета:

– правило применяется, если принимаетсяпакет из сети;

– правило применяется, если пакетотправляется с вашего компьютера;




– правило применяется вне зависимостиот того, кто является отправителем пакета.

Журналирование Режим регистрации событий. Указывает на то,какая информация должна быть занесена в отчет:

Только заголовки – заносить в отчеттолько заголовки пакетов;

Весь пакет – заносить в отчет пакетыцеликом;

Выключено - не сохранять информацию опакете.


Редактирование набора правил

1. Если на странице Настройки пакетного фильтра вывыбрали создание нового правила или редактированиесуществующего, в открывшемся окне задайте названиенабора правил.

2. Создайте правила фильтрации, используя следующиеопции:

чтобы добавить новое правило, нажмите кнопкуСоздать. Правило добавляется в начало списка;

чтобы отредактировать выбранное правило,нажмите кнопку Изменить;

чтобы добавить копию выбранного правила,нажмите кнопку Копировать. Копия добавляетсяперед выбранным правилом;

чтобы удалить выбранное правило, нажмите кнопкуУдалить.

3. Если вы выбрали создание нового или редактированиесуществующего правила, настройте его параметры.

4. Используйте стрелочки справа от списка, чтобыопределить порядок выполнения правил. Правилавыполняются последовательно, согласно очередности всписке.



5. По окончании редактирования списка нажмите кнопкуОК для сохранения внесенных изменений или на кнопкуОтмена для отказа от изменений.

Добавление или редактирование правила фильтрации

1. В окне создания или редактирования набора правил дляпакетного фильтра нажмите кнопку Создать или кнопкуИзменить. Откроется окно создания илиредактирования правила пакетной фильтрации.



2. Задайте следующие параметры правила:


Общее

Имя правила Имя правила.


Состояние Состояние правила:

Активно – правило применяется;

Неактивно – правило временно неприменяется.


Вход ящее – правило применяется,если принимается пакет из сети;

Исход ящее – правило применяется,если пакет отправляется с вашегокомпьютера;

Любое – правило применяется внезависимости от того, кто являетсяотправителем пакета.

Действие Указывает на действие, выполняемое Dr.Web Firewall при обработке пакета:

Блокировать пакеты – блокироватьпакет;

Разрешать пакеты – передатьпакет.

Режим отчета Режим регистрации событий. Указывает нато, какая информация должна быть занесенав отчет:

Только заголовки – заносить в отчеттолько заголовки пакетов;

Весь пакет – заносить в отчет пакетыцеликом;

Выключено – не сохранятьинформацию о пакете.




Сетевой протокол

Протокол Выберите один из следующих протоколов:

IPv4 - Internet Protocol версии 4

IPv6 - Internet Protocol версии 6

IP all - Internet Protocol любой версии

ARP - Address Resolution Protocol

EAPoL-802.1x - ExtensibleAuthentication Protocol over LAN(стандарт IEEE 802.1X)

PPPoE Discovery

PPPoE Session

Чтобы применить правило ко всемпротоколам, выберите Не зад ан.

Локальный IPадрес

(Доступен только для протоколов IPv4, IPv6или IP all) Выберите метод сравнения изадайте IP-адрес вашего компьютера.

Удаленный IPадрес

(Доступен только для протоколов IPv4 илиIPv6) Выберите метод сравнения и задайтеIP-адрес удаленного хоста.

Изменить (Доступен только для протокола IP all)Нажмите, чтобы открыть окно конфигурациипротоколов.

Укажите следующие параметры:




Локальный IPv4 ад рес – методсравнения и IP-адрес удаленного хостав соответствии с протоколом InternetProtocol версии 4;

Уд аленный IPv4 ад рес – методсравнения и IP-адрес удаленного хостав соответствии с протоколом InternetProtocol версии 4;

Локальный IPv6 ад рес – методсравнения и IP-адрес удаленного хостав соответствии с протоколом InternetProtocol версии 6;

Уд аленный IPv6 ад рес – методсравнения и задайте IP-адресудаленного хоста в соответствии спротоколом Internet Protocol версии 6.

Транспортный протокол

Протокол Выберите один из следующих протоколов:

TCP

UDP

ICMPv4 - доступен только длясетевого протокола IPv4

ICMPv6 - доступен только длясетевого протокола IPv6

IGMP - доступен только для сетевогопротокола IPv4

GRE - доступен только для сетевогопротокола IPv4

SIPP-ESP

Чтобы применить правило ко всемпротоколам, выберите Не зад ан.

Для протоколов ARP и EAPoL-802.1x выборпротокола транспортного уровня недоступен (Не зад ан).

Настройки MAC Нажмите для настройки параметровфильтрации на уровне MAC-адресов.




Укажите следующие параметры:

Локальный MAC – MАС-адреслокального сетевого интерфейса;

Уд аленный MAC – MАС-адресудаленного хоста.

3. По окончании редактирования нажмите кнопку ОК длясохранения внесенных изменений или на кнопку Отменадля отказа от изменений.



Интерфейсы

На странице Настройки сетевых интерфейсов вы можетеуказать, какой набор правил фильтрации применять дляпакетов, передающихся через определенный сетевойинтерфейс.

Набор правил для интерфейса

1. Чтобы задать набор правил фильтрации пакетов,передающихся через определенный интерфейс, в окненастроек Firewall выберите раздел Интерфейсы.

2. Найдите в списке интересующий вас интерфейс исопоставьте ему соответствующий набор правил. Еслиподходящий набор правил отсутствует в списке,создайте его.

3. Чтобы сохранить настройки, нажмите кнопку OK.



Режимы работы

Режим работы задает реакцию Dr.Web Firewall на сетевыеподключения на уровне приложений.

На странице Режим работы Dr.Web Firewall вы можетезадать, какое действие следует выполнить Dr.Web Firewall приобнаружении неизвестного подключения. Эти правилаработают только на уровне приложений.

Выбор режима работы

1. В окне настроек Dr.Web Firewall выберите разделРежим работы.

2. Выберите один из следующих режимов работы:

Разрешать неизвестные – режим, при которомвсем неизвестным приложениям предоставляетсядоступ к сетевым ресурсам;

Интерактивный режим – режим обучения(используется по умолчанию);



Блокировать неизвестные – режим, при которомвсе неизвестные подключения автоматическиблокируются.

3. Нажмите кнопку OK.

Режим обучения

В этом режиме вам предоставляется полный контроль надреакцией Dr.Web Firewall на обнаружение неизвестногоподключения, и таким образом производится обучениепрограммы в процессе вашей работы за компьютером.

При обнаружении попытки со стороны операционной системыили пользовательского приложения получить доступ к сетевымресурсам Dr.Web Firewall проверяет, заданы ли для этихпрограмм правила фильтрации. Если правила отсутствуют, товыводится соответствующее предупреждение, где вампредлагается выбрать либо временное решение, либо создатьправило, по которому в дальнейшем подобные подключениябудут обрабатываться.

Этот режим используется по умолчанию.

Режим блокировки неизвестных подключений

В этом режиме все неизвестные подключения к сетевымресурсам, включая Интернет, автоматически блокируются.

При обнаружении попытки со стороны операционной системыили пользовательского приложения получить доступ к сетевымресурсам Dr.Web Firewall проверяет, заданы ли для этихпрограмм правила фильтрации. Если правила фильтрацииотсутствуют, то Dr.Web Firewall автоматически блокируетдоступ к сети и не выводит никаких сообщений. Если правилафильтрации для данного подключения заданы, то выполняютсяуказанные в них действия.



Режим разрешения неизвестных подключений

В этом режиме доступ к сетевым ресурсам, включая Интернет,предоставляется всем неизвестным приложениям, для которыхне заданы правила фильтрации. При обнаружении попыткиподключения Dr.Web Firewall не выводит никаких сообщений.



Восстановление настроек по умолчанию

На странице Восстановление исходных настроек выможете восстановить настройки работы вашего межсетевогоэкрана, рекомендуемые Dr.Web Firewall.

Восстановление настроек

1. Чтобы восстановить стандартные параметры работыпрограммы, в окне настроек Dr.Web Firewall выберитераздел Сброс настроек.

2. Выполните любое из следующих действий:

чтобы восстановить стандартные настройки фильтраприложений, в разделе Настройки фильтраприложений нажмите кнопку Восстановить;

чтобы восстановить стандартные настройкипакетного фильтра, в разделе Настройки пакетногофильтра нажмите кнопку Восстановить;

чтобы восстановить стандартный режим работыFirewall, в разделе Режим работы Dr.Web Firewallнажмите кнопку Восстановить.

3. Нажмите кнопку OK.



Регистрация событий

Все события, обработанные Dr.Web Firewall, регистрируются вследующих журналах:

Журнал приложений, хранящий информацию о попыткахподключения к сети со стороны приложений ипримененных правилах фильтрации.

Журнал пакетного фильтра, хранящий информацию обобработанных Dr.Web Firewall пакетах, примененныхправилах фильтрации и интерфейсах, через которые этипакеты были переданы. Уровень детализации зависит отнастроек конкретных правил пакетной фильтрации.

В окне Активные приложения также отображается списокприложений, подключенных к сети в данный момент.

Чтобы просмотреть журналы:

1. Откройте контекстное меню SpIDer Agent.

2. Выберите в списке компонентов Firewall.

3. В открывшемся меню выберите пункт Статистика.



Активные приложения

Список активных приложений отображает информацию оприложениях, подключенных к сети в данный момент.

Столбец Описание

Приложение Краткое описание приложения (еслидоступно в операционной системе).

ИД Процесса Идентификатор процесса.

Путь Полный путь к исполняемому файлуприложения, подключенного в данныймомент к сети.

Используйте информацию об идентификаторе процесса,соответствующего запущенной программе, чтобы принеобходимости прекратить его выполнение вручную.



Журнал приложений

Журнал приложений хранит информацию о попыткахподключения к сети, совершенных установленными на вашемкомпьютере программами.


Время Дата и время попытки подключения.

Приложение Полный путь к исполняемому файлуприложения, совершавшего попыткуподключения, его имя и идентификаторпроцесса (PID).

Имя правила Название правила, согласно которому попыткабыла обработана.

Направление Инициатор подключения:


Исход ящее – правило применяется,если подключение инициирует программана вашем компьютере;





Результат Указывает на действие, выполненное Dr.WebFirewall при попытке подключения:

Заблокирован – попытка подключениябыла заблокирована;

Разрешен – подключение былоразрешено.

Целевой адрес Протокол, адрес удаленного хоста и порт, покоторым осуществлялось подключение.

Вы можете сохранить информацию в отчете или очиститьжурнал.

Сохранение журнала

Чтобы сохранить информацию о попытках приложенийподключиться к сети, нажмите кнопку Сохранить иукажите имя файла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию опопытках приложений подключиться к сети, нажмитекнопку Очистить.



Журнал пакетного фильтра

Журнал пакетного фильтра хранит информацию о пакетах,переданных через установленные на вашем компьютересетевые интерфейсы, если для этих пакетов указан режимрегистрации событий Только заголовки или Весь пакет. Еслидля пакета был выбран режим Выключено, информация о немотражаться не будет.


Время Дата и время обработки пакета.


– пакет был принят из сети;

– пакет был отправлен с вашегокомпьютера;

– пакет, идущий из сети, былзаблокирован;




– пакет, отправленный с вашегокомпьютера, был заблокирован.

Имя правила Название правила, согласно которому пакет былобработан.

Подключение Сетевой интерфейс, через который был переданпакет.

Содержимое Информация о содержимом пакета. Подробностьдетализации зависит от настроек правилпакетной фильтрации (параметр Режим отчета).

Вы можете сохранить информацию в отчете или очиститьжурнал.

Сохранение журнала

Чтобы сохранить информацию о пакетах, обработанных Dr.Web Firewall, нажмите кнопку Сохранитьи укажите имя файла.

Очистка журнала

Чтобы удалить из журнала устаревшую информацию опакетах, обработанных Dr.Web Firewall, нажмите кнопкуОчистить.



Задания на сканирование иобновление

При установке Dr.Web в системном расписании (папкаНазначенные задания) автоматически создается задание наобновление вирусных баз и других файлов пакета, а такжезадание на проведение антивирусного сканирования (оно поумолчанию выключено).

В Windows XP пункт Планировщик в разделе Инструментыконтекстного меню SpIDer Agent открывает окноЗадание обновлений Dr.Web. Далее описаны действия дляWindows XP.

В Windows Vista/7 открывается стандартный планировщикзаданий Windows, в котором задание настраиваетсяаналогично.



На вкладке Задание указывается полное имя исполняемогофайла и параметры командной строки задания. ФлагРазрешено предписывает выполнять настроенное задание(при снятом флаге задание сохраняется в папке, но невыполняется).

На вкладке Расписание задается расписание, в соответствии скоторым задание будет автоматически запускаться.

Нажмите кнопку Дополнительно. Откроется окноДополнительные параметры расписания.



Вы также можете создавать собственные задания наобновление и антивирусное сканирование, а также удалять иредактировать существующие. Подробнее о работе с системнымрасписанием см. справочную систему и документациюоперационной системы Windows.



Глава 4. Автоматическоеобновление

Для современных компьютерных вирусов характерна огромнаяскорость распространения. В течение нескольких дней, аиногда и часов, вновь появившийся вирус может заразитьмиллионы компьютеров по всему миру.

Разработчики антивирусного комплекса непрерывно пополняютвирусные базы новыми вирусными записями. После установкитаких дополнений антивирусный комплекс способенобнаруживать новые вирусы, блокировать их распространение,а в ряде случаев – излечивать зараженные файлы.

Время от времени пополняются антивирусные алгоритмы,реализованные в виде исполняемых файлов и программныхбиблиотек комплекса. Благодаря опыту эксплуатацииантивируса исправляются обнаруженные в программах ошибки,совершенствуется система помощи и документация.

Для ускорения и облегчения получения и установкиобновлений вирусных баз и других файлов служит специальныйкомпонент – Dr.Web Модуль автоматического обновлениядля Windows.

Принцип работы модуляавтоматического обновления

Работа модуля обновления определяется структурой вирусныхбаз и методикой обновления баз и комплекса в целом:

в состав программного комплекса входит основнаявирусная база (файл drwebase.vdb) и ее расширения(файлы drw50000.vdb, drw50001.vdb, drw50002.vdb,drw50003.vdb иdrw50004.vdb). Все вместе они содержатвирусные записи, известные в момент выпуска даннойверсии программного комплекса (подробнее о версии см.



ниже);

раз в неделю выпускаются еженедельные дополнения –файлы с вирусными записями для обнаружения иобезвреживания вирусов, выявленных за время,прошедшее с выпуска предыдущего еженедельногообновления. Еженедельные дополнения представленыфайлами, наименование которых выглядит так: drwXXXYY.vdb, где XXX – номер текущей версии антивируса (безразделительной точки), а YY – порядковый номереженедельного дополнения. Нумерация еженедельныхдополнений начинается с номера 05, т.е. первоедополнение баз названо drw50005.vdb;

по мере необходимости (обычно несколько раз в сутки)выпускаются горячие дополнения, содержащие вирусныезаписи для обнаружения и обезвреживания всех вирусов,выявленных после выхода последнего еженедельногодополнения. Эти дополнения выпускаются в виде файла сименем drwtoday.vdb. В конце дня содержимое этогофайла добавляется в файл накопительного обновленияdrwdaily.vdb. Содержимое файла drwdaily.vdb в конценедели выпускается в виде очередного еженедельногообновления;

в состав программного комплекса входят дополнительныебазы вредоносных программ drwnasty.vdb и drwrisky.vdb.Записи, предназначенные для обнаружения рекламныхпрограмм и программ дозвона, включаются в составвирусной базы drwnasty.vdb. Записи для обнаруженияпрограмм-шуток, потенциально опасных программ ипрограмм несанкционированного доступа включаются всостав вирусной базы drwrisky.vdb;

время от времени выпускаются кумулятивные дополнениябаз вредоносных программ. Горячие дополнения для этихбаз могут выпускаться значительно реже, чем дляосновной вирусной базы;

также время от времени выпускаются файлы,содержащие обновленные списки веб-сайтов,блокируемых модулем Родительского контроля;

независимо от дополнений вирусных баз, время отвремени выпускаются обновления прочих файлов;

время от времени выпускаются радикальные обновленияпрограмм антивирусной защиты. Данное действие



оформляется как издание новой версии антивируса. Приэтом все известные на данный момент вирусные записивключаются в состав новой главной вирусной базы. Приустановке новой версии удаляются старые вирусные базы.

Таким образом, структура вирусных баз будет следующей:

основная вирусная база drwebase.vdb;

расширения основной вирусной базы drw50000.vdb,drw50001.vdb, drw50002.vdb, drw50003.vdb и drw50004.vdb;

еженедельные дополнения (drw50005.vdb, drw50006.vdbи т. д.);

горячее дополнение drwtoday.vdb;

накопительное дополнение drwdaily.vdb;

дополнительные базы вредоносных программ drwnasty.vdbи drwrisky.vdb;

кумулятивные дополнения баз вредоносных программ(dwn50001.vdb, dwn50002.vdb и т. д. и dwr50001.vdb,dwr50002.vdb и т. д.);

горячие дополнения баз вредоносных программdwntoday.vdb и dwrtoday.vdb.

Для получения и установки дополнений вирусных баз иобновления в целом служит модуль автоматическогообновления, описываемый ниже (см. п.Запуск модуля автоматического обновления).

Для использования модуля автоматического обновлениянеобходимо иметь доступ в Интернет.

Обновление Dr.Web должно производиться при наличии упользователя полномочий администратора.



Запуск модуля автоматическогообновления

Модуль автоматического обновления можно запустить одним изследующих способов:

автоматически, по расписанию (см. п. Задание насканирование и обновление);

в режиме командной строки вызовом исполняемого файла drwebupw.exe из каталога установки программы;

выбором пункта Обновление контекстного меню значкаSpIDer Agent;

нажатием кнопки Обновить раскрывающегося менюФайл в главном окне Сканера;

нажатием F8 при активном окне Сканера.

Если вы запускаете модуль Dr.Web Updater через меню SpIDerAgent или в режиме командной строки, появится диалоговоеокно, в котором вы можете либо запустить обновление, либонастроить необходимые параметры. Также вы можетеустановить флаг Вести подробный отчёт, для того чтобыотчёт об изменениях был детальным. Отчет записывается в файл drwebupw.log, который находится в каталоге %USERPROFILE%\DoctorWeb (вWindows 7, C:\Users\<имя пользователя>\DoctorWeb).

При запуске модуля обновления автоматически, отчётзаписывается в файл drwebupw.log, который находится вкаталоге установки.



Настройки

Чтобы получить доступ к настройкам Dr.Web Updater,нажмите кнопку Настройки. Выберите раздел Общие.

В этом разделе вы можете настроить:

Путь к обновлениям. Dr.Web Updater может получатьобновления с серверов «Доктор Веб» (рекомендуется)либо с зеркала обновлений. При использование зеркалаобновлений укажите необходимые параметры;

Режим обновления. Вы можете выбрать один извариантов:

Обновлять все (рекомендуется). В этом режимебудут обновляться компоненты Dr.Web SecuritySpace Pro, вирусные базы и антивирусное ядро;

Обновлять только вирусные базы. В этомрежиме компоненты Dr.Web Security Space Proобновляться не будут;

Внешний вид. По умолчанию включено отображениеуведомлений об успешном обновлении компонентов ивирусных баз. Вы можете отключить эту опцию.



В разделе Параметры доступа к сети вы можете указатьнастройки подключения к сети.

Выберите один из следующих вариантов:

если для выхода в Интернет прокси-сервер неиспользуется, выберите Прямое подключение;

если для выхода в Интернет вы используете текущиенастройки прокси-сервера, выберите пункт НастройкиInternet Explorer;

если вы хотите задать настройки прокси-сервера,выберите пункт Пользовательские настройки и укажитенеобходимые параметры.



Запуск обновления

При запуске обновления программа проверяет наличиелицензионного ключевого файла в каталоге установки и при егоотсутствии пытается получить его через Интернет на сервереwww.drweb.com (это действие рассмотрено в конце п.Получение ключевого файла). При отсутствии ключевого файлаобновление невозможно.

При наличии ключевого файла программа проверяет насервере www.drweb.com, не является ли ключевой файлзаблокированным (блокировка файла производится в случае егодискредитации, т. е. выявления фактов его незаконногораспространения). В случае блокировки обновление непроизводится, компоненты программного комплекса могут бытьзаблокированы; пользователю выдается соответствующеесообщение.

В случае блокировки вашего ключевого файла свяжитесь сдилером, у которого вы приобрели Dr.Web Security Space Pro.

После успешной проверки ключевого файла происходитобновление. Программа автоматически загружает всеобновленные файлы, соответствующие вашей версии Dr.WebSecurity Space Pro, а если условия вашей подписки разрешаютэто, загружают новую версию программного комплекса (вслучае ее выхода).

При обновлении исполняемых файлов и библиотек можетпотребоваться перезагрузка компьютера. Пользовательизвещается об этом при помощи информационного окна.

Сканер может использовать обновленные базы приследующем после обновления запуске. Сторож иПочтовый сторож периодически проверяют состояние бази загружают обновленные базы автоматически.

При запуске модуля автоматического обновления порасписанию или в режиме командной строки используются

http://www.drweb.com

http://www.drweb.com



параметры командной строки (см. Приложение A).



Приложения

Приложение A. Дополнительныепараметры командной строки

Дополнительные параметры командной строки (ключи)используются для задания параметров программам, которыезапускаются открытием на выполнение исполняемого файла.Это относится к Сканерам всех версий (см. п. Сканирование врежиме командной строки) и к модулю автоматическогообновления (см. Глава 4. Автоматическое обновление). Приэтом ключи могут задавать параметры, отсутствующие вконфигурационном файле, а для тех параметров, которые внем заданы, имеют более высокий приоритет.

Ключи начинаются с символа / и, как и остальные параметрыкомандной строки, разделяются пробелами.

Далее перечислены отдельно параметры командной строки дляСканера и для модуля автоматического обновления. Если ключимеет модификации, они также приводятся.

Параметры перечислены в алфавитном порядке.

Параметры командной строки для Сканеров

/? – вывести на экран краткую справку о работе с

программой.

/@<имя_файла> или /@+<имя_файла> предписывает

произвести проверку объектов, которые перечислены вуказанном файле. Каждый объект задается в отдельнойстроке файла-списка. Это может быть либо полный путь суказанием имени файла, либо строка ?boot, означающая

проверку загрузочных секторов, а для GUI-версииСканера также имена файлов с маской и именакаталогов. Файл-список может быть подготовлен с



помощью любого текстового редактора вручную, а такжеавтоматически прикладными программами,использующими Сканер для проверки конкретныхфайлов. После окончания проверки Сканер удаляетфайл-список, если использована форма ключа безсимвола +.

/AL – проверять все файлы на заданном устройстве или в

заданном каталоге независимо от расширения иливнутреннего формата.

/AR – проверять файлы, находящиеся внутри архивов. В

настоящее время обеспечивается проверка (без лечения)архивов, созданных архиваторами ARJ, ZIP, PKZIP, ALZIP,RAR, LHA, GZIP, TAR, BZIP2, 7-ZIP, ACE и др., а также MSCAB-архивов – Windows Cabinet Files и ISO-образовоптических дисков (CD и DVD). В указанном виде (/AR)

ключ задает информирование пользователя в случаеобнаружения архива, содержащего зараженные илиподозрительные файлы. Если ключ дополняетсямодификатором D, M, или R, производятся иные действия:

o /ARD – удалять;

o /ARM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /ARR – переименовывать (по умолчанию первая

буква расширения заменяется на символ #).

o Ключ может завершаться модификатором N, в таком

случае не будет выводиться имя программы-архиватора после имени архивного файла.

/CN – задать действие над контейнерами (HTML, RTF,

PowerPoint), содержащими зараженные илиподозрительные объекты. В указанном виде (/CN) ключ

задает информирование пользователя в случаеобнаружения такого контейнера. Если ключ дополняетсямодификатором D, M, или R, производятся иные действия

над контейнерами:

o /CND – удалять;

o /CNM – перемещать (по умолчанию – в подкаталог

infected.!!!);



o /CNR – переименовывать (по умолчанию первая


o Ключ может завершаться модификатором N, в таком

случае не будет распечатываться сообщение суказанием типа контейнера.

/CU – действия над инфицированными файлами и

загрузочными секторами дисков. Без дополнительныхпараметров D, M или R производится лечение излечимых

объектов и удаление неизлечимых файлов (если другоене задано параметром /IC). Иные действия выполняются

только над инфицированными файлами:

o /CUD – удалять;

o /CUM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /CUR – переименовывать (по умолчанию первая


/DA – проверять компьютер один раз в сутки. Дата

следующей проверки записывается в файл конфигурации,поэтому он должен быть доступен для создания ипоследующей перезаписи.

/EX – проверять файлы с расширениями, хранящимися в

конфигурационном файле, по умолчанию или принедоступности конфигурационного файла это расширенияEXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG, BOO,SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*,JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z, TGZ, TAR,TAZ, CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB,SHS, SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD,THE*, EML, NWS, SWF, MPP, TBB.

В случае если элемент списка проверяемых объектовсодержит явное указание расширения файла, хотя быи с применением специальных символов * и ?, будутпроверены все файлы, заданные в данном элементесписка, а не только подходящие под списокрасширений.

/FAST – предписывает произвести быстрое сканирование

системы (подробно о режиме быстрого сканирования см.п. Запуск Сканера).



/FULL – предписывает произвести полное сканирование

всех жестких дисков и сменных носителей (включаязагрузочные секторы).

/GO – пакетный режим работы программы. Все вопросы,

подразумевающие ожидание ответа от пользователя,пропускаются; решения, требующие выбора, принимаютсяавтоматически. Этот режим полезно использовать дляавтоматической проверки файлов, например, приежедневной (или еженедельной) проверке жесткогодиска.

/HA – производить эвристический анализ файлов и поиск

в них неизвестных вирусов.

/ICR, /ICD или /ICM – действия с зараженными

файлами, вылечить которые невозможно: /ICR –

переименовывать, /ICD – удалять, /ICM – перемещать.

/INI:<путь> – использовать альтернативный

конфигурационный файл с указанным именем или путем.

/LNG:<имя_файла> или /LNG – использовать

альтернативный файл языковых ресурсов (.dwl файл) суказанным именем или путем, а если путь не указан –встроенный (английский) язык.

/ML – проверять файлы, имеющие формат сообщений e-

mail (UUENCODE, XXENCODE, BINHEX и MIME). В указанномвиде (/ML) ключ задает информирование пользователя в

случае обнаружения зараженного или подозрительногообъекта в почтовом архиве. Если ключ дополняетсямодификатором D, M, или R, производятся иные

действия:

o /MLD - удалять;

o /MLM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /MLR – переименовывать (по умолчанию первая


o Кроме того, ключ может завершатьсядополнительным модификатором N (одновременно с

этим могут быть заданы и основные модификаторы).В таком случае отключается вывод информации опочтовых файлах.



/MW – действия со всеми видами нежелательных

программ. В указанном виде (/MW) ключ задает

информирование пользователя. Если ключ дополняетсямодификатором D, M, R или I, производятся иные

действия:

o /MWD – удалять;

o /MWM – перемещать (по умолчанию – в подкаталог

infected.!!!);

o /MWR – переименовывать (по умолчанию первая

буква расширения заменяется на символ #);

o /MWI – игнорировать. Действия с отдельными

видами нежелательных программ определяются спомощью ключей /ADW, /DLS, /JOK, /RSK, /HCK.

/NI – не использовать параметры, записанные в

конфигурационном файле программы drweb32.ini.

/NR – не создавать файл отчета.

/NS – запретить возможность прерывания проверки

компьютера. После указания этого параметрапользователь не сможет прервать работу программынажатием клавиши ESC.

/OK – выводить полный список сканируемых объектов,

сопровождая незараженные пометкой Ok.

/PF – запрашивать подтверждение на проверку

следующей дискеты.

/PR – выводить запрос подтверждения перед действием.

/QU – Сканер выполняет проверку указанных в командной

строке объектов (файлов, дисков, каталогов), после чегоавтоматически завершает работу (только для GUI-версииСканера).

/RP<имя_файла> или /RP+<имя_файла> – записать

отчет о работе программы в файл, имя которого указано включе. При отсутствии имени записать в файл поумолчанию. При наличии символа + файл дописывается,

при отсутствии – создается заново.

/SCP:<n> – задает приоритет выполнения сканирования.

<n> может принимать значения от 1 до 50 включительно.

/SD – проверять подкаталоги.



/SHELL – для GUI-версии Сканера. Отменяет показ

заставки, отключает проверку памяти и файловавтозагрузки. Этот режим позволяет использовать GUI-версию Сканера вместо консольной для проверки толькотех объектов, которые перечислены в параметрахкомандной строки.

/SO – включить звуковое сопровождение.

/SPR, /SPD или /SPM – действия с подозрительными

файлами:

o /SPR – переименовывать,

o /SPD – удалять,

o /SPM – перемещать.

/SS – по окончании работы сохранить режимы, заданные

при текущем запуске программы, в конфигурационномфайле.

/ST – задает скрытый режим работы GUI-версии

Сканера. Программа работает, не открывая никаких окони самостоятельно завершаясь. Но если в процессесканирования были обнаружены вирусные объекты, позавершении работы будет открыто обычное окно Сканера. Такой режим работы Сканера предполагает, что списокпроверяемых объектов задается в командной строке.

/TB – выполнять проверку загрузочных секторов и

главных загрузочных секторов (MBR) жесткого диска.

/TM – выполнять поиск вирусов в оперативной памяти

(включая системную область операционной системыWindows, только для Сканеров для Windows).

/TS – выполнять поиск вирусов в файлах автозапуска (по

папке Автозагрузка, системным .ini файлам, рееструоперационной системы Windows).

/UPN – при проверке исполняемых файлов, упакованных

специальными программами-упаковщиками, не выводить вфайл отчета названия программ, использованных дляупаковки.

/WA – не завершать работу программы до нажатия на

любую клавишу, если обнаружены вирусы илиподозрительные объекты (только для консольныхСканеров).



Режимы, установленные по умолчанию (если отсутствует илине используется конфигурационный файл) приведены втаблице 3.

Некоторые параметры допускают задание в конце символа "–".В такой "отрицательной" форме параметр означает отменусоответствующего режима. Такая возможность может бытьполезна в случае, если этот режим включен по умолчанию илипо выполненным ранее установкам в конфигурационном файле.Список параметров командной строки, допускающих"отрицательную" форму:/ADW /AR /CU /DLS /FN /HCK /JOK /HA /IC /ML /MW/OK /PF /PR /RSK /SD /SO /SP /SS/TB /TM /TS /WA.

Для параметров /CU, /IC и /SP "отрицательная" форма

отменяет выполнение любых действий, указанных в описанииэтих параметров. Это означает, что в отчете будетфиксироваться информация о зараженных и подозрительныхобъектах, но никаких действий над этими объектамивыполняться не будет.

Для параметров /INI и /RP "отрицательная" форма

записывается в виде /NI и /NR соответственно.

Для параметров /AL и /EX не предусмотрена "отрицательная"

форма, однако задание одного из них отменяет действиедругого.

Если в командной строке встречаются нескольковзаимоисключающих параметров, то действует последний изних.



Параметры командной строки для модуляавтоматического обновления

При запуске модуля автоматического обновления черезПланировщик Windows или в режиме командной строки выможете ввести следующие параметры командной строки:

/DBG – вести подробный отчет.

/DIR:<каталог> – переназначение каталога, в который

устанавливаются файлы обновления; по умолчанию этокаталог, из которого модуль обновления был запущен.

/INI:<путь> – использовать альтернативный

конфигурационный файл с указанным именем или путем.

/GO – пакетный режим работы, без диалоговых

остановок.

/LNG:<имя_файла> – имя файла языковых ресурсов;

если не указано, использовать английский язык.

/NI – не использовать параметры, записанные

в конфигурационном файле программы drweb32.ini.

/NR – не создавать файл отчета.

/PASS:<пароль пользователя http-сервера> – пароль

пользователя сервера обновлений.

/PPASS:<пароль пользователя прокси> – пароль

пользователя проксисервера.

/PUSER:<имя пользователя прокси> – имя пользователя

прокси-сервера.

/PURL:<адрес прокси> – адрес проксисервера.

/QU – принудительно закрывать модуль обновления

после окончания сеанса обновления независимо от того,успешно оно прошло или нет. Успешность обновленияможно проверить по коду возврата программыdrwebupw.exe (например, из bat-файла по значению

переменной errorlevel: 0 – успешно, другие

значения – неуспешно).

/REG – запуск модуля обновления в режиме регистрации

и получения регистрационного ключа.



/RP<имя_файла> или /RP+<имя_файла> – записать

отчет о работе программы в файл, имя которого указано включе. При отсутствии имени записать в файл поумолчанию. При наличии символа «+» файл

дописывается, при отсутствии – создается заново.

/SETTINGS – отобразить окно настроек модуля

автоматического обновления.

/SO – включить звуковое сопровождение (только при

возникновении ошибки).

/ST – запускать модуль обновления в невидимом окне

(stealth mode).

/UA – загрузка всех файлов, заявленных в списке

обновления, независимо от используемой системы иустановленных компонентов. Режим предназначен дляполучения полной локальной копии серверной областиобновления Dr.Web; этот режим нельзя использовать дляобновления антивируса, установленного на компьютере.

/UPM:<режим прокси> – режим использования

проксисервера; может принимать следующие значения:

o direct – не использовать прокси-сервер,

o ieproxy – использовать системные настройки,

o userproxy – использовать настройки, задаваемые

пользователем (на вкладке Обновление панелинастроек Dr.Web или ключами /PURL /PUSER /PPASS).

/URL:<url сервера обновления> – допускаются только

UNC-пути.

/URM:<режим> – режим перезагрузки после обновления;

может принимать следующие значения:

prompt – по окончании сеанса обновления в

случае необходимости перезагрузки выдаватьзапрос,

noprompt – в случае необходимости

перезагружаться без выдачи запроса,

force – перезагружать принудительно всегда

(независимо от того, требуется это для обновленияили нет),



disable – запретить перезагрузку.

/UPD – обычное обновление; применяется в паре с

ключом /REG: в режиме регистрации дополнительно

запустить и собственно сеанс обновления.

/USER:<имя пользователя http-сервера> – имя

пользователя сервера обновлений.

/UVB – обновлять только вирусные базы и ядро drweb32.

dll (отменяет действие ключа /UA, если он задан).

Режимы, установленные по умолчанию (если отсутствует илине используется конфигурационный файл) приведены втаблице 3.

Параметр /SO допускает задание в конце символа "–". В такой

"отрицательной" форме параметр означает отменусоответствующего режима. Такая возможность может бытьполезна в случае, если этот режим включен по выполненнымранее установкам в конфигурационном файле.

Для параметров /INI и /RP "отрицательная" форма

записывается в виде /NI и /NR соответственно.

Если в командной строке встречаются нескольковзаимоисключающих параметров, то действует последний изних.



Коды возврата

Возможные значения кода возврата и соответствующие имсобытия следующие:

Код возврата Событие

0 - OK, не обнаружено вирусов или подозрений навирусы

1 - обнаружены известные вирусы

2 - обнаружены модификации известных вирусов

4 - обнаружены подозрительные на вирус объекты

8 - в архиве, контейнере или почтовом ящикеобнаружены известные вирусы

16 - в архиве, контейнере или почтовом ящикеобнаружены модификации известных вирусов

32 - в архиве, контейнере или почтовом ящикеобнаружены подозрительные на вирус объекты

64 - успешно выполнено лечение хотя бы одногозараженного вирусом объекта

128 - выполнено удаление/переименование/перемещениехотя бы одного зараженного файла

Результирующий код возврата, формируемый по завершениюпроверки, равен сумме кодов тех событий, которые произошливо время проверки (и его слагаемые могут однозначно быть понему восстановлены).

Например, код возврата 9 = 1 + 8 означает, что во времяпроверки обнаружены известные вирусы (вирус), в том числе вархиве; обезвреживание не проводилось; больше никаких"вирусных" событий не было.



Приложение B. Настраиваемыепараметры компонентов Dr.Web

Настраиваемые параметры компонентов программногокомплекса (за исключением SpIDer Guard) хранятся, главнымобразом, в конфигурационном файле программы (файлеdrweb32.ini, расположенном в каталоге установки). Этот файлимеет текстовый формат и разделяется на секции,соответствующие отдельным компонентам. Каждый параметркакого-либо компонента представляется в соответствующейсекции строкой вида: <параметр> = <значение>.

Изменение значений параметров осуществляетсяодним из следующих способов:

средствами интерфейса соответствующих программ (Сканера и Почтового сторожа). Наиболееважные из таких настроек были приведены выше;

заданием параметров командной строки при вызовепрограмм из режима командной строки или порасписанию (для Сканера различных версий). Подробнееоб этой возможности см. Приложение A.

непосредственным редактированием конфигурационногофайла в любом текстовом редакторе.

Непосредственное редактирование конфигурационногофайла может быть рекомендовано только опытнымпользователям. Использование этой возможности без ясногопонимания устройства антивирусного программногокомплекса может снизить качество защиты и даже привестик полной неработоспособности некоторых программ.

Перед редактированием конфигурационного файла следуетдеактивировать сторож и почтовый сторож, как указано всоответствующих разделах.



Параметры Windows-версий Сканера имодуля автоматического обновления

В колонках таблицы 3 приведены следующие сведения длякаждого параметра:

наименование параметра,

наименования компонентов, использующих параметр,

наименование параметра в конфигурационном файле,

значения параметра,

ключи командной строки.

Наименование параметра указывается либо в соответствии синтерфейсом (в этом случае оно дается полужирнымшрифтом), либо как условное наименование, если ему нетаналога в интерфейсе (тогда оно дается светлым шрифтом).

В данной таблице наименование компонента «Сканер»подразумевает под собой обе версии Сканера («Сканер-GUI»и «Сканер-консольный»).

Если для отдельного режима нет соответствующего емупараметра конфигурационного файла, то значения параметрауказаны в скобках и относятся к состоянию диалоговогоэлемента интерфейса или к заданному ключу команднойстроки.

Значения по умолчанию для Сканера и модуляавтоматического обновления выделены полужирным шрифтом,для всех компонентов – полужирным курсивом.

Ключи командной строки, соответствующие данному параметру,описываются сокращенно, без большинства модификаторов.Более подробная информация о ключах приведена вПриложении A.



Таблица 3. Настраиваемые параметры Windows-версийСканера, сторожа и модуля автоматического обновления

Наименование Компо-ненты

Параметрконф.файла

Значения Клю-чи

Режимпроверки

Сканер ScanFiles AllByTypeByMasks

/AL/EX

Быстраяпроверкасистемы

Сканер /FAST

Полнаяпроверкасистемы

Сканер /FULL

Приоритетвыполнениясканирования, от 1 до 50

Сканер /SCP

Эвристический анализ

Сканер HeuristicAnalysis

Yes / No /HA

Проверятьпамять

Сканер TestMemory Yes / No /TM

Проверятьфайлыавтозагрузки

Сканер TestStartup Yes / No /TS

Проверятьзагрузочныесекторы

Сканер TestBootSectors

Yes / No /TB

Проверятьпод каталоги

Сканер ScanSubDirectories

Yes / No /SD

Проверканесколькихд искет

Сканер PromptFloppy

Yes / No /PF

Файлы вархивах

Сканер CheckArchives

Yes / No /AR






Почтовыефайлы

Сканер CheckEMailFiles

Yes / No /ML

Макс. длинараспакованногоиз архивафайла,подлежащегопроверке,Кбайт

Сканер-консольный

MaxFileSizeToExtract

(не задано)

Макс.коэффициентсжатия файла вархиве


MaxCompressionRatio

(не задано)

Нижний порогсрабатыванияпараметраMaxCompressionRatio, Кбайт


CompressionCheckThreshold

(не задано)

Списокрасширений

Сканер FilesTypes (см. послетабл.)

Список масок Сканер UserMasks (см. послетабл.)

Списокисключаемыхпутей

Сканер ExcludePaths

(пусто)

Списокисключаемыхфайлов

Сканер ExcludeFiles (пусто)






Проверятьжесткие диски(присканировании спараметромкоманднойстроки * и принажатии кнопки Выд елитьд иски)

Сканер ScanHDD Yes / No

Проверятьдискеты (присканировании спараметромкоманднойстроки * и принажатии кнопки Выд елитьд иски)

Сканер ScanFDD Yes / No

Проверятькомпакт-диски(присканировании спараметромкоманднойстроки * и принажатии кнопки Выд елитьд иски)

Сканер ScanCD Yes / No

Проверятьсетевые диски(присканировании спараметромкоманднойстроки * и принажатии кнопки Выд елитьд иски)

Сканер ScanNet Yes / No






Запроспод твержд ения

Сканер PromptOnAction

Yes / No /PR

Переименоватьрасширение

Сканер RenameFilesTo

#??

Имя каталогакарантина

Сканер MoveFilesTo infected.!!!

Список путейк вируснымбазам

Сканер VirusBase *.vdb

Путь к каталогувременныхфайловкомпонента

Сканер TempPath %TMP%, %TEMP%,каталогустановки

Действия совсеми вид аминежелательных программ

Сканер Информировать

/MW

Инфицированные объекты

Сканер InfectedFiles

ReportCureDeleteRenameMoveLock (сторож)Shutdown(сторож)

/CU

Неизлечимыеобъекты

Сканер IncurableFiles

ReportDeleteRenameMoveLock (сторож)Shutdown(сторож)

/IC






Под озрительные объекты

Сканер SuspiciousFiles

ReportDeleteRenameMoveLock (сторож)Ignore(сторож)Shutdown(сторож)

/SP

Инфицированные архивы

Сканер ActionInfectedArchive


/AR

Инфицированныепочтовыефайлы

Сканер ActionInfectedMail


/ML

Рекламныепрограммы

Сканер ActionAdware

ReportDeleteRenameMoveIgnoreLock (сторож)Shutdown(сторож)

/ADW






Программыд озвона

Сканер ActionDialers


/DLS

Программы-шутки

Сканер ActionJokes ReportDeleteRenameMoveIgnoreLock (сторож)Shutdown(сторож)

/JOK

Потенциально опасныепрограммы

Сканер ActionRiskware


/RSK

Программывзлома

Сканер ActionHacktools


/HCK

Разрешитьудалениеархивов беззапросапредупреждения

Сканер EnableDeleteArchiveAction

Yes / No






Вести файлотчета

Сканер,модульобновления

LogToFile Yes / No /RP/NR

Имя файлаотчета

Сканер LogFileName

drweb32w.logspider.log

spidernt.log

/RP

Имя файлаотчета

Модульобновления

drwebupw.log

/RP

Режимоткрытияотчета


OverwriteLog

Yes / No /RP

Код ировкаотчета


LogFormat ANSIOEM

Проверяемыеобъекты вотчете

Сканер LogScanned Yes / No /OK

Именаупаковщиковв отчете

Сканер LogPacked Yes / No

Именаархиваторовв отчете

Сканер LogArchived Yes / No

Статистика вотчете

Сканер LogStatistics

Yes / No

Пред ельныйразмер файлаотчета


LimitLog Yes / No

Пред ельныйразмер файлаотчета, Кбайт


MaxLogSize 5128192

Закрыть окнопосле сеанса


Yes / No /QU






Ожидатьнажатия наклавишу (послезавершениясканирования вслучаеобнаружениявирусов)


WaitAfterScan

(Вкл./Выкл.) /WA

Исполнятьв пакетномрежиме


(Вкл./Выкл.) /GO

Запретитьпрерываниепользователем

Сканер (Вкл./Выкл.) /NS

Проверять одинраз в сутки

Сканер (Вкл./Выкл.) /DA

Проверятьтолько явнозаданныеобъекты

Сканер-GUI (Вкл./Выкл.) /SHELL

Не открыватьокон (режимstealth)

Сканер-GUI (Вкл./Выкл.) /ST

Использоватьальтернативный конфиг. файл.Неиспользоватьникакогоконфиг. файла


(Вкл./Выкл.) /INI/NI

Использоватьсобственныйфайл подкачки

Сканер UseDiskForSwap

Yes / No






Отображатьиндикаторработы(прогресс-индикатор)

Сканер ShowProgressBar

Yes / No

Звуки Сканер,модульобновления

PlaySounds Yes / No /SO

Опасность(звук)

Сканер AlertWav alert.wav

Исцелен (звук) Сканер CuredWav cured.wav

Уд ален (звук) Сканер DeletedWav deleted.wav

Переименован (звук)

Сканер RenamedWav

renamed.wav

Перемещен(звук)

Сканер MovedWav moved.wav

Конецпроверки(звук)

Сканер FinishWav finish.wav

Ошибка (звук) Сканер,модульобновления

ErrorWav error.wav

Автосохранение настроекпри выход е

Сканер AutoSaveSettings

Yes / No /SS

Использоватьнастройкииз реестра

Сканер-GUI (Вкл./Выкл.)

Приоритетпроверки

Сканер ScanPriority 2550

Язык(Language)


LngFileName

ru-drweb.dwl /LNG






Режим прокси Сканер-GUI(настройкимодуляобновления)

UpdateProxyMode

directieproxyuserproxy

/UPM

Обновлятьтольковирусные базыи ядро drweb32.

dll

модульобновления

UpdateVirusBasesOnly

Yes / No /UVB

Загрузка всехфайлов,заявленных вспискеобновления


UpdateAllFiles

Yes / No /UA

Режимперезагрузкипри обновлении


UpdateRebootMode

promptnopromptforcedisable

/URM

Вестипод робныйотчет


(Вкл./Выкл.) /DBG

Список расширений файлов (значение параметра FilesTypesконфигурационного файла) по умолчанию содержит следующиерасширения: EXE, COM, DLL, SYS, VXD, OV?, BAT, BIN, DRV, PRG,BOO, SCR, CMD, 386, FON, DO?, XL?, WIZ, RTF, CL*, HT*, VB*,JS*, INF, PP?, OBJ, LIB, PIF, AR?, ZIP, R??, GZ, Z, TGZ, TAR, TAZ,CAB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SH, SHB, SHS,SHT*, MSG, CHM, XML, PRC, ASP, LSP, MSO, OBD, THE*, EML,NWS, SWF, MPP, TBB.

Список выбранных масок (значение параметра UserMasksконфигурационного файла) по умолчанию состоит из значений,получаемых добавлением знака * и точки перед расширением

из списка расширений файлов (например, "*.exe").



Параметры SpIDer Mail для Windows

Параметры SpIDer Mail для Windows описываются вотдельной таблице 4. Таблица оформлена по принципам,аналогичным принципам оформления таблицы 3. В спискедопустимых значений параметра значения по умолчанию дляпочтового сторожа выделены курсивом.

Таблица 4. Настраиваемые параметры почтового сторожа

Наименование Параметрконф. файла

Значения Ключ

Использоватьальтернативныйконфигурационный файл

(Вкл./Выкл.) -ini:имя_файла

Использоватьальтернативный файлпользовательского ключа

(Вкл./Выкл.) -key:имя_файла

Язык (Language) LngFileName ru-drweb.dwl -lng:имя_файла

Эвристическийанализатор

HeuristicAnalysis

Yes / No

Проверять файлы вархивах

CheckArchives Yes / No

Контроль вируснойактивности

VirusActivityControl

Yes / No

Таймаут проверкиписьма, с

ScanTimeout 250

Макс. д лина файлапри распаковке, Кбайт

MaxFileSizeToExtract

30720

Макс. коэффициентсжатия архива

MaxCompressionRatio

Infinite

Макс. уровеньвложенности в архив

MaxArchiveLevel

64

Пред упрежд ение овирусах в исход . почте

ShowAlerts Yes / No





Инфицированныеписьма

ActionInfected Delete

Move

Под озрительныеписьма

ActionSuspicious

DeleteMove

Skip

Непроверенные письма ActionNotChecked

DeleteMoveSkip

Уд алятьмод ифицированныеписьма на сервере

DeleteMessagesOnServer

Yes / No

Вставка заголовка ‘X-AntiVirus’ в сообщения

InsertXAntiVirus Yes / No

Папка д ля карантина PathForMovedFiles

infected.!!!

Путь к поисковомумод улю

EnginePath (пусто)

Путь к вирусным базам VirusBasesPath (пусто)

Флаг-файл д ляобновлений

UpdateFlag drwtoday.vdb

Период проверки флаг-файла, с

UpdatePeriod 300

Всего поисковыхмод улей

MaximumLoadEngines

10

Поисковых мод улей пристарте

PreloadEngines 1

Выгружать свобод ныемод ули через, с

UnusedEngineUnloadTimeout

420

Вести отчет EnableLog Yes / No

Отчет о проверяемыхобъектах

EnableLogScanInfo

Yes / No

Файл отчета LogFileName spiderml.log





Пред ельный размерфайла отчета, Кбайт

MaximumLogSize

500

Разрешить анимациюиконки

EnableIconAnimation

Yes / No

Разрешить иконку втрее

HideIcon Yes / No

Показыватьувед омления

NoBalloons Yes / No

ПереключательПерехватыватьсоед иненияавтоматически илиРучная настройкасоед инений

HookModeAuto Yes / No

Проверять перехватсоед инений при старте(авт. режим)

HookCheck Yes / No

Ад рес-Порт (первыйэлемент списка, авт.Режим)

Hook1 *:143

адрес:порт

Ад рес-Порт(продолжение списка, авт.Режим)

Hook2Hook3…

адрес:портадрес:порт…

Порт SpIDerMail- Ад рессервера-Порт сервера(ручной режим, первыйэлемент списка)

HookManual1 7000->адресPOP3/SMTP/IMAP4/NNTP:порт

Порт SpIDerMail- Ад рессервера-Порт сервера(ручной режим,продолжение списка)

HookManual2HookManual3…

7001->адресPOP3/SMTP/IMAP4/NNTP:порт7002->адресPOP3/SMTP/IMAP4/NNTP:порт…





Разрешить пункт менюВыключить

AllowDisable Yes / No

Разрешить пункт менюВыход

AllowExit Yes / No

Разрешить пункт менюНастройки

AllowSettings Yes / No

Разрешить пункт менюПереинициализация

AllowReinitialize Yes / No

Максимальное количествоодновременнообрабатываемых запросовна один лок. порт (ручнойрежим)

MaximumChildConnections

20

Добавляемая в сообщениестрока

Xbanner (пусто)

Путь к каталогу временныхфайлов компонента

TempPath %TMP%, %

TEMP%,

каталог

установки

Переинициализация -reinit

Выключить -disable

Включить -enable

Обновить -update

Выход -exit



Приложение C. Вредоносныепрограммы и способы ихобезвреживания

С развитием компьютерных технологий и сетевых решений, всёбольшее распространение получают различные вредоносныепрограммы, направленные на то, чтобы так или иначе нанестивред пользователям. Их развитие началось еще в эпохузарождения вычислительной техники, и параллельноразвивались средства защиты от них. Тем не менее, до сих порне существует единой классификации всех возможных угроз,что связано, в первую очередь, с непредсказуемым характеромих развития и постоянным совершенствованием применяемыхтехнологий.

Вредоносные программы могут распространяться черезИнтернет, локальную сеть, электронную почту и съемныеносители информации. Некоторые рассчитаны нанеосторожность и неопытность пользователя и могутдействовать полностью автономно, другие являются лишьинструментами под управлением компьютерных взломщиков испособны нанести вред даже надежно защищенным системам.

В данной главе представлены описания всех основных инаиболее распространенных типов вредоносных программ, наборьбу с которыми в первую очередь и направлены разработки«Доктор Веб».



Классификация вредоносных программ идругих компьютерных угроз

Компьютерные вирусы

Главной особенностью таких программ является способность квнедрению своего кода в исполняемый код других программ.Такое внедрение называется инфицированием (илизаражением). В большинстве случаев инфицированный файлсам становится носителем вируса, причем внедренная частькода не обязательно будет совпадать с оригиналом. Действиябольшинства вирусов направлены на повреждение илиуничтожение данных. Вирусы, которые внедряются в файлыоперационной системы (в основном, исполняемые файлы идинамические библиотеки), активируются при запускепораженной программы и затем распространяются, называютсяфайловыми.

Некоторые вирусы внедряются не в файлы, а в загрузочныезаписи дискет, разделы жестких дисков, а также MBR (MasterBoot Record) жестких дисков. Такие вирусы называютсязагрузочными, занимают небольшой объем памяти и пребываютв состоянии готовности к продолжению выполнения своейзадачи до выгрузки, перезагрузки или выключения компьютера.

Макровирусы – это вирусы, заражающие файлы документов,используемые приложениями Microsoft Office и другимипрограммами, допускающими наличие макрокоманд (чаще всегона языке Visual Basic). Макрокоманды – это встроенныепрограммы (макросы) на полнофункциональном языкепрограммирования. Например, в Microsoft Word эти макросымогут автоматически запускаться при открытии любогодокумента, его закрытии, сохранении и т.д.

Вирусы, которые способны активизироваться и выполнятьзаданные вирусописателем действия, например, придостижении компьютером определенного состоянияназываются резидентными.



Большинство вирусов обладают той или иной защитой отобнаружения. Способы защиты постоянно совершенствуются ивместе с ними разрабатываются новые технологии борьбы сними.

Например, шифрованные вирусы шифруют свой код при каждомновом заражении для затруднения его обнаружения в файле,памяти или загрузочном секторе. Каждый экземпляр такоговируса содержит только короткий общий фрагмент (процедурурасшифровки), который можно выбрать в качестве сигнатуры.

Существуют также полиморфные вирусы, использующие помимошифрования кода специальную процедуру расшифровки,изменяющую саму себя в каждом новом экземпляре вируса, чтоведет к отсутствию у такого вируса байтовых сигнатур.

Стелс вирусы (вирусы-невидимки) - вирусные программы,предпринимающие специальные действия для маскировкисвоей деятельности с целью сокрытия своего присутствия взараженных объектах. Такой вирус снимает перед заражениемхарактеристики инфицируемой программы, а затем подсовываетстарые данные программе, ищущей изменённые файлы.

Вирусы также можно классифицировать по языку, на которомони написаны (большинство пишутся на ассемблере,высокоуровневых языках программирования, скриптовых языкахи т.д.) и по поражаемым операционным системам.

Компьютерные черви

В последнее время, черви стали гораздо болеераспространены, чем вирусы и прочие вредоносные программы.Как и вирусы, такие программы способны размножать своикопии, но они не могут заражать другие компьютерныепрограммы. Червь проникает на компьютер из сети (чаще всегокак вложение в сообщениях электронной почты или через сетьИнтернет) и рассылает свои функциональные копии в другиекомпьютерные сети. Причем для начала распространениячерви могут использовать как действия пользователя, так иавтоматический режим выбора и атаки компьютера.



Черви не всегда целиком состоят из одного файла (телачервя). У многих червей есть так называемая инфекционнаячасть (шелл-код), которая загружается в ОЗУ и «догружает» посети непосредственно само тело в виде исполняемого файла.Пока в системе нет тела червя, от него можно избавитьсяперезагрузкой компьютера (при которой происходит сбросОЗУ). Если же в системе оказывается тело червя, то справитьсяс ним может только антивирус.

За счет интенсивного распространения, черви способнывывести из строя целые сети, даже если они не несут никакойполезной нагрузки (не наносят прямой вред системе).

Троянские программы (троянские кони, трояны)

Этот тип вредоносных программ не способен ксаморепликации. Трояны подменяют какую-либо из частозапускаемых программ и выполняют её функции (илиимитируют исполнение этих функций), одновременнопроизводя какие-либо вредоносные действия (повреждение иудаление данных, пересылка конфиденциальной информации ит.д.), либо делая возможным несанкционированноеиспользование компьютера другим лицом, например длянанесения вреда третьему лицу.

Троянец обладает схожими с вирусом маскировочными ивредоносными функциями и даже может быть модулем вируса,но в основном троянские программы распространяются, какотдельные исполняемые файлы (выкладываются на файл-сервера, записываются на носители информации илипересылаются в виде приложений к сообщениям), которыезапускаются либо самим пользователем, либо определеннымпроцессом системы.

Руткит

Это вредоносная программа, предназначенная для перехватасистемных функций операционной системы с целью сокрытиясвоего присутствия в системе. Кроме того, руткит можетмаскировать процессы других программ, различные ключи



реестра, папки, файлы. Руткит распространяется каксамостоятельная программа или как дополнительныйкомпонент в составе другой вредоносной программы. По сути –это набор утилит, которые взломщик устанавливает в систему, ккоторой получил первоначальный доступ.

По принципу своей работы руткиты условно разделяют на двегруппы: User Mode Rootkits (UMR) - работающие в режимепользователя (перехват функций библиотек пользовательскогорежима), и Kernel Mode Rootkits (KMR) - работающие в режимеядра (перехват функций на уровне системного ядра, чтозначительно усложняет его обнаружение и обезвреживание).

Программы взлома

К данному типу вредоносных программ относятся различныеинструменты, которыми злоумышленники пользуются длявзлома компьютеров и сетей. Наиболее распространеннымисреди них являются сканеры портов, которые выявляютуязвимости в системе защиты компьютера. Помимо взломщиков,подобными программами пользуются администраторы дляконтроля безопасности своих сетей. Иногда к программамвзлома причисляют различное распространенное ПО, котороеможет использоваться для взлома, а также некоторыепрограммы, использующие методы социальной инженерии(получение конфиденциальной информации у пользователейпутем введения их в заблуждение).

Шпионские программы

Этот тип вредоносных программ, предназначен для слеженияза системой и отсылкой собранной информации третьейстороне - создателю или заказчику такой программы.Заказчиками шпионских программ могут быть: распространителиспама и рекламы, маркетинговые агентства, скам-агентства,преступные группировки, деятели промышленного шпионажа.

Такие программы тайно закачиваются на компьютер вместе скаким-либо программным обеспечением или при просмотреопределенных HTML-страниц и всплывающих рекламных окон и



самоустанавливаются без информирования об этомпользователя. Побочные эффекты от присутствия шпионскихпрограмм на компьютере - нестабильная работа браузера изамедление производительности системы.

Рекламные программы

Чаще всего под этим термином понимают программный код,встроенный в различное бесплатное программноеобеспечение, при использовании которого пользователюпринудительно показывается реклама. Но иногда такой кодможет скрытно распространяться посредством другихвредоносных программ и демонстрировать рекламу, например,в интеренет-браузерах. Зачастую рекламные программыработают на основании данных, собранных шпионскимипрограммами.

Программы-шутки

Это тип вредоносных программ, которые, как и рекламныепрограммы, не наносят прямого вреда системе. Чаще всего онигенерируют сообщения о несуществующих ошибках и угрожаютдействиями, которые могут привести к повреждению данных.Их основной функцией является запугивание пользователя,либо навязчивое его раздражение.

Программы дозвона

Это специальные компьютерные программы, разработанные длясканирования некоего диапазона телефонных номеров длянахождения такого, на который ответит модем. В дальнейшемзлоумышленники используют найденные номера длянакручивания оплаты за телефон жертве или для незаметногоподключения пользователя через модем к дорогостоящимплатным телефонным службам.

Все вышеперечисленные типы программ считаютсявредоносными, т.к. представляют угрозу либо даннымпользователя, либо его правам на конфиденциальность



информации. К вредоносным не принято причислятьпрограммы, не скрывающие своего внедрения в систему,программы для рассылки спама и анализаторы трафика, хотяпотенциально и они могут при определенных обстоятельствахнанести вред пользователю.

Среди программных продуктов также выделяется целый класспотенциально опасных программ, которые не создавались длянанесения вреда, но в силу своих особенностей могутпредставлять угрозу для безопасности системы. Причем, это нетолько программы, которые могут случайно повредить илиудалить данные, но и те, которые могут использоватьсяхакерами или другими программами для нанесения вредасистеме. К ним можно отнести различные программыудаленного общения и администрирования, FTP-сервера и т.д.

Ниже приведены некоторые виды хакерских атак иинтернет-мошенничества:

Атаки методом подбора пароля - специальная троянскаяпрограмма вычисляет необходимый для проникновения всеть пароль методом подбора на основании заложенногов эту программу словаря паролей или генерируяслучайные последовательности символов.

DoS-атаки (отказ обслуживания) и DDoS-атаки(распределённый отказ обслуживания) - вид сетевых атак,граничащий с терроризмом, заключающийся в посылкеогромного числа запросов с требованием услуги наатакуемый сервер. При достижении определенногоколичества запросов (ограниченного аппаратнымивозможностями сервера), сервер перестает с нимисправляться, что приводит к отказу в обслуживании.DDoS-атаки отличаются от DoS-атак тем, чтоосуществляются сразу с большого количества IP-адресов.

Почтовые бомбы - один из простейших видов сетевыхатак. Злоумышленником посылается на компьютерпользователя или почтовый сервер компании одноогромное сообщение, или множество (десятки тысяч)почтовых сообщений, что приводит к выводу системы изстроя. В антивирусных продуктах Dr.Web для почтовыхсерверов предусмотрен специальный механизм защиты оттаких атак.



Сниффинг - вид сетевой атаки, также называется"пассивное прослушивание сети". Несанкционированноепрослушивание сети и наблюдение за данными, котороепроизводятся при помощи специальной невредоноснойпрограммы - пакетного сниффера, который осуществляетперехват всех сетевых пакетов домена, за которым идетнаблюдение.

Спуфинг - вид сетевой атаки, заключающейся вполучении обманным путем доступа в сеть посредствомимитации соединения.

Фишинг (Phishing) - технология интернет-мошенничества,заключающаяся в краже личных конфиденциальныхданных, таких как пароли доступа, данные банковских иидентификационных карт и т.д. При помощи спамерскихрассылок или почтовых червей потенциальным жертвамрассылаются подложные письма, якобы от именилегальных организаций, в которых их просят зайти наподделанный преступниками интернет-сайт такогоучреждения и подтвердить пароли, PIN-коды и другуюличную информацию, в последствии используемуюзлоумышленниками для кражи денег со счета жертвы и вдругих преступлениях.

Вишинг (Vishing) - технология интернет-мошенничества,разновидность фишинга, отличающаяся использованиемвместо электронной почты war diallers (автонабирателей)и возможностей Интернет-телефонии (VoIP).

Действия, применяемые к вредоноснымпрограммам

Существует множество различных методов борьбы скомпьютерными угрозами. Для надежной защиты компьютеров исетей продукты «Доктор Веб» объединяют в себе эти методыпри помощи гибких настроек и комплексного подхода кобеспечению безопасности. Основными действиями дляобезвреживания вредоносных программ являются:

1. Лечение – действие, применяемое к вирусам, червям итроянам. Оно подразумевает удаление вредоносногокода из зараженных файлов либо удалениефункциональных копий вредоносных программ, а также,



по возможности, восстановление работоспособностипораженных объектов (т.е. возвращение структуры ифункционала программы к состоянию, которое было дозаражения). Далеко не все вредоносные программымогут быть вылечены, однако именно продукты«Доктор Веб» предоставляют самые эффективныеалгоритмы лечения и восстановления файлов,подвергшихся заражению.

2. Перемещение в карантин – действие, при которомвредоносный объект помещается в специальную папку,где изолируется от остальной системы. Данное действиеявляется предпочтительным при невозможностилечения, а также для всех подозрительных объектов.Копии таких файлов желательно пересылать для анализав вирусную лабораторию «Доктор Веб».

3. Удаление – эффективное действие для борьбы скомпьютерными угрозами. Оно применимо для любоготипа вредоносных объектов. Следует отметить, чтоиногда удаление будет применено к некоторым файлам,для которых было выбрано лечение. Это происходит вслучае, когда весь файл целиком состоит извредоносного кода и не содержит никакой полезнойинформации. Так, например, под лечениемкомпьютерного червя подразумевается удаление всехего функциональных копий.

4. Блокировка, переименование – это также действия,позволяющие обезвредить вредоносные программы, прикоторых, однако, в файловой системе остаются ихполноценные копии. В первом случае блокируютсялюбые попытки обращения от и к вредоносному объекту.Во втором случае, расширение файла изменяется, чтоделает его неработоспособным.



Приложение D. Принципы именованиявирусов

При обнаружении вирусного кода компоненты антивирусногокомплекса Dr.Web сообщают пользователю средствамиинтерфейса и заносят в файл отчета имя вируса, присвоенноеему специалистами «Доктор Веб». Эти имена строятся поопределенным принципам и отражают конструкцию вируса,классы уязвимых объектов, среду распространения (ОС иприкладные пакеты) и ряд других особенностей. Знание этихпринципов может быть полезно для выявления программных иорганизационных уязвимостей защищаемой системы. Нижедается краткое изложение принципов именования вирусов;более полная и постоянно обновляемая версия описаниядоступна по адресу http://vms.drweb.com/classification/.

Эта классификация в ряде случаев условна, посколькуконкретные виды вирусов могут обладать одновременнонесколькими приведенными признаками. Кроме того, она неможет считаться исчерпывающей, поскольку постояннопоявляются новые виды вирусов и, соответственно, идетработа по уточнению классификации.

Полное имя вируса состоит из нескольких элементов,разделенных точками. При этом некоторые элементы, стоящиев начале полного имени (префиксы) и в конце (суффиксы),являются типовыми в соответствии с принятойклассификацией.

Основные префиксы

Префиксы операционной системы

Нижеследующие префиксы применяются для называниявирусов, инфицирующих исполняемые файлы определенныхплатформ (ОС):

Win – 16-разрядные программы ОС Windows 3.1,

Win95 – 32-разрядные программы ОС Windows 95, ОС



Windows 98, ОС Windows Me,

WinNT – 32-разрядные программы ОС Windows NT, ОС

Windows 2000, ОС Windows XP, ОС Windows Vista,

Win32 – 32-разрядные программы различных сред ОС

Windows 95, ОС Windows 98, ОС Windows Me и ОСWindows NT, ОС Windows 2000, ОС Windows XP, ОСWindows Vista,

Win32.NET – программы в операционной среде Microsoft

.NET Framework,

OS2 – программы ОС OS/2,

Unix – программы различных UNIX-систем,

Linux – программы ОС Linux,

FreeBSD – программы ОС FreeBSD,

SunOS – программы ОС SunOS (Solaris),

Symbian – программы ОС Symbian OS (мобильная ОС).

Заметим, что некоторые вирусы могут заражать программыодной системы, хотя сами действуют в другой.

Вирусы, поражающие файлы MS Office

Группа префиксов вирусов, поражающих объекты MS Office(указан язык макросов, поражаемых данным типом вирусов):

WM – Word Basic (MS Word 6.0-7.0),

XM – VBA3 (MS Excel 5.0-7.0),

W97M – VBA5 (MS Word 8.0), VBA6 (MS Word 9.0),

X97M – VBA5 (MS Excel 8.0), VBA6 (MS Excel 9.0),

A97M – базы данных MS Access'97/2000,

PP97M – файлы-презентации MS PowerPoint,

O97M – VBA5 (MS Office'97), VBA6 (MS Office'2000), вирус

заражает файлы более чем одного компонента MS Office.

Префиксы языка разработки

Группа префиксов HLL применяется для именования вирусов,

написанных на языках программирования высокого уровня,таких как C, C++, Pascal, Basic и другие. Используются



модификаторы, указывающие на базовый алгоритмфункционирования, в частности:

HLLW – черви,

HLLM – почтовые черви,

HLLO – вирусы, перезаписывающие код программы

жертвы,

HLLP – вирусы-паразиты,

HLLC – вирусы-спутники.

К группе префиксов языка разработки можно также отнести:

Java – вирусы для среды виртуальной машины Java.

Троянские кони

Trojan – общее название для различных Троянских коней

(троянцев). Во многих случаях префиксы этой группыиспользуются совместно с префиксом Trojan.

PWS – троянец, ворующий пароли,

Backdoor – троянец с RAT-функцией (

Remote Administration Tool – утилита удаленногоадминистрирования),

IRC – троянец, использующий для своего

функционирования среду Internet Relayed Chat channels,

DownLoader – троянец, скрытно от пользователя

загружающий различные вредоносные файлы изИнтернета,

MulDrop – троянец, скрытно от пользователя

загружающий различные вирусы, содержащиесянепосредственно в его теле,

Proxy – троянец, позволяющий злоумышленнику

анонимно работать в Интернете через пораженныйкомпьютер,

StartPage (синоним: Seeker) – троянец,

несанкционированно подменяющий адрес страницы,указанной браузеру в качестве домашней (стартовой),

Click – троянец, организующий перенаправление



пользовательских запросов браузеру на определенныйсайт (или сайты),

KeyLogger – троянец-шпион; отслеживает и записывает

нажатия клавиш на клавиатуре; может периодическипересылать собранные данные злоумышленнику,

AVKill – останавливает работу программ антивирусной

защиты, сетевые экраны и т.п.; также может удалять этипрограммы с диска,

KillFiles, KillDisk, DiskEraser – удаляют

некоторое множество файлов (файлы в определенныхкаталогах, файлы по маске, все файлы на диске и т. п.),

DelWin – удаляет необходимые для работы

операционной системы (Windows) файлы,

FormatC – форматирует диск C:

синоним: FormatAll – форматирует несколько или все

диски,

KillMBR – портит или стирает содержимое главного

загрузочного сектора (MBR),

KillCMOS – портит или стирает содержимое CMOS.

Средство использования уязвимостей

Exploit – средство, использующее известные уязвимостинекоторой операционной системы или приложения длявнедрения в систему вредоносного кода, вируса иливыполнения каких-либо несанкционированных действий.

Средства для сетевых атак

Nuke – средства для сетевых атак на некоторые

известные уязвимости операционных систем с цельювызвать аварийное завершение работы атакуемой системы,

DDoS – программа-агент для проведения распределенных

сетевых атак типа "отказ в обслуживании" (DistributedDenial Of Service),

FDOS (синоним: Flooder) – Flooder Denial Of Service –

программы для разного рода вредоносных действий вСети, так или иначе использующие идею атаки типа "отказв обслуживании"; в отличие от DDoS, где против однойцели одновременно используется множество агентов,работающих на разных компьютерах, FDOS-программа



работает как отдельная, "самодостаточная" программа.

Скрипт-вирусы

Префиксы вирусов, написанных на различных языках сценариев:

VBS – Visual Basic Script,

JS – Java Script,

Wscript – Visual Basic Script и/или Java Script,

Perl – Perl,

PHP – PHP,

BAT – язык командного интерпретатора ОС MS-DOS.

Вредоносные программы

Префиксы объектов, являющихся не вирусами, а инымивредоносными программами:

Adware – рекламная программа,

Dialer – программа дозвона (перенаправляющая звонок

модема на заранее запрограммированный платный номерили платный ресурс),

Joke – программа-шутка,

Program – потенциально опасная программа (riskware),

Tool – программа-инструмент взлома (hacktool).

Разное

Префикс generic используется после другого префикса,

обозначающего среду или метод разработки, для обозначениятипичного представителя этого типа вирусов. Такой вирус необладает никакими характерными признаками (как текстовыестроки, специальные эффекты и т. д.), которые позволили быприсвоить ему какое-то особенное название.

Ранее для именования простейших безликих вирусовиспользовался префикс Silly с различными модификаторами.



Суффиксы

Суффиксы используются для именования некоторыхспецифических вирусных объектов:

generator – объект является не вирусом, а вирусным

генератором,

based – вирус разработан с помощью указанного

вирусного генератора или путем видоизмененияуказанного вируса. В обоих случаях имена этого типаявляются родовыми и могут обозначать сотни и иногдадаже тысячи вирусов,

dropper – указывает, что объект является не вирусом, а

инсталлятором указанного вируса.



Приложение E. Защитакорпоративной сети с помощьюDr.Web® Enterprise Suite

Dr.Web обеспечивает надежную, гибкую, легко настраиваемуюв соответствии с пожеланиями пользователя защиту от вирусови других нежелательных программ.

Версии комплекса, предназначенные для операционнойсистемы Windows, а также версии для других платформпозволяют организовать надежную защиту компьютеров любойорганизации. Однако функционирование компьютеров в средекорпоративной сети создает особые проблемы дляантивирусной защиты:

как правило, установка ПО на компьютеры в организациипроизводится администратором корпоративной сети.Установка антивирусных комплексов, их своевременноеобновление является для такого администраторазначительной дополнительной нагрузкой и требуетобеспечения физического доступа к компьютерам;

самостоятельное внесение недостаточноквалифицированными пользователями изменений внастройки антивирусной защиты (вплоть до ееотключения из-за кажущихся неудобств) создает "дыры" взащите – вирусы проникают внутрь корпоративной сети,после чего их устранение становится более сложнойзадачей;

работа антивирусной защиты может быть полностьюэффективной только при условии анализа ее работыквалифицированным специалистом по антивируснойбезопасности – изучения протоколов, файлов,перемещенных в карантин и т. д. Данная работазатруднена в условиях, когда указанные сведенияхранятся на десятках и сотнях отдельных компьютеров.

Для решения указанных задач разработан программныйкомплекс Dr.Web Enterprise Suite (далее Dr.Web ES).



Dr.Web ES решает следующие задачи:

централизованная (без необходимости непосредственногодоступа персонала) установка антивирусных пакетовсоответствующего типа на защищаемые компьютеры(рабочие станции и серверы локальной сети);

централизованная настройка параметров антивирусныхпакетов;

централизованное обновление вирусных баз ипрограммного обеспечения на защищаемых компьютерах;

мониторинг вирусных событий на всех защищаемыхкомпьютерах, а также состояния антивирусных пакетов иОС.

Dr.Web ES позволяет как сохранить за пользователемзащищаемых компьютеров права на настройку и управлениеантивирусными пакетами данных компьютеров, так и гибкоограничить их, вплоть до полного запрета.

Программный комплекс Dr.Web ES имеет архитектуру "клиент-сервер". Его компоненты устанавливаются на компьютерылокальной сети и обмениваются информацией, используясетевые протоколы (подробнее взаимодействие компонентовкомплекса описано ниже). Совокупность компьютеров, накоторых установлены взаимодействующие компоненты Dr.WebES, будем называть антивирусной сетью. В составантивирусной сети входят следующие компоненты:

Антивирусный агент. Этот компонент устанавливаетсяна защищаемом компьютере, производит установку,обновление и управление антивирусным пакетом всоответствии с инструкциями, получаемыми сантивирусного сервера (см. ниже). Агент также передаетна антивирусный сервер информацию о вирусныхсобытиях и другие необходимые сведения о защищаемомкомпьютере;

Антивирусный сервер. Этот компонент устанавливаетсяна одном из компьютеров локальной сети. Антивирусныйсервер хранит дистрибутивы антивирусных пакетов дляразличных операционных систем защищаемыхкомпьютеров, обновления вирусных баз, антивирусныхпакетов и антивирусных агентов, пользовательские ключи



и настройки пакетов защищаемых компьютеров и передаетих по запросу агентов на соответствующие компьютеры.Антивирусный сервер ведет единый журнал событийантивирусной сети и журналы по отдельным защищаемымкомпьютерам;

Антивирусная консоль. Этот компонент используется дляудаленного управления антивирусной сетью путемредактирования настроек антивирусного сервера, а такженастроек защищаемых компьютеров, хранящихся наантивирусном сервере.

Антивирусная консоль может устанавливаться накомпьютеры, не входящие в состав локальной сети;требуется только, чтобы между консолью и антивируснымсервером была связь по протоколу TCP/IP.

Ниже представлена общая схема фрагмента локальной сети, начасти которой сформирована защищающая ее антивируснаясеть.

Весь поток команд, данных и статистической информации вантивирусной сети в обязательном порядке проходит черезантивирусный сервер. Антивирусная консоль такжеобменивается информацией только с сервером; изменения вконфигурации рабочей станции и передача команд



антивирусному агенту осуществляется сервером на основекоманд консоли.

Таким образом, логическая структура фрагмента антивируснойсети имеет вид, представленный ниже.

От сервера к рабочим станциям и обратно (сплошная тонкаялиния на рисунке) с использованием одного изподдерживаемых сетевых протоколов (TCP, IPX или NetBIOS)передаются:

запросы агента на получение централизованногорасписания и централизованное расписание даннойрабочей станции;

настройки агента и антивирусного пакета;



запросы на очередные задания, подлежащие выполнению(сканирование, обновление вирусных баз и т. п.);

модули антивирусных пакетов – при получении агентомзадания на их установку;

обновления ПО и вирусных баз – при выполнении заданияна обновление;

сообщения агента о конфигурации рабочей станции;

статистика работы агента и антивирусных пакетов длязаписи в централизованный журнал;

сообщения о вирусных событиях и других подлежащихфиксации событиях.

Объем трафика между рабочими станциями и сервером, взависимости от настроек рабочих станций и их количества,может быть весьма значительным, поэтому программныйкомплекс Dr.Web ES предусматривает возможность компрессиитрафика.

Трафик между сервером и рабочей станцией может бытьзашифрован. Это позволяет избежать разглашения сведений,передаваемых по описываемому каналу, а также подмены ПО,загружаемого на рабочие станции.

Таким образом, Dr.Web ES позволяет:

предельно упростить процесс установки антивирусногоПО на защищаемые компьютеры, причем в большинствеслучаев (для компьютеров, работающих под управлениемWindows 2000, Windows XP, Windows 2003, Windows Vista)установка может производиться централизованно, безфизического доступа к компьютеру;

централизованно настраивать антивирусное ПО ипроизводить его обновления с минимальнымитрудозатратами;

отслеживать состояние антивирусной защиты;

при необходимости централизованно запускать илипрерывать задания антивирусного ПО на компьютерах;

собирать и изучать информацию о вирусных событиях навсех защищаемых компьютерах;

при необходимости предоставить отдельнымпользователям возможность самостоятельно настраивать



антивирусное ПО;

осуществлять управление антивирусной сетью иполучение информации о ней администраторомантивирусной защиты как с рабочих мест в корпоративнойсети, так и удаленно через Интернет.

В крупных корпоративных сетях, насчитывающих сотни илитысячи компьютеров, целесообразно создавать средствами Dr.Web ES антивирусную сеть с несколькими серверами. Приэтом между серверами выстраивается иерархическая связь,позволяющая упростить процесс передачи на рабочие станцииобновлений вирусных баз и ПО и приема информации овирусной ситуации. Администратор получает возможностьизучать отчеты о работе сети как для отдельных серверов, таки сводную по всей антивирусной сети.

Dr.Web ES в условиях корпоративной сети повышаетнадежность антивирусной защиты и снижает расходы на ееобслуживание по сравнению с установкой на защищаемыекомпьютеры персональных антивирусных комплексов.

Программный комплекс Dr.Web Enterprise Suite имеет рядпреимуществ по сравнению с аналогичными продуктами:

высокая надежность и безопасность применяемыхрешений;

легкость администрирования;

мультиплатформенность всех компонентов;

прекрасная масштабируемость.

Мы рекомендуем приобрести и установить Dr.Web ES вследующих случаях:

ваша корпоративная сеть имеет значительный масштаб(несколько десятков компьютеров или более),

у вас малая сеть, однако, по тем или иным причинам(специфика ПО, оборудования или квалификацииперсонала) вы уже используете в этой сети политикужесткого администрирования установки и настройки ПО.

Для компьютеров, не включенных в корпоративную сеть,используйте персональные антивирусы Dr.Web для Windows и



версии Dr.Web для других платформ.



Приложение F. Dr.Web® AV-Desk дляпровайдеров интернет-услуг

Программный комплекс Dr.Web AV-Desk позволяет упроститьзадачу поддержания антивирусной защиты большого числапользователей. Dr.Web AV-Desk предназначен дляорганизаций, специализирующихся на оказании различного родаинтернет-услуг (провайдеры доступа в интернет (ISP),поставщики услуг приложений (ASP), а также банковских услуг(online banking) и т.д.).

AV-Desk позволяет установить антивирусные пакеты Dr.Web нарабочие станции клиентов организации, управлять их работой,обновлениями, оперативно отслеживать и решать проблемы,возникающие на компьютерах клиентов организации, безнеобходимости физического доступа к машинам или передачиинструкций пользователю.

Создание такой антивирусной сети решает ряд проблем, частовстречающихся в практике как корпоративных клиентов, так иотдельных пользователей:

в организациях установка ПО на компьютеры, как правило,производится администратором корпоративной сети.Установка антивирусных комплексов, их своевременноеобновление является для такого администраторазначительной дополнительной нагрузкой и требуетобеспечения физического доступа к компьютерам;

«на дому» пользователь не всегда вовремя отслеживаетвирусные события на своем компьютере или можетвообще не устанавливать у себя антивирусное ПО;

недостаточно квалифицированные пользователи могутвносить в настройки антивирусной защиты изменения(вплоть до ее отключения из-за кажущихся неудобств),которые создают "дыры" в защите, тем самым значительноснижая уровень безопасности;

работа антивирусной защиты может быть полностьюэффективной только при условии анализа ее работыквалифицированным специалистом по антивируснойбезопасности – изучения протоколов, файлов,



перемещенных в карантин и т. д. В условиях организацийданная работа затруднена тем, что указанные сведенияхранятся на десятках и сотнях отдельных компьютеров. В«домашних условиях» анализ работы антивируса обычноне производится.

Dr.Web AV-Desk разработан для решения этих проблем. Онобеспечивает единую и надежную комплексную антивируснуюзащиту рабочих станций, экономит время и усилияадминистраторов и освобождает пользователей отнеобходимости заниматься вопросами антивирусной защиты,без снижения уровня безопасности.

Dr.Web AV-Desk выполняет следующие задачи:

простая установка ПО компонентов комплекса и быстраяорганизация антивирусной защиты,

создание дистрибутивов с уникальнымиидентификаторами и передачу их пользователям дляустановки сервиса;

централизованная настройка параметров антивирусныхпакетов на защищаемых компьютерах сети,

централизованное обновление вирусных баз ипрограммного обеспечения на защищаемых компьютерах;

мониторинг вирусных событий, а также состоянияантивирусных пакетов и ОС на всех защищаемыхкомпьютерах.

Программный комплекс Dr.Web AV-Desk имеет архитектуру "клиент-сервер". В состав антивирусной сети, организованной спомощью Dr.Web AV-Desk, входят следующие компоненты:

Антивирусный сервер. Этот компонент устанавливаетсяна одном из компьютеров антивирусной сети.Антивирусный сервер хранит дистрибутивы антивирусныхпакетов для различных операционных систем защищаемыхкомпьютеров, скрипты веб-консоли, обновления вирусныхбаз, антивирусных пакетов и антивирусных агентов,пользовательские ключи и настройки пакетов защищаемыхкомпьютеров и передает их по запросу агентов насоответствующие компьютеры. Антивирусный серверведет единый журнал событий антивирусной сети.

Веб-консоль. Этот компонент позволяет создавать и



редактировать учетные записи пользователей, а такжесоздавать для каждого пользователя индивидуальныедистрибутивы агента АV-Desk. Веб-консоль можетиспользоваться администратором на любом компьютере,имеющем доступ в Интернет.

Встроенный веб-сервер. Этот компонент устанавливаетсяавтоматически вместе с антивирусным сервером. Онпредставляет собой некоторое расширение стандартнойвеб-странички сервера и дает возможность:

o просматривать общую информацию о сервере AV-Desk;

o читать документацию;

o просматривать репозиторий.

Антивирусный агент AV-Desk. Этот компонентустанавливается на защищаемом компьютере, после чегопроизводит на нем установку антивирусного пакета. Вдальнейшем агент производит регулярные обновленияустановленного антивирусного ПО, передает ему командыи настройки с антивирусного сервера, а также отсылаетантивирусному серверу информацию о вирусных событияхи другие необходимые сведения о защищаемомкомпьютере.

Ниже представлена общая схема фрагмента антивирусной сети.



Весь поток команд, данных и статистической информации вантивирусной сети в обязательном порядке проходит черезантивирусный сервер. Антивирусная консоль такжеобменивается информацией только с сервером; изменения вконфигурации рабочей станции и передача командантивирусному агенту осуществляется сервером на основекоманд консоли.

В крупных сетях, насчитывающих сотни или тысячикомпьютеров, целесообразно создавать средствами Dr.Web AV-Desk антивирусную сеть с несколькими серверами. При этоммежду серверами выстраивается иерархическая связь,позволяющая упростить процесс передачи на рабочие станцииобновлений вирусных баз и ПО и приема информации о



вирусной ситуации. Администратор получает возможностьизучать отчеты о работе сети как для отдельных серверов, таки сводную по всей антивирусной сети.

Dr.Web AV-Desk в условиях корпоративной сети повышаетнадежность антивирусной защиты и снижает расходы на ееобслуживание по сравнению с установкой на защищаемыекомпьютеры персональных антивирусных комплексов.

Программный комплекс Dr.Web AV-Desk имеет рядпреимуществ по сравнению с аналогичными продуктами:

высокая надежность и безопасность применяемыхрешений;

легкость администрирования;

мультиплатформенность всех компонентов;

прекрасная масштабируемость.