Вирус в домашней сети

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

  • обнаружить зараженные ПК в сети;
  • найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
  • принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

  • автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
  • исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
  • исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
  • применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК можно свести к трем основным этапам:

  • проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
  • проведение оперативного обследования — например поиск характерных процессов или файлов;
  • карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

  1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
  2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
  3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика можно проводить тремя способами:

  • вручную при помощи снифферов;
  • в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
  • автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

  • Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
  • установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

  • по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
  • недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
  • высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Включение протоколирования BootCleaner

// Импорт в задание BootCleaner списка файлов, удаленных скриптом

Kaspersky Lab

Данная статья посвящена безопасности крупной и средней компьютерной сети. Необходимо отметить, что с расширением роли информационных технологий в деятельности компаний говорить только о врусной атаке становится не вполне корректно, так как увеличивается число программ, которые не являясь вирусами, тем не менее способны принести не меньший вред. В первую очередь это относится к программам, ворующим пароли и позволящим осуществлять котроль за работой компьютеров незаметно для сотрудников вашей компании.

Рассмотрим стандартные составляющие корпоративной сети (рисунок 1).

Для начала рассмотрим основные принципы безопасности, которые позволяют многократно уменьшить вероятность попадания вируса в сеть.

  1. Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
  2. Наличие в сети антивирусной программы.
  3. Регулярное (не реже 1 раза в неделю, а общей директории — ежедневно) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
  4. Компьютер (компьютеры), связанные с внешним миром через модемы или выделенные каналы должны проверяться особенно тщательно и до того, как файлы, скачанные из Интернет, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения, проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.

Как видно из перечисленного списка, покупка и установка антивирусного программного обеспечения является одним из ряда требований по обеспечению безопасности сети.

Анализируя критические для проникновения вирусов составляющие компьютерных сетей предприятий и тенденции развития антивирусного программного обеспечения, можно выделить следующие элементы, которые требуют антивирусной защиты:

  • Рабочие станции и переносные компьютеры;
  • Файловые сервера;
  • Серверы приложений (включая Почтовые системы, WEB-сервера);
  • Каналы обмена данными с внешним миром (например Интернет).

Необходимо отметить, что только подобная многослойная структура построения антивирусной защиты способна обеспечить максимальную защиту от вирусной угрозы. При этом вирус лишается возможности найти в сети нишу, в которой его существованию ничто не угрожает.

Анализируя современную динамику развития программ для проникновения в компьютерные сети компаний следует иметь в виду, что традиционные вирусы, которые способны заполнить диски или стереть информацию, являются лишь одной из разновидностей данного класса программ. Более того, широкое распространение информационных технологий, которые стали необходимым условием успешного развития компаний в любых областях, привело к тому, что практически вся информация хранится в электронном виде. Следствием этого стало широкое распространение так называемых вредоносных кодов. Данная категория программного обеспечения не является вирусом в традиционном понимании этого термина. Основной целью в данном случае является сбор информации (в первую очередь, паролей доступа) или даже полный контроль над работой компьютера, с последующей пересылкой данной информации заинтересованному лицу за пределами компании. При этом вред, наносимый компании, может во много раз превышать потери от традиционной вирусной атаки, которые могут быть к тому же сведены к минимуму при помощи грамотной системы резервного копирования информации.

С другой стороны, в настоящее время наблюдаются значительные изменения в традиционных вирусах. Прежде всего это связано с внедрением большого числа новых технологий компонентного построения систем, которые создают новые среды для распространия вирусов. При этом огромное количество файлов, из которых состоят современные программные продукты, привело к тому, что размеры перестали быть ограничивающим фактором в распространении вирусов и вредоносных кодов. Более того, многие из них даже не стремятся к полному внедрению в файлы, а просто копируют себя в системные директории. Действительно, определить наличие лишнего файла в этом случае оказывается практически невозможно.

Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров и сетей от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности компании. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым — это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100 % лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля за целосностью данных (типа AVP Inspector), однако они, как правило, лишь констатируют факт несанкционарованного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.

В настоящее время “Лаборатория Касперского” выпускает серию продуктов под общим названием AVP для защиты корпоративной сети и различных ее составляющих. Данные продукты можно разделить на 4 группы:

  • AVP для рабочих станций и автономных компьютеров;
  • AVP для файловых серверов;
  • AVP для серверов приложений;
  • Модули и продукты для сетевого администрирования и управления семейством продуктов AVP.

Прежде всего отметим, что практически все продукты (за исключением 16-битных) построены на основе единого ядра.

В данную категорию продуктов входят следующие основные продукты: AVP для Windows, AVP для OS/2, AVP для DOS (16-ти и 32-битные версии), AVP для Linux. При этом 16-битная версия для DOS в настоящий момент заменяется на 32-битную. При этом все версии (кроме 16-битных) имеют единое унифицированное ядро.

В настоящее время данная категория продуктов представлена версиями AVP для Novell Netware 3, 4, 5; AVP для NT Server; AVP Daemon для Linux.

AVP для Exchange, WEB Inspector. К данной категории можно отнести также AVP для Linux, который имеет открытое API для интеграции с прикладными приложениями различного типа.

В настоящий момент данная категория продуктов представлена Сетевым Центром Управления, который позволяет централизовать управление продуктами AVP в сетях, построенных на продуктах компании Microsoft и протоколе ТСР/IP. В других сетевых средах предлагается интеграция с системы сетевого управления таких компаний, как Microsoft, Novell, Tivoli, HP, CA и других компаний, работающих на данном рынке.

Avp Lite — это простой антивирусный пакет для MS-DOS и Windows 95/98. Он состоит из двух компонентов:

  • AVP Monitor для Windows 95/98;
  • AVP Scanner для MS-DOS.

AVP Monitor — это программа, которая во время работы компьютера постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера и предотвращение заражения системы.

AVP Scanner для MS-DOS — это 32-битное DOS-приложение с графическим интерфейсом для сканирования файлов по запросу пользователя. К AVP Scanner приложен файл со стандартными настройками, что существенно облегчает использование продукта. Данная программа рекомендована для использования в тех ситуациях, когда невозможна загрузка компьютера. Запишите AVP Scanner на системную дискету, а антивирусные базы на другую дискету, тогда в случае вирусной атаки загрузите компьютер с системной дискеты и запустите программу-сканер.

Антивирусный пакет AVP Lite рекомендован “Лабораторией Касперского” начинающим пользователям для домашнего использования.

Avp Silver — антивирусный пакет для MS-DOS и Windows 95/98. В состав пакета входят следующие компоненты:

  • AVP Monitor для Windows 95/98;
  • AVP Scanner для Windows 95/98;
  • AVP Scanner для MS-DOS.

AVP Monitor — начиная с даной версии в программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. Таким образом, Вы можете настроить монитор для обеспечения наилучшей безопасности компьютера и предотвращения заражения системы.

AVP Scanner для Windows 95/98 — это Windows-приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

Антивирусный пакет AVP Silver рекомендован “Лабораторией Касперского” для домашнего использования.

AVP Gold — это программный антивирусный пакет для следующих ОС:

  • MS-DOS;
  • Windows 95/98;
  • Windows NT Workstation.

В состав пакета входят следующие компоненты:

  • AVP Monitor для Windows 95/98/NT Workstation;
  • AVP Scanner для Windows 95/98/NT Workstation;
  • AVP Scanner для MS-DOS;
  • AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Gold. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть отчет о работе компонентов.

“Лаборатория Касперского” рекомендует использование антивирусного пакета AVP Gold как дома, на домашнем компьютере, так и в небольших офисах.

AVP Platinum — это антивирусный пакет, рассчитанный на многопользовательские лицензии. Он предназначен для работы в следующих ОС:

  • MS-DOS;
  • Windows 95/98;
  • Windows NT Workstation.

В состав пакета входят следующие компоненты:

  • AVP Monitor для Windows 95/98/NT Workstation;
  • AVP Scanner для Windows 95/98/NT Workstation;
  • AVP Scanner для MS-DOS;
  • AVP Центр Управления.

AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Platinum. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть централизованный отчет о работе компонентов. Отличительная особенности данной версии - в ее интеграции с Сетевым Центром Управления, который обеспечивает дистанционное управление антивирусной защитой рабочей станции.

Пакет может поставляться вместе с Сетевым Центром Управления, который позволяет управлять работой программ из пакета AVP Platinum по локальной сети.

Пользователи AVP Platinum обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

“Лаборатория Касперского” рекомендует использовать антивирусный пакет AVP Platinum предприятиям и организациям, имеющим локальные сети.

AVP для Windows NT Server предназначен для защиты файловых серверов, работающих под управлением ОС Windows NT Server. В состав системы входят:

  • AVP Monitor;
  • AVP Scanner;
  • AVP Центр Управления.

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы (в том числе и сетевые). В программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. При этом основное отличие заключается в контроле за доступом к файлам из любого места локальной сети и Интернета.

AVP для Novell Netware — это антивирусный пакет, обеспечивающий высокий уровень защиты корпоративным сетям, работающим под управлением Novell Netware. Продукт выполнен в виде загрузочного модуля NetWare. Он использует хорошо зарекомендовавшее себя под Windows 32-разрядное ядро AVP. Пакет оснащен возможностью автоматической инсталляции, для чего используется графический инсталлятор для Windows, который сразу производит установку в NDS. Продукт абсолютно не имеет интерфейса, поэтому администрирование проводится через NDS с консоли администратора. Огромным удобством является использование NWAdmin для управления антивирусным пакетом. Поддерживается обновление через Интернет, а также оповещение администратора стандартными средствами NetWare об опасных событиях (например, заражение вирусом) на сервере.

Пользователи AVP для Novell Netware обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.

AVP Inspector — это программа-ревизор дисков, разработанная для ОС Windows 95/98/NT Workstation. Она регистрирует изменения в структуре файлов, директорий и секторов дисков, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. Таким образом обеспечивается устойчивая защита от различных вредоносных изменений, а не только тех, которые вызваны вирусной атакой.

Эта программа может использоваться как дополнение к AVP Scanner, так как после проверки дисков на наличие изменений AVP Inspector может передать на проверку программе-сканеру только новые и измененные файлы.

Кроме того, AVP Inspector следит за изменением состояния оперативной памяти и количеством установленных винчестеров.

AVP Web Inspector — это дополнительная утилита для контроля за любыми несанкционированными изменениями на Web-сервере. Эта утилита регистрирует изменения в структуре данных на Web-сервере, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. К особенностям данной утилиты можно отнести:

  • возможность передачи отчета по электронной почте;
  • расширенные возможности редактирования области проверки;
  • специфические возможности для проверки данных на Web-серверах (например, проверка файлов с расширениями.cgi и.asp и т.п.)

Данный продукт рекомендуется компанией как надежный инструмент защиты Web-серверов.

AVP для OS/2 — это антивирусный пакет для операционной системы OS/2 Warp/Merlin. В состав пакета входят следующие компоненты:

  • AVP Monitor;
  • AVP Scanner с графическим интерфейсом;
  • AVP Scanner Lite для запуска из командной строки.

AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы. В программе предусмотрена возможность настройки типов проверяемых объектов и реакции на зараженные файлы.

AVP Scanner с графическим интерфейсом — это приложение, предназначенное для проверки файлов по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Scanner Lite для запуска из командной строки по своим функциональным возможностям эквивалентен программе-сканеру с графическим интерфейсом. Отсутствие графического интерфейса делает программу удобной для использования в пакетных файлах.

AVP для Linux — это пакет антивирусных программ для ОС Linux. Пакет включает в себя следующие компоненты:

AVP Scanner — это приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.

AVP Daemon — это приложение, которое позволяет другим программам управлять процессом проверки на наличие вируса. Будучи загруженным в память, AVP Daemon проверяет объекты в соответствии со своими настройками, а затем остается в памяти. Далее любая клиентская программа может создать с ним соединение, послать Daemon параметры командной строки с целью проверки соответствующих объектов, а далее считать результаты тестирования. AVP Daemon имеет открытый программный интерфейс (API).

AVP Monitor — это приложение, которое постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера. AVP Monitor является программой-клиентом для AVP Daemon. Для установки этого компонента необходимо заменить ряд файлов ядра Linux.

AVP для Microsoft Exchange Server — это средство антивирусной защиты для Microsoft Exchange Server. Эта программа позволяет обнаруживать и удалять вирусы из электронной почты, таким образом обеспечивая эффективную защиту получателей на сервере Microsoft Exchange, работающих под управлением Microsoft Windows NT Server. К особенностям данного продукта можно отнести:

  • полный контроль над внутренней и внешней почтой;
  • возможность персональной настройки программы для каждого почтового ящика/группы Exchange;
  • возможность пересылки зараженных и подозрительных сообщений на адрес администратора;
  • расширенные функции проверки (например, проверка сообщений, присоединенных файлов, архивов, вложенных архивов, а также файлов почтовых форматов и т.п.);
  • совместимость с настройками пользовательского интерфейса Microsoft Exchange.

Михаил Калиниченко,
Технический директор
Kaspersky Lab

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции