From: Kaspersky Lab <Kaspersky.Lab@f156.n5020.z2.fidonet.org>
Date: Wed, 12 Jul 2000 11:48:00 +0400
Area: fido7.avp.support

ЧаВо:  Попытка ответа на ЧАсто задаваемые ВОпросы. Часть 4/6
Тема:  Антивирусные базы - Часть 1.
Версия:  2.0.0  от 10-FEB-2000
Источники: Документация к AVP, Вирус-лист AVP, система подсказок ("F1"),
  "Вирусная Энциклопедия", собственный опыт.
Автор:  Андрей Сатин
Адрес для контактов: avp.support@f1-help.net, 2:5020/1375.777,  /156.77
---------------------------------------------------------------------------
Q. KERNEL.AVC.

A. Этот модуль грузится самым первым, поэтому и занимает самую первую
строку в файле AVP.SET. Содержит внутренние библиотеки ядра AVP. В КРАЙНЕ
редких случаях ему может предшествовать СПЕЦИАЛЬНОЕ дополнение, содержащее
нестандартные методы работы, заменяющие собой аналоги из KERNEL.AVC.
Однако в последнее время разработчики предпочитают включить обновленный
модуль ядра в недельное обновление, вместо выпуска "нестандартных"
дополнений для ядра. Попытка подключить обновленные базы к комплекту с
устаревшим KERNEL.AVC и приводит к сообщениям об ошибках в объектном коде:
"Object code not linked" ("Объектный код не подлинкован").

Без этой базы AVP не сможет работать совсем.
---------------------------------------------------------------------------
Q. AVP????.AVC.

A. Основная база, самая большая по количеству записей. Содержит
стандартные методы поиска и удаления вирусов. В подавляющем большинстве
случаев эта база должна быть загружена сразу после модуля KERNEL.AVC, т.е.
ее место в файле AVP.SET - вторая строка.

Если эта база не подключена (или подключена неправильно) Вы теряете
возможность "прямого" детектирования более 95% вирусов.
---------------------------------------------------------------------------
Q. SCRIPT.AVC.

A. В этот модуль, появившийся в сентябрьском кумулятиве 1999 года,
вынесены методы поиска вирусов в скриптах (сценариях), написанных на
языках высокого уровня - Java, JavaScript, VBScript, HTML и других. Раньше
эти методы входили в состав модуля MACRO.AVC, о котором ниже. Сюда же
попали и вирусы для Ami Pro (Green Stripe - Macro.AmiPro.Green), Corel
Draw! (Gala - CS.Gala), UNIX-вирусы, HTML-вирусы, черви - IRC- и mIRC-Worm.
---------------------------------------------------------------------------
Q. MACRO.AVC.

A. Модуль для обработки инструкций на Visual Basic for Application
(VBA). Язык мощный, почти как старший брат (VB), позволяет вытворять в
системе почти все... Что и успешно продемонстрировал самый первый
макро-вирус для WinWord - WM.Concept. Результат - количество макро-вирусов
скоро может превысить количество всех остальных разновидностей вирусов,
вместе взятых. Уже сейчас с трудом можно найти офисное приложение с
поддержкой макросов VBA, которое еще не было атаковано неутомимыми
селекционерами компьютерных "самоходок".

Можно добавить, что встроенная в офисные приложения защита от макровирусов,
будучи однажды снятой для выполнения "хорошего" макроса, и пропустившая
"вирусный", больше не сможет ни разу Вас предупредить об атаке. Вирус
просто отключит эту защиту.

Будьте осторожны при лечении документов, если принятый в организации
документооборот предполагает использование макрокоманд, т.к. при удалении
"вирусных" макросов может быть (но не обязательно!) нарушена структура
вполне "нормальных", разрешенных макросов. Если же Вы НИКОГДА не
использовали в своих документах макросы, их появление должно Вас
насторожить.

Идея разделения макросов "свой-чужой" частично реализована в AVP для
Office 2000 и получит свое дальнейшее развитие в будущих версиях
AVP, в специальном модуле MACRO-STOP, хотя этот модуль скорее похож на
надстройку к существующей у Вас системе обработки документов.
---------------------------------------------------------------------------
Q. UP??????.AVC.

A. Каждая база содержит методы детектирования и лечения новых, а иногда
и дополнительные методы для уже известных вирусов. Новые методы работы с
упаковщиками, например, тоже подключаются через UP??????.AVC, чтобы со
следующего кумулятива занять свое место в UNPACK.AVC. Обычно дописываются
в файл AVP.SET после основной базы и модулей обработки скриптов и
макросов.
---------------------------------------------------------------------------
Q. DAILY.AVC

A. Ежедневный апдэйт. В файле AVP.SET ставится после еженедельных.
---------------------------------------------------------------------------
Q. TROJAN.AVC.

A. Антивирусная база для опознания "троянских коней", которые по своей
сути, "вирусами" не являются. По определению, вирус - система, способная к
САМОвоспроизводству копий, функционально аналогичных себе и т.д...
Троянцы НЕ РАЗМНОЖАЮТСЯ! Т.е. - сами не размножаются, однако вирусы могут
нести в себе троянскую компоненту, но это в нашем случае неважно. К числу
троянцев справедливо причислены и так называемые Дропперы - пустышки,
несущие в себе вирусный или троянский код. Дроппер сам себя запустить не
может, поэтому и скрывается за красивыми названиями типа RunMe, CoolGame
или GifGirls.

Лечение троянцев. Суть в том, что лечить тут - НЕЧЕГО. Лечение одно - F8 в
Нортоне или FAR'е, Del (рекомендую Shift-Del) - под Windows. И ответ на
вопрос: "Когда AVP научится лечить троянцев?" однозначный - он всегда умел
их лечить. "Удалить" - это и есть единственный возможный способ лечения.

Отключение этой базы КРАЙНЕ нежелательно по причине того, что по своему
количеству троянцы пытаются перещеголять макровирусы. Ущерб, наносимый
троянцами гораздо серьезнее, чем мелкие пакости других вирусов.
---------------------------------------------------------------------------
Q. BACKDOOR.AVC.

A. Антивирусная база для опознания систем удаленного администрирования,
таких как Back Orifice, NetBus и прочих... Все они достаточно подробно
описаны в "Вирусной Энциклопедии", и вряд ли имеет смысл повторять здесь,
что это за системы. Кратко отметим, что состоят они обычно из "клиентской"
и "серверной" частей, "сервер" предоставляет свои ресурсы управляющему им
"клиенту". Идея красивая, и реализована она мощнее, чем в 32-разрядных
системах от MS, но "факт отсутствия предупреждения об инсталляции
позволяет однозначно идентифицировать такие системы, как вирусы". Так, или
почти так написано все в той же энциклопедии. Опознаются как клиентские,
так и серверные компоненты этих систем.

Лечение бэкдоров аналогично лечению троянцев, причину я объяснил выше.

Как уже указывалось, эти системы работают только под Win32, отсюда можно
сделать вывод, что для AVPLite на i80286 ее подключение нецелесообразно.
---------------------------------------------------------------------------
Q. UNPACK.AVC.

A. Модуль обработки упаковщиков, шифровщиков, иммунизаторов и систем
защиты от копирования. Список довольно внушительный, постоянно
дополняется. (И, заметьте, содержит записи не о ВИРУСАХ, а о методах
распаковки. Это и есть яркий пример неправильного приравнивания количества
ЗАПИСЕЙ к количеству ВИРУСОВ). AVP распаковывает исполняемый файл и
проверяет его второй (третий... и т.д. в зависимости от уровня упаковки)
раз. Если в файле обнаружен вирус, и дана команда на лечение, AVP не будет
"запаковывать" его обратно после лечения.

Для работы распаковщика требуются дополнительные ресурсы, но отключение
этой базы крайне не рекомендуется даже при проверке небогатых такими
ресурсами машин - по причине повального увлечения упаковывать все и вся.
И в AVP-мониторе не забудьте отметить эту опцию галочкой - береженого Бог
бережет.

Версии AVP без ключевого файла или с просроченной лицензией эту базу не
используют, несмотря на то, что в память все-таки грузят.
---------------------------------------------------------------------------
Q. EXTRACT.AVC.

A. База архиваторов, содержащая методы распаковки архивов (еще пример
несоответствия записи-вирусы!) как популярных форматов, так и экзотики.
Проверяются ВСЕ основные форматы архивов, принятые для хранения ДВОИЧНЫХ
данных, а также встраиваемые (OLE) объекты, включая объекты MS Office.
Безусловным плюсом для AVP является умение работать с .RAR, .CAB,
многотомными архивами, имиджами дисков DiskDupe, TeleDisk и пр.

Сообщение "Архив XXXXX неизвестный формат" может говорить о применении
нестандартных (для данного архиватора) методов упаковки, что приводит к
невозможности его открытия и обработки. Это сообщение может также
констатировать нарушенную целостность архива, например, при обрыве связи
во время получении его из Интернет. Такое же сообщение можно увидеть
во время обработки архивов *.RAR, упакованных с большим словарем, при
проверке архива AVPLite. 16-разрядная версия AVP не умеет работать с
такими архивами, точнее, для обработки таких архивов ей потребуются
бОльшие ресурсы. Если подобное сообщение получено во время обработки
одного из "старых" форматов, и "родной" архиватор его правильно
обрабатывает, не находя ошибок, можно порекомендовать отправить такой
архив к разработчикам AVP.

Сообщение "Архив XXXXX закрыт паролем" говорит о том, что запароленные
архивы не обрабатываются. Попробуйте вспомнить пароль и распаковать такой
архив в отдельный каталог для последующей проверки его содержимого.

Для лечения архивов можно порекомендовать такой путь - аккуратная
распаковка в отдельном каталоге, лечение и упаковка снова. Разработчики
AVP обещают сделать поддержку лечения внутри архивов в будущей версии
4.0, а пока - только поиск.

Это одна из немногих баз стандартного комплекта AVP, отключением которой
можно рискнуть в условиях нехватки ресурсов.

По аналогии с UNPACK.AVC - если нет ключа или просрочена лицензия, база не
используется.

© faqs.org.ru