faqs.org.ru

 Главная > Программное обеспечение > Антивирусы >

AVP FAQ: Антивирусные базы - Часть 2

From: Kaspersky Lab <Kaspersky.Lab@f156.n5020.z2.fidonet.org>
Date: Wed, 12 Jul 2000 11:48:00 +0400
Area: fido7.avp.support

ЧаВо:  Попытка ответа на ЧАсто задаваемые ВОпросы. Часть 5/6
Тема:  Антивирусные базы - Часть 2.
Версия:  2.0.0  от 10-FEB-2000
Источники: Документация к AVP, Вирус-лист AVP, система подсказок ("F1"),
  "Вирусная Энциклопедия", собственный опыт.
Автор:  Андрей Сатин
Адрес для контактов: avp.support@f1-help.net, 2:5020/1375.777,  /156.77
---------------------------------------------------------------------------
Q. CA.AVC.

A. Модуль "эвристического анализа", Code Analyzer. "В лицо" не знает ни
одного вируса или троянца, но с подозрением изучает любую возможную
вирусную активность (разбирает КОД программы). Здесь игра в записи/вирусы
обратная - два десятка записей о "подозрениях" покрывают 95-98% новых,
неизвестных вирусов.

При работе этот модуль выводит сообщения типа: "Подозрение на вирус типа
Type_BootComExeTSR", "Лечение невозможно". Вирус (если это действительно
вирус) неизвестен, поэтому корректное лечение в данном случае невозможно.
AVP может собрать файлы с  "подозрениями на вирус" в отдельную папку для
последующего изучения...

Этот модуль отключается, если у Вас закончилась лицензия или если Вы
используете AVP без ключевого файла. Отключение этой базы вручную не
рекомендуется.
---------------------------------------------------------------------------
Q. MAIL.AVC.

A. Модуль форматов почтовых программ, умеет работать с локальными
почтовыми папками очень многих популярных почтовых систем. Умеет работать
не только с почтой Интернет, и не только от Microsoft (хотя теперь понимает
и базы MS Outlook/Outlook Express 5), но и, например, с FIDOшными базами.

По своей сути база данных почтовых сообщений - тот же архив, имеющий
многоярусную структуру со сжатыми и зашифрованными секциями. Этот "архив"
разбирается на отдельные сообщения и проверяется как тело письма, так и
прикрепленные файлы, в т.ч. UUE, mime64 и прочих.

И также, аналогично работе с архивами, лечение почтовых ящиков не
производится. AVP (пока) не лечит почтовые базы.

И еще одно существенное замечание: "по умолчанию" AVPLite не проверяет
почту, для проверки почтовых баз и почтовых форматов для AVPLite
необходимо задавать дополнительные ключи /MB и /MP.

При проверке рабочих станций, не участвующих в обмене почтовыми
сообщениями, подключение этой базы нецелесообразно. Эта база - еще один
кандидат на временное отключение, возможность сэкономить память при
проверке под DOS'ом.

По аналогии с UNPACK.AVC - если нет ключа или просрочена лицензия, база не
используется.
---------------------------------------------------------------------------
Q. MALWARE.AVC.

A. Этот модуль содержит методы обнаружения "вредных" программ, к которым
смело можно отнести конструкторы вирусов и всякие крэкеры, ломалки паролей
и пр. Кроме подобных вещей в эту базу занесены различные программы-шутки,
сообщающие, например, изумленному пользователю о форматировании винчестера,
стирании важной информации и прочих "напастях". На самом деле ничего,
кроме вывода подобных интригующих сообщений, такие программы не делают, но
и этого достаточно, чтобы раз и навсегда определить подобные действия, как
неумную шутку и предотвратить поток писем с подобными "вирусами". Сюда же
попали и мистификации, так называемые Hoax'ы. Вирусами они, конечно же не
являются, но по природе своей сродни "шуткам".

Комментировать способ лечения подобных объектов ("Удаление") вряд ли
необходимо.

Этот модуль можно отнести к необязательным при сканировании в жестких
условиях нехватки ресурсов.
---------------------------------------------------------------------------
Q. EICAR.AVC.

A. База предназначена для единственной цели: продемонстрировать способность
AVP ловить вирусы в отсутствие таковых. Т.е. тестовый "вирус", EICAR,
которого, она и отлавливает, вирусом не является.

Приведенная ниже строка и есть этот "вирус".

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Если эту строку поместить в файл, который сохранить с расширением *.COM,
например - TEST.COM, то AVP покажет все свое умение по детектированию.

При реальном поиске в "боевых" условиях (AVPLite с загрузочной дискеты) я
отключаю использование этой базы ВСЕГДА!
---------------------------------------------------------------------------
Q. CIH-TRAC.AVC.

A. Ранее, до ноября 1999 года, эта база не входила в стандартный комплект
баз AVP. Многочисленные просьбы пользователей сделали свое дело - теперь
эта база тихо лежит в КУМУЛЯТИВНОМ комплекте баз. Обращаю внимание на тот
факт, что в AVP.SET она не записана, ее подключение целесообразно в
исключительно редких случаях. Предназначена она для детектирования СЛЕДОВ
вируса Win95.CIH, которые могли остаться в файлах при неправильном лечении
другими антивирусами (корректнее сказать - устаревшими их версиями).

Дело в том, что некоторые старые версии антивирусов не удаляли тело вируса
из файлов, а просто "вырывали ему зубы". Многие файлы, "вылеченные" таким
способом, становились неработоспособными, поскольку менялась контрольная
сумма файла. При усиленных критериях поиска некоторые антивирусы (в том
числе и AVP) "ругались" на эти "следы", но ничего сделать не могли. В
стандартном режиме AVP их пропускал - вируса-то уже нет!
Когда поток таких "недолеченных" файлов стал нарастать, разработчики AVP
опубликовали специальную базу-дополнение CIH-TRAC.AVC, единственная запись
которой и позволяла детектировать и удалять эти "следы", дотирать тело
вируса в свободных секциях PE-файлов Win32.

Эта база имеет всего одну запись для детектирования "следов" вируса
Win95.CIH (сообщение этого модуля: "Maybe traces of CIH") и не нужна для
обычной работы. Напротив, в избыточном режиме она сильно замедляет процесс
сканирования и может привести к ложным срабатываниям. А детектирование
ВСЕХ разновидностей Win95.CIH, других вирусов и троянцев, использующих
аналогичные технологии уже давно включено в ОСНОВНОЙ комплект баз.

При избыточном поиске (и отключенной базе CIH-TRAC.AVC) "следы" вируса
Win95.CIH могут быть детектированы как Trojan.FlashKiller со всеми
вытекающими отсюда последствиями. Приговоренный к удалению (троянцы не
лечатся, а удаляются) файл можно спасти, если при подключенной базе
CIH-TRAC.AVC диагноз будет изменен на "Maybe traces of CIH". Вот эти
"traces" можно выкусить из файла только этой базой. Подключение ее
имеет смысл для ПОВТОРНОЙ проверки "смертников" с диагнозом
Trojan.FlashKiller.
---------------------------------------------------------------------------
Q. NOCIH.EXE

A. Отдельный модуль, не являющийся антивирусной базой и не входящий в
комплекты поставки программ семейства AVP. Был написан почти год назад для
детектирования и лечения вируса Win95.CIH в памяти. На сегодняшний день
является атавизмом, поскольку вирусы этого семейства спокойно детектируются
и лечатся стандартным комплектом антивирусных баз.

Вернуться в раздел "Антивирусы" - Обсудить эту статью на Форуме
Главная - Поиск по сайту - О проекте - Форум - Обратная связь

© faqs.org.ru