|
|
From: Kaspersky Lab <Kaspersky.Lab@f156.n5020.z2.fidonet.org>
Date: Wed, 12 Jul 2000 11:48:00 +0400
Area: fido7.avp.support
ЧаВо: Попытка ответа на ЧАсто задаваемые ВОпросы. Часть 5/6
Тема: Антивирусные базы - Часть 2.
Версия: 2.0.0 от 10-FEB-2000
Источники: Документация к AVP, Вирус-лист AVP, система подсказок ("F1"),
"Вирусная Энциклопедия", собственный опыт.
Автор: Андрей Сатин
Адрес для контактов: avp.support@f1-help.net, 2:5020/1375.777, /156.77
---------------------------------------------------------------------------
Q. CA.AVC.
A. Модуль "эвристического анализа", Code Analyzer. "В лицо" не знает ни
одного вируса или троянца, но с подозрением изучает любую возможную
вирусную активность (разбирает КОД программы). Здесь игра в записи/вирусы
обратная - два десятка записей о "подозрениях" покрывают 95-98% новых,
неизвестных вирусов.
При работе этот модуль выводит сообщения типа: "Подозрение на вирус типа
Type_BootComExeTSR", "Лечение невозможно". Вирус (если это действительно
вирус) неизвестен, поэтому корректное лечение в данном случае невозможно.
AVP может собрать файлы с "подозрениями на вирус" в отдельную папку для
последующего изучения...
Этот модуль отключается, если у Вас закончилась лицензия или если Вы
используете AVP без ключевого файла. Отключение этой базы вручную не
рекомендуется.
---------------------------------------------------------------------------
Q. MAIL.AVC.
A. Модуль форматов почтовых программ, умеет работать с локальными
почтовыми папками очень многих популярных почтовых систем. Умеет работать
не только с почтой Интернет, и не только от Microsoft (хотя теперь понимает
и базы MS Outlook/Outlook Express 5), но и, например, с FIDOшными базами.
По своей сути база данных почтовых сообщений - тот же архив, имеющий
многоярусную структуру со сжатыми и зашифрованными секциями. Этот "архив"
разбирается на отдельные сообщения и проверяется как тело письма, так и
прикрепленные файлы, в т.ч. UUE, mime64 и прочих.
И также, аналогично работе с архивами, лечение почтовых ящиков не
производится. AVP (пока) не лечит почтовые базы.
И еще одно существенное замечание: "по умолчанию" AVPLite не проверяет
почту, для проверки почтовых баз и почтовых форматов для AVPLite
необходимо задавать дополнительные ключи /MB и /MP.
При проверке рабочих станций, не участвующих в обмене почтовыми
сообщениями, подключение этой базы нецелесообразно. Эта база - еще один
кандидат на временное отключение, возможность сэкономить память при
проверке под DOS'ом.
По аналогии с UNPACK.AVC - если нет ключа или просрочена лицензия, база не
используется.
---------------------------------------------------------------------------
Q. MALWARE.AVC.
A. Этот модуль содержит методы обнаружения "вредных" программ, к которым
смело можно отнести конструкторы вирусов и всякие крэкеры, ломалки паролей
и пр. Кроме подобных вещей в эту базу занесены различные программы-шутки,
сообщающие, например, изумленному пользователю о форматировании винчестера,
стирании важной информации и прочих "напастях". На самом деле ничего,
кроме вывода подобных интригующих сообщений, такие программы не делают, но
и этого достаточно, чтобы раз и навсегда определить подобные действия, как
неумную шутку и предотвратить поток писем с подобными "вирусами". Сюда же
попали и мистификации, так называемые Hoax'ы. Вирусами они, конечно же не
являются, но по природе своей сродни "шуткам".
Комментировать способ лечения подобных объектов ("Удаление") вряд ли
необходимо.
Этот модуль можно отнести к необязательным при сканировании в жестких
условиях нехватки ресурсов.
---------------------------------------------------------------------------
Q. EICAR.AVC.
A. База предназначена для единственной цели: продемонстрировать способность
AVP ловить вирусы в отсутствие таковых. Т.е. тестовый "вирус", EICAR,
которого, она и отлавливает, вирусом не является.
Приведенная ниже строка и есть этот "вирус".
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Если эту строку поместить в файл, который сохранить с расширением *.COM,
например - TEST.COM, то AVP покажет все свое умение по детектированию.
При реальном поиске в "боевых" условиях (AVPLite с загрузочной дискеты) я
отключаю использование этой базы ВСЕГДА!
---------------------------------------------------------------------------
Q. CIH-TRAC.AVC.
A. Ранее, до ноября 1999 года, эта база не входила в стандартный комплект
баз AVP. Многочисленные просьбы пользователей сделали свое дело - теперь
эта база тихо лежит в КУМУЛЯТИВНОМ комплекте баз. Обращаю внимание на тот
факт, что в AVP.SET она не записана, ее подключение целесообразно в
исключительно редких случаях. Предназначена она для детектирования СЛЕДОВ
вируса Win95.CIH, которые могли остаться в файлах при неправильном лечении
другими антивирусами (корректнее сказать - устаревшими их версиями).
Дело в том, что некоторые старые версии антивирусов не удаляли тело вируса
из файлов, а просто "вырывали ему зубы". Многие файлы, "вылеченные" таким
способом, становились неработоспособными, поскольку менялась контрольная
сумма файла. При усиленных критериях поиска некоторые антивирусы (в том
числе и AVP) "ругались" на эти "следы", но ничего сделать не могли. В
стандартном режиме AVP их пропускал - вируса-то уже нет!
Когда поток таких "недолеченных" файлов стал нарастать, разработчики AVP
опубликовали специальную базу-дополнение CIH-TRAC.AVC, единственная запись
которой и позволяла детектировать и удалять эти "следы", дотирать тело
вируса в свободных секциях PE-файлов Win32.
Эта база имеет всего одну запись для детектирования "следов" вируса
Win95.CIH (сообщение этого модуля: "Maybe traces of CIH") и не нужна для
обычной работы. Напротив, в избыточном режиме она сильно замедляет процесс
сканирования и может привести к ложным срабатываниям. А детектирование
ВСЕХ разновидностей Win95.CIH, других вирусов и троянцев, использующих
аналогичные технологии уже давно включено в ОСНОВНОЙ комплект баз.
При избыточном поиске (и отключенной базе CIH-TRAC.AVC) "следы" вируса
Win95.CIH могут быть детектированы как Trojan.FlashKiller со всеми
вытекающими отсюда последствиями. Приговоренный к удалению (троянцы не
лечатся, а удаляются) файл можно спасти, если при подключенной базе
CIH-TRAC.AVC диагноз будет изменен на "Maybe traces of CIH". Вот эти
"traces" можно выкусить из файла только этой базой. Подключение ее
имеет смысл для ПОВТОРНОЙ проверки "смертников" с диагнозом
Trojan.FlashKiller.
---------------------------------------------------------------------------
Q. NOCIH.EXE
A. Отдельный модуль, не являющийся антивирусной базой и не входящий в
комплекты поставки программ семейства AVP. Был написан почти год назад для
детектирования и лечения вируса Win95.CIH в памяти. На сегодняшний день
является атавизмом, поскольку вирусы этого семейства спокойно детектируются
и лечатся стандартным комплектом антивирусных баз.
© faqs.org.ru