Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Раздел Проверка

Думаю, для вас не будет откровением, что данный раздел диалога НАСТРОЙКА предназначен для настройки механизма проверки на вирусы, запускаемого пользователем вручную.

Данный раздел позволяет одновременно настроить полную и быструю проверку на вирусы. Чтобы настроить эти типы проверки отдельно, воспользуйтесь подразделами данного раздела. Для этого просто выберите рекомендуемый уровень безопасности или измените настройки вручную, нажав кнопку НАСТРОЙКА.

Полная проверка При всех уровнях безопасности задействуются технологии iSwift и iChecker. А помимо обычных файлов проверке будут подвергаться все архивы, все установочные пакеты и все вложенные OLE-объекты. При этом, помимо поиска вирусов будет выполнен сигнатурный поиск уязвимостей и руткитов.

• НИЗКИЙ. Определение того, проверять файл или нет, выполняется по формату файла. При этом проверяются только новые и измененные файлы. А сам процесс проверки будет остановлен в том случае, если он длится более 3 часов. Эвристический анализ при проверке выполняться не будет.
• РЕКОМЕНДУЕМЫЙ. Проверяются все файлы, независимо от расширения или формата. При проверке выполняется поверхностный эвристический анализ.
• ВЫСОКИЙ. Проверяются все файлы, независимо от расширения или формата. Также проверяются почтовые сообщения. При проверке выполняется средний эвристический анализ.

Быстрая проверка При всех уровнях безопасности задействуются технологии iSwift и iChecker. А помимо обычных файлов проверке будут подвергаться все архивы, все установочные пакеты и все вложенные OLE-объекты. При этом, помимо поиска вирусов будет выполнен поиск руткитов. Все остальные настройки при изменении уровней безопасности изменяются точно так же, как и при полной проверке на вирусы. То есть, быстрая проверка отличается от полной только тем, что в процессе проверки не выполняется поиск уязвимостей в программном обеспечении.

Раздел Обновление

В разделе ОБНОВЛЕНИЕ содержится не очень много настроек. Нажав кнопку НАСТРОЙКА, вы всего лишь можете настроить ручное обновление вирусных баз (вкладка РЕЖИМ ЗАПУСКА), изменить региональные настройки (вкладка ИСТОЧНИК). А кроме того…

• Указать источник, откуда KIS будет скачивать обновления (вкладка ИСТОЧНИК). По умолчанию используется сервер обновлений Лаборатории Касперского (HTTP://DOWNLOADS1.KASPERSKY-LABS.COM, HTTP://DOWNLOADS2.KASPERSKY-LABS.COM, HTTP://DOWNLOADS3.KASPERSKY-LABS.COM, HTTP://DOWNLOADS4.KASPERSKY-LABS.COM или HTTP://DOWNLOADS5.KASPERSKY-LABS.COM).
• По умолчанию программа скачивает как обновления вирусных баз, так и обновления компонентов компьютера. Но вы можете указать, чтобы KIS скачивал только обновления вирусных баз (вкладка ДОПОЛНИТЕЛЬНО). Точнее, не только обновление вирусных баз, а обновление всех баз программы. Ведь помимо вирусных баз в состав KIS входят база анти-фишинга, база URL-адресов вредоносных сайтов, база для блокирования баннеров, база сетевых пакетов, которые используются для сетевых атак, и т.д.

  Несомненно, антивирусы — тоже программы. И ничего программного им не чуждо. Например, в антивирусных программах также находят уязвимости. Так, в первом полугодии 2008 года (по данным SecurityLab) было опубликовано 20 уведомлений об уязвимостях в антивирусных программах. Из которых 6 уязвимостей могли эксплуатироваться локально, 4 уязвимости только из локальной сети и 10 уязвимостей — удаленно. А с 2005 по 2007 год, по данным Secunia, было обнаружено 170 уязвимостей.

• По умолчанию после скачивания обновлений выполняется проверка всех зараженных объектов, которые находятся в карантине (вкладка ДОПОЛНИТЕЛЬНО). Так как программа надеется, что после получения новых обновлений она сможет вылечить зараженные объекты (если объект удается вылечить, он автоматически перемещается из карантина в исходную папку). Но если вы уже не верите в это, то можете отключить данную возможность.

Еще раз обратите внимание на область РЕГИОНАЛЬНЫЕ НАСТРОЙКИ, расположенную на вкладке ИСТОЧНИК диалога НАСТРОЙКА ОБНОВЛЕНИЯ. С ее помощью KIS определяет предпочтительный сервер, откуда будут скачаны обновления вирусных баз. Серверы Лаборатории Касперского находятся в разных уголках мира. И региональные настройки помогают выбрать ближайший из них, что позволит увеличить скорость загрузки обновлений.

По умолчанию переключатель РЕГИОНАЛЬНЫЕ НАСТРОЙКИ установлен в положение ОПРЕДЕЛЯТЬ АВТОМАТИЧЕСКИ. То есть, KIS будет брать сведения о региональных настройках из реестра операционной системы. Но вы можете самостоятельно выбрать регион, в котором вы находитесь. Например, можно попробовать изменить регион, если сервер, с которого вы скачиваете обновления, постоянно оказывается перегружен.

И напоследок давайте еще раз рассмотрим варианты обновления. Как было сказано ранее, существует ручной режим обновления и автоматический режим. При ручном режиме вы самостоятельно указываете периодичность обновления. А при автоматическом режиме дату и время следующего обновления определяет сама программа.

По умолчанию в автоматическом режиме обновление выполняется каждые 2 часа (если в данный момент получить обновления не удается, тогда процесс обновления переносится на следующие «через два часа»). Однако при сетевых эпидемиях эта периодичность может быть изменена. Для этого вместе с обновлениями вирусных баз программа скачивает файл updcfg.xml. Он то и хранит в себе время, когда должно произойти следующее обновление.

Раздел Параметры

Данный раздел содержит в себе 5 настроек, а также множество подразделов — целых 6. Хотелось бы сразу перейти к подразделам, но давайте, все же, рассмотрим некоторые настройки раздела ПАРАМЕТРЫ.

• ВКЛЮЧИТЬ САМОЗАЩИТУ. Ни в коем случае не снимайте данный флажок. Он определяет, будет ли KIS защищать свои файлы и параметры реестра от несанкционированного изменения. Если вы отключите защиту, тогда вредоносные программы легко смогут вывести программу KIS из строя.
• УСТУПАТЬ РЕСУРСЫ ДРУГИМ ПРИЛОЖЕНИЯМ. Данный флажок определяет, будет ли программа KIS, при выполнении обновления, проверки на вирусы и т.д. уступать системные ресурсы другим приложениям, которым они требуются. Если отключить данную возможность, тогда KIS может забрать под свои нужды, допустим, всю производительность вашего процессора. И тогда другие программы будут работать с подтормаживанием, либо вообще не смогут работать до тех пор, пока KIS не закончит проверку на вирусы и т.д.
• НЕ ЗАПУСКАТЬ ПРОВЕРКИ ПО РАСПИСАНИЮ ПРИ РАБОТЕ АККУМУЛЯТОРОВ. Данный флажок говорит о заботе разработчиков KIS о пользователях ноутбуков. Как вы уже догадались, он позволяет отключить автоматический запуск проверки на вирусы в том случае, если ноутбук в данный момент не подключен к сети питания.

Подраздел Сеть

В данном подразделе есть одна маленькая кнопка, о которой вы уже знаете. Это кнопка НАСТРОЙКА ПРОКСИ-СЕРВЕРА.

Контролируемые порты Также в подразделе СЕТЬ есть переключатель КОНТРОЛИРУЕМЫЕ ПОРТЫ, который позволяет указать, какие порты вашего компьютера будут контролироваться брандмауэром, родительским контролем, почтовым и веб-антивирусом, АНТИ-СПАМОМ. По умолчанию контролируются только следующие порты: 25, 465,110, 995, 119, 563, 143, 993, 443, 80, 81, 82, 83, 8888, 8000, 1080, 7900, 8080, 8088, 3128, 11523, 5190, 1863. Обратите внимание, если вы выходите в Интернет через порт, не перечисленный в этом списке, тогда ваше подключение к Интернету не будет контролироваться РОДИТЕЛЬСКИМ КОНТРОЛЕМ и другими компонентами KIS. Поэтому вам нужно либо сменить порт для выхода в Интернет, либо добавить его в список контролируемых.

Анализ сетевых портов Если помните, в этом подразделе есть флажок, который нам уже встречался — ПОКАЗЫВАТЬ МОНИТОР "АНАЛИЗ СЕТЕВЫХ ПОРТОВ". Именно его мы использовали для того, чтобы отобразить кнопку АНАЛИЗ СЕТЕВЫХ ПАКЕТОВ в разделе ФИЛЬТР СОДЕРЖИМОГО вкладки ЗАЩИТА.

Проверка защищенных соединений И последняя область данного подраздела — область ПРОВЕРКА ЗАЩИЩЕННЫХ СОЕДИНЕНИЙ, содержащая в себе флажок ПРОВЕРЯТЬ ЗАЩИЩЕННЫЕ СОЕДИНЕНИЯ и кнопку УСТАНОВИТЬ СЕРТИФИКАТ. С их помощью можно включить защиту конфиденциальных данных, передаваемых по защищенным SSL-соединениям.

Большинство антивирусных продуктов не проверяет SSL-трафик на вирусы. Поэтому он часто используется злоумышленниками для распространения вредоносных программ. И чтобы запретить распространение вредоносных программ таким способом, вы можете включить проверку защищенных соединений.

В этом случае при обнаружении защищенного соединения KIS сообщит вам о своих находках, и предложит вам либо пропустить соединение без его проверки на вирусы, либо выполнить проверку на вирусы. Рекомендуется проверять на вирусы только защищенные соединения с подозрительными сайтами.

Для того чтобы выполнить проверку на вирусы, KIS подменяет запрашиваемый сертификат безопасности самоподписанным сертификатом. В некоторых случаях это действие может привести к невозможности установки защищенного соединения. В этом случае попробуйте соединиться еще раз, но на этот раз отключите проверку на вирусы.

По умолчанию проверка защищенных соединений отключена. И чтобы включить ее, вам придется очень сильно постараться. Особенно, если вы пользуетесь браузером, отличным от Internet Explorer. С другой стороны, лучше этого не делать без особой нужды. Так как в некоторых случаях это может привести к невозможности загрузки ни в чем не повинных сайтов и к невозможности дальнейшей работы различных программ.

Во первых, вам придется установить флажок ПРОВЕРЯТЬ ЗАЩИЩЕННЫЕ СОЕДИНЕНИЯ, после чего нажать на кнопку УСТАНОВИТЬ СЕРТИФИКАТ, чтобы в браузер Internet Explorer был установлен сертификат Лаборатории Касперского. После того, как вы нажмете на кнопку УСТАНОВИТЬ СЕРТИФИКАТ перед вами отобразится диалог СЕРТИФИКАТ, в котором нужно нажать на кнопку УСТАНОВИТЬ СЕРТИФИКАТ и следовать инструкциям появившегося мастера.

Если же вы пользуетесь другим браузером, тогда помимо установки в Internet Explorer вам придется установить сертификат Лаборатории Касперского и в свой браузер. Делать это, скорее всего, придется вручную. Для этого импортируйте сертификат с помощью диалога настроек своего браузера. Сертификат Лаборатории Касперского находится в каталоге %AllUsersProfile%\Kaspersky Lab\AVP8\Data\Cert и называется (fake)Kaspersky Anti-Virus personal root certificate.cer.

Сертификат (fake)Kaspersky Anti-Virus personal root certificate.cer будет присутствовать в каталоге только в том случае, если вы уже установили его в браузер Internet Explorer.

Подраздел Угрозы и исключения

В данном подразделе вы сможете найти всего две возможности.

Угрозы Во-первых, здесь можно выбрать угрозы, от которых вас должен защищать KIS (вирусы, черви, троянские программы, другие вредоносные программы, рекламные программы, программы автодозвона, подозрительные упаковщики, многократно упакованные объекты, другие программы).

По этому поводу у читателя могут возникнуть вопросы лишь к подозрительным упаковщикам. Что за упаковщики такие? Дело в том, что некоторые вирусы сжаты специальными упаковщиками, которые в мирных целях никогда не применяются (по крайней мере, до сих пор таких применений не наблюдалось). Как правило, такие упаковщики распаковывают файлы динамически в системную память.

Хотя нет, также не совсем понятно, что значит «другие программы». Как правило, под этот термин подпадают популярные полезные программы, которые в руках злоумышленника могут нанести непоправимый вред своему же хозяину (то есть, вам и вашему компьютеру).

Доверенная зона Во-вторых, нажав на кнопку ДОВЕРЕННАЯ ЗОНА, здесь можно сформировать вашу доверенную зону. Но это мы уже умеем делать...

Подраздел Уведомления

Наиболее интересная возможность данного подраздела — возможность настроить отправку уведомлений об определенных событиях (например, устаревших вирусных базах, сетевой атаке, обнаружении вредоносного ПО и т.д.) на указанный адрес электронной почты.

Для этого установите флажок ОТПРАВЛЯТЬ ПОЧТОВЫЕ СООБЩЕНИЯ О СОБЫТИЯХ, после чего воспользуйтесь кнопкой НАСТРОЙКА E-MAIL, чтобы указать адрес электронной почты отправителя и получателя, а также информацию для доступа к почтовому серверу, с помощью которого электронные сообщения будут отправляться. В качестве почтового сервера можно указывать как внутренний почтовый сервер компании, так и любой почтовый сервер в Интернете. Например, если у вас есть учетная запись на почтовом сервере Mail.ru, вы можете использовать для отправки писем ее.

Также обратите внимание на кнопку НАСТРОЙКА. С ее помощью отображается диалог УВЕДОМЛЕНИЯ, содержащий список всех событий, о возникновении которых может уведомлять KIS. Для каждого из событий вы можете установить флажки ЭКРАН (выводить уведомление о событии на экран), ЗВУК (озвучивать возникновение события), E-MAIL (при возникновении события отправлять сообщение по электронной почте).

Подраздел Вид

А здесь можно настроить внешний вид KIS. Вы можете не только настроить значок KIS в области уведомлений, но и указать путь к папке с альтернативным внешним видом основного окна программы. Стандартная оболочка KIS находится в каталоге SKIN папки с программой. На ее основе вы можете создать свою оболочку для программы.

Изменение параметров интерфейса KIS не сохраняется при восстановлении параметров работы по умолчанию.

Технологии iSwift и iChecker

Отдельно хотелось бы поговорить о технологиях проверки на вирусы, которые поддерживает файловый антивирус. Это технологии iSwift и iChecker.

iChecker Технология iChecker используется для того, чтобы исключить из проверки на вирусы отдельные файлы (которые ранее уже проверялись), тем самым ускорив процесс проверки. Для того чтобы решить, проверять файл или нет, программа определяет дату выпуска своих вирусных баз, дату предыдущей проверки файла, а также изменились ли настройки программы KIS, относящиеся к проверке на вирусы. Например, если конкретный файл с момента последней проверки не изменился (созданная ранее для файла контрольная сумма совпадает с созданной в данный момент), если вы не обновляли вирусные базы приложения и не меняли настроек KIS, тогда файл повторно проверяться не будет.

Технология iChecker не может работать с файлами большого размера (точнее, может, но файлы больших размеров быстрее проверить на вирусы, чем определить, изменялись они со времени последней проверки или нет), а также она не способна работать с файлами, формат которых неизвестен KIS. На данный момент поддерживаются только файлы форматов EXE, DLL, LNK, TTF, INF, SYS, COM, CHM, ZIP, RAR.

iSwift Технология iSwift является улучшенной версией технологии iChecker.

Она может работать только с файлами, расположенными в файловой системе NTFS, и привязана к конкретному расположению файла в файловой системе. Для этого данная технология сверяет NTFS-индентификаторы файлов. И если NTFS-индентификатор изменился с момента последнего доступа к файлу, значит изменилось и само содержимое файла.

Из-за этих ограничений рекомендуется использовать сразу обе эти технологии.

Настройка технологий Технологии iSwift и iChecker применяются в работе файлового антивируса и при ручной проверке компьютера на вирусы. То есть, включать/отключать их можно отдельно для каждого из этих компонентов. Для файлового антивируса это делается на вкладке ДОПОЛНИТЕЛЬНО диалога ФАЙЛОВЫЙ АНТИВИРУС (открыть его можно с помощью кнопки НАСТРОЙКА напротив флажка ВКЛЮЧИТЬ ФАЙЛОВЫЙ АНТИВИРУС раздела НАСТРОЙКА/ЗАЩИТА/АНТИВИРУС). Для ручной проверки на вирусы это делается на вкладке ДОПОЛНИТЕЛЬНО диалога ПРОВЕРКА (открыть его можно с помощью кнопки НАСТРОЙКА раздела НАСТРОЙКА/ПРОВЕРКА).

По умолчанию обе технологии должны использоваться. Поэтому вам остается только убедиться, что в вашем случае они действительно используются.

Проверка работоспособности

После всех манипуляций с настройками нам осталось только проверить, не натворили ли мы чего. Вдруг после нашего вмешательства компоненты KIS вообще перестали обнаруживать вирусы?

Антивирусы Проверить работоспособность антивирусов, входящих в поставку KIS, можно с помощью специального тестового файла Eicar. Прежде всего, попробуйте создать текстовый документ, записав в него строку X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*, после чего сохранив под любым именем. Ну как, антивирус обнаружил вирус? Нет? Тогда попробуйте изменить расширение файла на COM. Что, теперь нашел? Отлично, значит файловый антивирус работает. Какие еще можно сделать выводы? Как вы думаете, почему KIS не нашел вирус в файле с расширением TXT?

Теперь попробуйте в Интернете обратиться к этому адресу — HTTP://SUPPORT.KASPERSKY.RU/DOWNLOADS/EICAR/EICAR.ZIP. Это точно такой же файл, который мы только что создали. Если KIS всполошился, значит веб-антивирус также работает.

Нам осталось только послать тестовый вирус себе по электронной почте, чтобы проверить работоспособность почтового антивируса.

Подробнее о тесте Eicar и его разновидностях можно прочитать в справке по программе KIS.

Анти-спам Кстати, не отходя далеко, вы также можете проверить работоспособности компонента АНТИ-СПАМ. Для этого пошлите себе сообщение с текстом SPAM IS BAD DO NOT SEND IT — KIS должен определить такое сообщение как спам.

Сетевой экран Если уж проверять — так полностью. Так что давайте не будем останавливаться на достигнутом, и продолжим наши приключения проверкой сетевого экрана. Для того, чтобы это сделать, вам придется скачать дополнительную программу — HTTP://SUPPORT.KASPERSKY.RU/DOWNLOADS/KAV5/KLTPS.EXE. Данная программа позволяет послать на любой компьютер в сети безобидный сетевой пакет, который должен определяться KIS как сетевая атака под названием NOT-AN-ATTACK:KL-TEST-PACKET. Если KIS не сообщает о сетевой атаке, значит пришла пора проверить настройки компонента СЕТЕВОЙ ЭКРАН.

Продолжение следует