Удаление зараженных архивов модулем Dr Web Scanner

Обновлено: 20.11.2024

Андреас Маркс сообщает о многочисленных ложноположительных проверках антивирусного программного обеспечения.

Авторское право © 2005 Virus Bulletin

Введение

Сбор файлов

Два года спустя мы создали коллекцию из более чем 15 000 ГБ (15 ТБ) чистых файлов, чтобы улучшить наши ложноположительные тесты. Мы использовали два основных источника для этих файлов: во-первых, мы прочитали около 10 000 компакт-дисков и сохранили копии образов ISO на нескольких системах хранения. Во-вторых, мы зеркалируем более 150 различных FTP-серверов и загружаем все новые файлы ежедневно или еженедельно.

Наличие такого огромного набора тестов создает некоторые проблемы. Например, пара известных компаний действительно выпустила вирусы или другое вредоносное ПО вместе со своим программным обеспечением. Однако количество таких файлов невелико (около 150) и незначительно по сравнению с несколькими миллиардами чистых файлов. Мы оставили зараженные файлы внутри коллекции, так как все антивирусные сканеры должны помечать их, а если они этого не делают, мы знаем, что некоторые задачи сканера могли завершиться ошибкой. Некоторые из этих файлов, по-видимому, были заражены CIH в прошлом и впоследствии очищены без удаления всех частей вируса, что делает их непригодными как для истинных, так и для ложноположительных тестов.

Одна из самых серьезных проблем связана с тем, что некоторые антивирусные компании выпускают обновления не реже одного раза в день или даже ежечасно. Это означает, что результаты тестов довольно быстро устаревают, так как на ПК, используемых для такого теста — 15x Pentium IV 2.8 GHz и 15x Athlon 64 3500+ — для сканирования всей коллекции, всего одним сканером, потребуется пара дней. Если бы на каждый сканер уходила в среднем одна неделя (с учетом частых проблем, таких как сбои и необходимость перезагрузки), нам потребовалось бы более полугода только для тестирования количества сканеров, включенных в Вирусный бюллетень. последние стопроцентные тесты VB.

Проблемы с WinRar

Чтобы обойти эту проблему, мы сосредоточились только на некоторых ключевых областях. В прошлом у меня было несколько дискуссий с автором WinRar, в частности, об усилении защиты от вирусов в WinRar (некоторые вредоносные программы используют архивы RAR вместо ZIP-файлов) и о большом количестве ложных срабатываний в его программном обеспечении, вызванных антивирусное программное обеспечение. Последний файл readme WinRar 3.50 гласит:

Первый тестовый запуск.

21 августа 2005 г. мы протестировали антивирусные инструменты следующих поставщиков:

< /tr>< /tr>< tr>

Из 27 протестированных сканеров шесть сообщили о 111 заражениях, а два из них сообщили о 709 «подозрительных» файлах (см. Таблицу 1, левый столбец). Некоторые примеры:

Avast сообщил, что в файле wrar300r.exe\Zip.sfx был обнаружен «признак Win32:Trojan-gen.».

AVG обнаружил «wr330sc.exe — троянский конь Agent.M».

ClamAV сообщил: «wr341ro.exe: обнаружен файл Oversized.RAR» и «wr32b1el.exe: обнаружен файл Trojan.Spy.Banker.CY».

eSafe пожаловался на файл «wr341cz.exe — заражен подозрительным трояном/червем».

Обнаружение Fortinet включало: «wr341cz.exe» заражен вирусом «W32/PoeBot.D-bdr» и «wr34b1tr.exe» заражен вирусом «W32/Bancos.GP-tr».

Компания Ikarus сообщила, что «wr311sc.exe — найдена подпись Win32.Elkern.C».

Одним из выводов QuickHeal было «pk33b1.exe — Infected: (TrojanSpy.Bancos.B)».

С первого взгляда на «имена вредоносных программ» кажется, что (самораспаковывающиеся) архивы WinRar часто используются для упаковки вредоносных программ, таких как трояны, ворующие пароли, или программы Backdoor. Кроме того, похоже, что некоторые подписи просто созданы неправильно, что приводит к ложным срабатываниям при обнаружении заглушки WinRar. Кроме того, некоторые сканеры слишком параноидальны со своими эвристиками и создают слишком много ложных срабатываний, если файлы просто упакованы во время выполнения.

Время сканирования также было очень интересным, так как некоторые инструменты действительно проверяли все файлы внутри архивов WinRar (которые большую часть времени были самораспаковывающимися файлами RAR), в то время как другие проверяли только небольшую заглушку Win32 архива SFX, без проверки файлов внутри.

Например, Sophos оказался самым быстрым сканером со временем сканирования всего 30 секунд, Trend потребовалось 40 секунд, Fortinet около 700 секунд (11,5 минут), BitDefender около 750 секунд (12,5 минут). ), Kaspersky 1300 секунд (22 минуты), Hauri около 2400 секунд (40 минут) и Proventia-VPS 3200 секунд (53 минуты). Следует отметить, что Proventia-VPS — это не антивирусный сканер, работающий с сигнатурами, а поведенческий продукт, требующий более длительного времени сканирования. По требованию времени сканирования можно легко увидеть, какой из сканеров действительно проверил все 42 843 файла внутри 896 (самораспаковывающихся) EXE-файлов. Если антивирусная программа не просканирует весь самораспаковывающийся архив WinRar, она не сможет найти внутри него зараженные файлы и, следовательно, вероятность ложных срабатываний будет меньше.

. И вторая попытка

В день первоначального тестирования мы уведомили антивирусные компании, обсудили с ними результаты и предоставили образцы файлов тем, кто их запрашивал. Затем, 11 сентября, ровно через три недели после первого теста, мы повторили ложноположительный тест с тем же набором файлов (при этом новых версий WinRar не было выпущено).

Количество нарушителей спокойствия значительно уменьшилось, но по-прежнему оставалось много файлов, помеченных многими протестированными программами как "зараженные" или "подозрительные" (см. Таблицу 1, правая колонка).

Разумеется, все эти антивирусные компании снова получили уведомление. Большое количество ложных срабатываний, генерируемых ClamAV, безусловно, можно считать критическим. Однако 203 "подозрительных" предупреждения от eSafe и 244 предупреждения от Fortinet тоже не очень хороши.

Цена ложных срабатываний

Мне кажется, что файлы нужно обрабатывать более тщательно, особенно в случае установщиков (таких как заглушка WinRar) или механизмов выполнения, как показано в следующем примере.

После публикации нашего отчета мы получили ответ от F-Secure, поясняющий, что файл был создан с помощью GameMaker 4.3, который также использовался червем Franvir. Буквально через несколько минут пришло письмо от «Лаборатории Касперского», в котором объяснялось, что все игры, созданные с помощью этого инструмента, используют один и тот же интерпретатор-заглушку — отличается только сегмент данных с игровой логикой. Через три часа пришло электронное письмо от команды NOD32, подтверждающее ложное предупреждение и указывающее, что оно будет исправлено при следующем обновлении движка. Однако ни одна из других компаний не ответила и не исправила проблему.

Это ложное срабатывание имело большое значение, поскольку компьютерный журнал только что выпустил несколько сотен тысяч обложек компакт-дисков с этими играми. Всего через пару часов они бы уничтожили все компакт-диски, чтобы убедиться, что они не собираются распространять возможно зараженное программное обеспечение. В результате задержки с доставкой журналов (было необходимо удалить все «старые» компакт-диски вручную, а вновь созданные компакт-диски должны были быть вставлены) и затрат на создание новых компакт-дисков, по оценке журнала, причиненный ущерб. из-за ложного срабатывания могла легко достичь уровня в несколько сотен тысяч евро.

Заключение

Многие антивирусные компании автоматизировали процесс создания сигнатур для статических вредоносных программ. Из-за того, что многие вредоносные программы в какой-то момент используют самораспаковывающиеся архивы WinRar, количество ложных срабатываний в этой области быстро росло. Ложные срабатывания могут не только дорого обойтись компаниям, если они обнаружат какие-то «подозрительные» инструменты на своем жестком диске, но случай с компакт-дисками с обложками журналов иллюстрирует, как еще ложные срабатывания могут оказать значительное влияние на бизнес. Следует отметить, что WinRar и GameMaker — это всего лишь два примера того, чего может быть гораздо больше.

Поэтому для создания высококачественного программного обеспечения необходима большая коллекция "заведомо хороших" файлов. Некоторым небольшим коммерческим AV-компаниям и разработчикам проекта ClamAV с открытым исходным кодом срочно нужно что-то сделать в этой области.

Хотя уже существуют хорошо работающие процессы для сообщения о новых вредоносных программах и добавления обнаружения для этих файлов, важно добиться такого же высокого качества процессов в случае ложных срабатываний. Мы надеемся, что это уменьшит влияние ложных срабатываний в будущем, и мы сможем удалять файлы, вызывающие ложные срабатывания, быстрее, чем когда-либо прежде.

Защита файловой системы в реальном времени

Монитор файловой системы SpIDer Guard защищает ваш компьютер в режиме реального времени и предотвращает заражение вашего компьютера. SpIDer Guard автоматически запускается при запуске Windows и проверяет файлы при их открытии, запуске или редактировании. SpIDer Guard также отслеживает действия запущенных процессов.

Чтобы включить или отключить монитор файловой системы

<р>1. Откройте меню Dr.Web и выберите Центр безопасности.

<р>2. В открывшемся окне нажмите плитку «Файлы и сеть».

<р>3. Включите или отключите монитор файловой системы SpIDer Guard с помощью переключателя .

Рис. 39. Включение/отключение SpIDer Guard

В этом разделе:

Особенности работы SpIDer Guard

При настройках по умолчанию SpIDer Guard выполняет проверку при доступе файлов, которые создаются или изменяются на жестких дисках, а также всех файлов, открываемых на съемных носителях. Более того, SpIDer Guard постоянно отслеживает запущенные процессы на наличие вирусоподобной активности и в случае обнаружения блокирует вредоносные процессы.

SpIDer Guard не проверяет файлы внутри архивов, почтовых архивов и файловых контейнеров. Если файл в архиве или вложение электронной почты заражен, угроза будет обнаружена при извлечении из архива, когда компьютер не может быть заражен.

По умолчанию SpIDer Guard загружается автоматически при старте Windows и не может быть выгружен во время текущей сессии Windows.

Параметры монитора файловой системы SpIDer Guard

При обнаружении зараженных объектов SpIDer Guard применяет действия в соответствии с заданными параметрами. Настройки по умолчанию оптимальны для большинства случаев. Не изменяйте их без необходимости.

Чтобы открыть параметры SpIDer Guard

<р>1. Убедитесь, что Dr.Web работает в режиме администратора (открыт замок внизу окна программы). В противном случае нажмите на замок .

<р>2. Щелкните плитку SpIDer Guard. Откроется окно параметров компонента.

Рисунок 40. Параметры монитора файловой системы

Сканирование съемных носителей

По умолчанию SpIDer Guard проверяет файлы, которые открываются, изменяются или запускаются на съемных носителях, таких как CD/DVD, флэш-память и т. д. Этот параметр помогает защитить компьютер от вирусов, передаваемых через съемные носители.

Операционная система может регистрировать некоторые съемные носители как жесткие диски (например, переносные жесткие диски USB). Проверяйте такие устройства с помощью Dr.Web Scanner при подключении их к компьютеру.

Вы можете включить или отключить параметры сканирования съемных носителей и блокировки автозапуска для съемных носителей с помощью переключателя в группе параметров параметров сканирования.

Если во время установки с параметром автозапуска возникает какая-либо проблема, рекомендуется временно отключить параметр Блокировать автозапуск для съемных носителей.

Действия при обнаружении угроз

В этой группе вы можете настроить действия, которые Dr.Web будет применять к угрозам, обнаруженным монитором файловой системы SpIDer Guard.

Рисунок 41. Настройка действий, применяемых к угрозам

Действия задаются отдельно для каждого типа вредоносных и подозрительных объектов. Эти действия различаются для разных типов объектов. Рекомендуемые действия установлены по умолчанию для каждого типа объектов. Копии всех обработанных объектов хранятся в Карантине.

К угрозам можно применить следующие действия:

Вылечить, поместить в карантин, если не вылечить

Предписывает восстановить исходное состояние объекта до заражения. Если объект неизлечим или попытка лечения не удалась, этот объект помещается в карантин.

Действие доступно только для объектов, зараженных известным излечимым вирусом, за исключением троянских программ и файлов внутри сложных объектов, таких как архивы, почтовые ящики или файловые контейнеры.

Вылечить, удалить, если неизлечимо

Предписывает восстановить исходное состояние объекта до заражения. Если объект неизлечим или попытка лечения не удалась, этот объект удаляется.

Действие доступно только для объектов, зараженных известным излечимым вирусом, за исключением троянских программ и файлов внутри сложных объектов, таких как архивы, почтовые ящики или файловые контейнеры.

Указывает удалить объект.

Это действие недоступно для загрузочных секторов.

Переместить в карантин

Предписывает переместить объект в определенную папку карантина.

Это действие недоступно для загрузочных секторов.

Предписывает пропустить объект без выполнения каких-либо действий или отображения уведомления.

Действие доступно только для потенциально опасных файлов: рекламное ПО, дозвонщики, шутки, хакерские и потенциально опасные программы.

Режим сканирования SpIDer Guard

Чтобы получить доступ к этому и следующим разделам, нажмите ссылку Дополнительные настройки.

В этой группе настроек вы можете выбрать режим проверки файлов монитора SpIDer Guard.

Оптимальный, используется по умолчанию

В этом режиме SpIDer Guard проверяет объекты только при отслеживании одного из следующих действий:

• Для объектов на жестких дисках — попытка выполнить файл, создать новый файл или добавить запись в существующий файл или загрузочный сектор.

• Для объектов на съемных носителях — попытка доступа к файловым или загрузочным секторам любым способом (запись, чтение, выполнение).

Рекомендуется использовать этот режим после тщательной проверки всех жестких дисков Dr.Web Scanner. При включении этого режима SpIDer Guard предотвращает возможность проникновения новых вирусов и других вредоносных объектов через съемные носители на ваш компьютер, сохраняя при этом производительность, исключая заведомо «чистые» объекты из повторных проверок.

В этом режиме SpIDer Guard проверяет файлы и загрузочные сектора на жестких или сетевых дисках и съемных носителях при любой попытке доступа к ним (создание, запись, чтение, выполнение).

Этот режим обеспечивает максимальную защиту, но значительно снижает производительность компьютера.

Настройки данной группы позволяют задать параметры проверки объектов «на лету» и применяются всегда, независимо от выбранного режима работы SpIDer Guard. Вы можете включить:

• Использование эвристического анализа

• Сканирование программ и модулей для загрузки

• Проверка инсталляционных пакетов

• Проверка файлов на сетевых дисках (не рекомендуется)

• Сканировать компьютер на наличие руткитов (рекомендуется)

• Проверка скриптов, выполняемых с помощью Windows Script Host и PowerShell (для Windows 10, Windows 11)

По умолчанию SpIDer Guard выполняет проверку с использованием эвристического анализа. Если эта опция отключена, SpIDer Guard будет использовать только сигнатурный анализ.

Фоновое сканирование на наличие руткитов

Компонент Антируткит, входящий в состав Dr.Web, обеспечивает возможность фонового сканирования операционной системы на наличие сложных угроз и лечения обнаруженных активных заражений при необходимости.

Если этот параметр включен, Антируткит Dr.Web постоянно находится в памяти. В отличие от проверки файлов SpIDer Guard на лету, проверка на наличие руткитов включает в себя проверку объектов автозапуска, запущенных процессов и модулей, оперативной памяти (ОЗУ), дисков MBR/VBR, системы BIOS компьютера и других системных объектов. .

Одной из ключевых особенностей Антируткита Dr.Web является деликатное отношение к потреблению системных ресурсов (процессорное время, свободная оперативная память и др.), а также учет возможностей аппаратного обеспечения.

Когда Антируткит Dr.Web обнаруживает угрозу, он уведомляет вас об обнаружении и нейтрализует вредоносную активность.

Во время фонового сканирования руткитов файлы и папки, указанные на странице Исключенные файлы, исключаются из сканирования.

Фоновое сканирование на наличие руткитов включено по умолчанию.

Отключение SpIDer Guard не влияет на фоновую проверку. Если опция включена, фоновая проверка выполняется вне зависимости от того, запущен SpIDer Guard или нет.

Для получения подробной информации об определенном параметре щелкните соответствующий элемент на картинке.

Чтобы получить информацию о параметрах, доступных на других вкладках, нажмите на название этой вкладки на картинке

На вкладке Типы файлов вы можете указать дополнительные ограничения для файлов, которые должны быть проверены в соответствии с условиями, указанными на вкладке Параметры сканирования.

В разделе Включить эти файлы в сканирование вы можете выбрать типы файлов, которые будут проверяться защитой:

◆ Режим Все файлы выбран по умолчанию и указывает проверять все файлы в соответствии с условиями, указанными на вкладке Параметры сканирования. Режим обеспечивает максимальную защиту.

◆ Режимы Выбранные типы файлов и По маске имени файла предписывают проверять только те файлы, типы или расширения и имена которых входят в список, указанный в правой части вкладки. Этот список активируется при установке переключателя в соответствующую опцию.

По умолчанию в этот список включены расширения основных типов файлов, которые могут содержать вирусы, и основные типы архивов. Вы можете редактировать этот список.

Чтобы настроить список сканируемых файлов

<р>1. Чтобы добавить файл в список проверенных файлов:

a) Выберите один из следующих вариантов и укажите соответствующие значения для сканируемых объектов:

◆ для установки списка расширений сканируемых файлов установите параметр Выбранные типы файлов и укажите расширения файлов в поле под списком;

◆ чтобы задать группу конкретных файлов, установите параметр По маске имени файла и укажите маску, определяющую их имена, в поле под списком.

Маска определяет шаблон для определения объекта. Он может содержать обычные символы из имен файлов и специальные символы, такие как следующие:

• * заменяет любую (в том числе и пустую) последовательность любых символов;

• ? заменяет любой один символ в указанной позиции.

• Report*.doc определяет все документы Microsoft Word, имена которых начинаются со слова Report, например. ReportFebruary.doc , Report121209.doc и т. д.

• *.exe определяет все исполняемые файлы, т.е. имеющие расширение EXE, например. setup.exe , iTunes.exe и т. д.

• фото. 09.jpg определяет все изображения JPG, имена которых начинаются со слова photo, заканчиваются на 09 и содержат точное количество 4 других символов в середине, например. photo121209.jpg , photoJune09.jpg , photo----09.jpg и т.д.

c) При необходимости повторите шаги a) и b), чтобы добавить другие типы файлов и маски.

<р>2. Чтобы удалить файл из списка проверенных файлов, выберите соответствующий пункт и нажмите Удалить .

<р>3. Чтобы восстановить список по умолчанию, нажмите По умолчанию .

В разделе Форматы файлов вы можете установить режим сканирования для архивов и файлов электронной почты:

◆ Установите флажок Архив, чтобы сканировать файлы в архивах. По умолчанию файлы внутри архивов не проверяются, даже если в списке типов файлов или масок файлов указан тип или маска архивируемого файла (если в архиве есть зараженный файл, вирус обнаруживается защитой во время извлечение архива до того, как он сможет заразить компьютер).

Включение этого параметра приведет к исключительному снижению производительности компьютера.

◆ Установите флажок Файлы электронной почты, чтобы сканировать вложения электронной почты. По умолчанию почтовые ящики не сканируются (если файл внутри почтового вложения заражен, Guard обнаружит вирус во время извлечения вложения, прежде чем он сможет заразить компьютер).

Включение проверки почтовых ящиков приведет к исключительному снижению производительности компьютера.

Чтобы избежать проникновения вирусов через сообщения электронной почты, используйте SpIDer Mail.

  • Plesk Premium Antivirus на базе Dr.Web.
  • Антивирус Касперского.

Оба этих решения обеспечивают сканирование почтового трафика в режиме реального времени и защиту клиентов от вредоносных программ. В этом разделе вы найдете подробную информацию об этих антивирусных решениях.

Антивирус Plesk Premium

Plesk Premium Antivirus поставляется с Plesk в виде пакетов RPM.

Структура каталогов

Корневой каталог: /opt/drweb/

  • /etc/drweb/ — это каталог с различными файлами конфигурации.
  • /etc/drweb/drweb32.ini — файл конфигурации по умолчанию для ядра drwebd.
  • /etc/drweb/drweb_qmail.conf — файл конфигурации для фильтра qmail-queue.
  • /etc/drweb/users.conf хранит конфигурацию для каждого почтового имени, для которого включен антивирус.

Вирусные базы: /var/drweb/bases/*vdb

Каталог карантина: /var/drweb/infected/

Файл журнала: /var/drweb/log/drwebd.log

Управление антивирусом

Сервис Dr.Web представляет собой автономный демон drwebd (также называемый движком), который запускается из скрипта /etc/init.d/drwebd. Вы также можете остановить и снова запустить его с помощью следующей команды:

Примечание: эти команды останавливают и запускают другие службы Plesk: DNS-сервер, почтовый сервер и т. д.

Вы также можете управлять им на странице «Управление службами» в панели администрирования сервера.

Взаимодействие с drwebd осуществляется через клиент Dr.Web. Он может изменять параметры антивируса и запускать проверку файлов. Клиент отображает полный список своих атрибутов, если он запущен без атрибутов. Кроме того, он может извлекать подробную информацию о работе двигателя. Следующая команда выдает информацию о версии Dr.Web и вирусной базе данных.

По умолчанию вирусные базы обновляются каждые 30 минут с помощью задачи cron: /opt/drweb/update/update.pl > dev/null 2>&1

Фильтрация почты

Dr.Web заменяет родной фильтр qmail-queue, используемый для передачи входящих сообщений в очередь qmail, собственной утилитой. Параметры конфигурации утилиты хранятся в файле /etc/drweb/drweb_handler.conf.

Фильтрация Dr.Web активируется на уровне имени почты. Если он включен, он может проверять входящие, исходящие или оба типа сообщений. Информация хранится в файле /etc/drweb/users.conf. Ниже приведен пример трех почтовых имен с разными конфигурациями Dr.Web:

В приведенной выше конфигурации Dr.Web будет проверять наличие вирусов в:

  • Входящие и исходящие сообщения для admin@domain01.tst
  • Входящие сообщения для user01@domain01.tst
  • Исходящие сообщения для user02@domain01.tst

Антивирус Касперского

Антивирус Касперского — это модуль, сканирующий входящий и исходящий почтовый трафик на вашем сервере и удаляющий вредоносный и потенциально опасный код из почтовых сообщений. Чтобы использовать Антивирус Касперского на сервере Plesk, вам необходимо установить модуль Антивируса Касперского, а затем приобрести и установить лицензионный ключ.

Читайте также:

AntiVir (H+BEDV)
Avast (Alwil)
AVG (Grisoft)
BitDefender
ClamAV
Команда (Authentium)
Dr.Web
eSafe (Aladdin)
Fortinet
F-Prot (Frisk)
F-Secure
Хаури
Икарус
Касперский
McAfee
NOD32 (Eset)
(SOFTWIN) Norman
Panda
Proland
Proventia-VPS (ISS)
QuickHeal
Sophos
Symantec
Trend Micro
VirusBuster
eTrust-INO и eTrust-VET (CA)