Программа-архиватор не позволяет вылечить файлы от вирусов

Обновлено: 07.07.2024

Если у вас положительный результат теста на COVID-19 и есть одно или несколько заболеваний, повышающих риск серьезного заболевания, может быть доступно лечение. Свяжитесь с медицинским работником сразу после положительного результата теста, чтобы определить, имеете ли вы право на участие в программе, даже если ваши симптомы в настоящее время слабо выражены. Не откладывайте: лечение должно быть начато в течение первых нескольких дней, чтобы оно было эффективным.

Если у вас жар, кашель или другие симптомы, возможно, у вас COVID-19. У большинства людей болезнь протекает в легкой форме, и они могут вылечиться дома. Если вы больны:

Отслеживайте свои симптомы.
Если у вас есть предупреждающий знак (включая проблемы с дыханием), позвоните по номеру 911.

Действия, которые помогут предотвратить распространение COVID-19, если вы больны

Если вы заболели COVID-19 или подозреваете, что у вас может быть COVID-19, следуйте приведенным ниже инструкциям, чтобы позаботиться о себе и помочь защитить других людей в вашем доме и обществе.

Инструмент, помогающий определить, как долго вам нужно находиться в изоляции, карантине или предпринимать другие меры для предотвращения распространения COVID-19.

Оставайтесь дома. У большинства людей с COVID-19 болезнь протекает в легкой форме, и они могут выздороветь дома без медицинской помощи. Не выходите из дома, кроме как для получения медицинской помощи. Не посещайте общественные места и не посещайте места, где нельзя носить маску.
Берегите себя. Отдыхайте и избегайте обезвоживания. Принимайте безрецептурные лекарства, например ацетаминофен, чтобы чувствовать себя лучше.
Поддерживайте связь со своим врачом. Позвоните, прежде чем получить медицинскую помощь. Обязательно обратитесь за медицинской помощью, если у вас проблемы с дыханием или есть какие-либо другие тревожные признаки, или если вы считаете, что это неотложная помощь.
По возможности избегайте общественного транспорта, совместного использования или такси.

Пройти тестирование

Если у вас есть симптомы COVID-19, пройдите тестирование. В ожидании результатов теста pdf icon [233 КБ, 2 страницы] держитесь подальше от других, в том числе от тех, кто живет с вами.
Пройдите тест как можно скорее после появления симптомов. Лечение может быть доступно для людей с COVID-19, которым грозит тяжелое заболевание. Не откладывайте: лечение должно быть начато рано, чтобы быть эффективным — некоторые виды лечения должны начинаться в течение 5 дней после появления первых симптомов. Если результат теста положительный, немедленно свяжитесь со своим поставщиком медицинских услуг, чтобы определить, имеете ли вы право на участие в программе. являются одним из нескольких вариантов тестирования на вирус, вызывающий COVID-19, и могут быть более удобными, чем лабораторные тесты и тесты по месту оказания медицинской помощи. Если вам нужна помощь в интерпретации результатов теста, обратитесь к своему поставщику медицинских услуг или в местный отдел здравоохранения.
Вы можете посетить веб-сайт своего штата, племени, местного внешнего значка и территориального департамента здравоохранения, чтобы найти самую свежую местную информацию о местах тестирования.

По возможности оставайтесь в определенной комнате и подальше от других людей и домашних животных в вашем доме. Если возможно, вы должны использовать отдельную ванную комнату. Если вам необходимо находиться рядом с другими людьми или животными в доме или за его пределами, наденьте подходящую маску.

Сообщите своим близким контактам, что они могли заразиться COVID-19. Инфицированный человек может распространять COVID-19 за 48 часов (или 2 дня) до появления каких-либо симптомов или положительного результата теста. Сообщая своим близким контактам, что они могли заразиться COVID-19, вы помогаете защитить всех.

Если у вас есть вопросы о домашних животных, см. раздел COVID-19 и животные.
Если у вас диагностирован COVID-19, вам может позвонить сотрудник отдела здравоохранения. Ответьте на звонок, чтобы замедлить распространение.

Следуйте инструкциям по уходу от вашего поставщика медицинских услуг и местного отдела здравоохранения. Местные органы здравоохранения могут дать инструкции по проверке ваших симптомов и предоставлению информации.

Ищите предупреждающие знаки* о COVID-19. Если у кого-то проявляются какие-либо из этих признаков, немедленно обратитесь за неотложной медицинской помощью:

Проблемы с дыханием
Постоянная боль или давление в груди.
Новая путаница
Неспособность проснуться или бодрствовать
Бледная, серая или синеватая кожа, губы или ногтевые ложа в зависимости от тона кожи.

*Этот список не содержит всех возможных симптомов. Если у вас есть какие-либо другие симптомы, которые являются серьезными или беспокоящими вас, позвоните своему врачу.

Позвоните по номеру 911 или заранее позвоните в местное отделение неотложной помощи. Сообщите оператору, что вы обращаетесь за медицинской помощью для кого-то, у кого есть или может быть COVID-19.

В этой статье описывается сообщение об ошибке, которое вы получаете в Microsoft Office, в котором говорится, что антивирусная программа не позволяет вам открыть файл. Вы можете получить это сообщение об ошибке по следующим причинам:

Возникла проблема совместимости между вашей антивирусной программой и Office.
Файл, который вы пытаетесь открыть, заражен вирусом, который не удалось удалить вашей антивирусной программе.
Файл, который вы пытаетесь открыть, поврежден.

Для решения первых двух проблем необходимо обновить антивирусную программу. Чтобы решить третью проблему, вы должны попытаться восстановить файл. В этой статье показано, как это сделать.

Симптомы

При попытке открыть файл Microsoft Office может появиться следующее сообщение об ошибке:

Ваше антивирусное программное обеспечение заблокировало файл, который вы пытались открыть.

Вы должны убедиться, что ваше антивирусное программное обеспечение полностью обновлено, и попытаться снова открыть файл. Важно отметить, что заблокированный файл может также содержать вирус, который не удалось удалить с помощью вашего антивирусного программного обеспечения. В этом случае вам следует обращаться с файлом с осторожностью.

Антивирусная программа помогает защитить ваш компьютер от вирусов. Во избежание вирусов никогда не загружайте и не открывайте файлы из источников, которым вы не доверяете, не посещайте веб-сайты, которым вы не доверяете, и не открывайте вложения электронной почты, когда ваша антивирусная программа отключена.

Дополнительную информацию о компьютерных вирусах см. в статье Как предотвратить и удалить вирусы и другие вредоносные программы.

Причина

Эта проблема возникает, когда ваше антивирусное программное обеспечение и файлы его сигнатур устарели, когда файл, который вы пытаетесь открыть, заражен вирусом или если файл поврежден.

Разрешение

Решение этой проблемы зависит от того, устарели ли ваше антивирусное программное обеспечение и его файл сигнатуры, заражен ли ваш файл вирусом или ваш файл был поврежден.

Чтобы проверить, не устарели ли ваше антивирусное программное обеспечение и его файл сигнатур

Чтобы не отставать от создаваемых новых вирусов, поставщики антивирусных программ периодически предоставляют обновленный файл сигнатур вирусов, который можно загрузить из Интернета.

Если вы столкнулись с этой проблемой на компьютере, на котором вы недавно установили новую версию антивирусного программного обеспечения с компакт-диска, мы рекомендуем вам как можно скорее подключиться к Интернету, чтобы загрузить последние обновления, доступные с вашего поставщик антивирусного программного обеспечения.

Возможно, вам придется приобрести новую антивирусную программу.

Дополнительные сведения о том, как использовать программы Office вместе с подключаемым модулем Norton AntiVirus для Office, см. в разделе Как использовать программы Office с подключаемым модулем Norton AntiVirus для Office.

Чтобы получить информацию об антивирусной программе Microsoft, посетите следующий веб-сайт Microsoft:

Чтобы проверить, не заражен ли ваш файл вирусом

Если вы столкнулись с этой проблемой на компьютере с последней версией антивирусного программного обеспечения, с последними файлами сигнатур и на котором вы можете открыть все файлы, кроме этого, скорее всего, файл заражен вирусом.

Если ваш файл заражен вирусом, вам следует удалить этот файл из вашей системы. Как только файл будет удален, вы сможете создать его заново или восстановить из резервной копии, если она у вас есть.

Если файл поврежден

Если файл поврежден, он не может быть правильно обработан ни антивирусным программным обеспечением, ни уязвимой программой Office. Поэтому, чтобы иметь возможность снова использовать файл, вы должны попытаться восстановить файл. Инструкции о том, как это сделать, см. в статьях, перечисленных для программы Office, которую вы использовали, когда возникла эта проблема.

В этом разделе содержится информация о параметрах, которые вы можете указать для задачи поиска вирусов.

Описаны все доступные значения и значения по умолчанию для каждого параметра.

Включает или отключает сканирование архивов (включая самораспаковывающиеся архивы SFX). Kaspersky Endpoint Security обнаруживает угрозы в архивах, но не лечит их. Поддерживаются следующие типы архивов: .zip; .7z*; .7-з; .rar; .изо; .такси; .банка; .bz;.bz2;.tbz;.tbz2; .гз;.тгз; .arj.

Да — сканировать архивы. Если указано FirstAction=Recommended, программа удаляет архив, содержащий угрозу.

Нет — не сканировать архивы

Значение по умолчанию: Да

Включает или отключает проверку только самораспаковывающихся архивов (архивы, содержащие исполняемый модуль извлечения).

Да — сканирование самораспаковывающихся архивов

Нет — не сканировать самораспаковывающиеся архивы

Значение по умолчанию: Да

Включает или отключает сканирование баз данных электронной почты Microsoft Outlook®, Outlook Express, The Bat! и другие почтовые клиенты.

Да — сканировать файлы баз данных электронной почты

Нет — не сканировать файлы почтовых баз

Значение по умолчанию: Нет

Включает или отключает сканирование сообщений электронной почты в виде обычного текста.

Да — сканирование сообщений электронной почты в виде обычного текста

Нет — не сканировать текстовые сообщения электронной почты

Значение по умолчанию: Нет

Указывает максимальный размер сканируемого объекта (в мегабайтах).Если проверяемый объект больше указанного значения, Kaspersky Endpoint Security пропускает этот объект.

0 —Kaspersky Endpoint Security проверяет объекты любого размера

Значение по умолчанию: 0

Указывает максимальную продолжительность проверки объекта (в секундах). Kaspersky Endpoint Security останавливает проверку объекта, если она занимает больше времени, чем указано в этом параметре.

0 — время проверки объекта не ограничено

Значение по умолчанию: 0

Выбор первого действия Kaspersky Endpoint Security над зараженными объектами.

Лечение — Kaspersky Endpoint Security пытается вылечить объект, сохраняя его копию в Хранилище. Если лечение не удается (например, если тип объекта или тип угрозы в объекте не поддаются лечению), Kaspersky Endpoint Security оставляет объект без изменений. Если для первого действия задано значение Cure , рекомендуется указать второе действие с помощью параметра SecondAction.

Удалить — Kaspersky Endpoint Security удаляет зараженный объект после предварительного создания его резервной копии

Рекомендуется (выполнить рекомендуемое действие) — Kaspersky Endpoint Security автоматически выбирает и выполняет действие над объектом на основе информации об обнаруженной в объекте угрозе. Например, Kaspersky Endpoint Security сразу удаляет трояны, так как они не внедряются в другие файлы и поэтому не нуждаются в лечении.

Пропустить — Kaspersky Endpoint Security не пытается вылечить или удалить зараженный объект. Информация о зараженном объекте протоколируется.

Значение по умолчанию: рекомендуется

Выбор второго действия Kaspersky Endpoint Security над зараженными объектами. Kaspersky Endpoint Security выполняет второе действие, если первое действие не удается.

Значения параметра SecondAction совпадают со значениями параметра FirstAction.

Если в качестве первого действия выбрано Пропустить или Удалить, второе действие указывать не нужно. В остальных случаях рекомендуется указать два действия. Если вы не указали второе действие, Kaspersky Endpoint Security применяет Пропустить в качестве второго действия.

Значение по умолчанию: Пропустить

Включает или отключает исключение из проверки объектов, указанных с помощью параметра ExcludeMasks.

Да — исключить объекты, указанные параметром ExcludeMasks

Нет — не исключать объекты, указанные параметром ExcludeMasks

Значение по умолчанию: Нет

Исключает объекты из проверки по имени или маске. Вы можете использовать этот параметр, чтобы исключить отдельный файл из заданной области проверки по имени или исключить сразу несколько файлов с помощью масок в формате командной оболочки.

Значение по умолчанию не определено.

Включает или отключает исключение из проверки объектов с угрозами, указанными с помощью параметра ExcludeThreats.

Да — исключить из проверки объекты, содержащие угрозы, указанные с помощью параметра ExcludeThreats

Нет — не исключать из проверки объекты, содержащие угрозы, указанные с помощью параметра ExcludeThreats

Значение по умолчанию: Нет

Исключает объекты из проверки по названию обнаруженных в них угроз. Прежде чем указывать значение для этого параметра, убедитесь, что параметр UseExcludeThreats включен.

Чтобы исключить из проверки один объект, укажите полное название обнаруженной в этом объекте угрозы – строку Kaspersky Endpoint Security с решением о заражении объекта.

Например, вы можете использовать утилиту для сбора информации о вашей сети. Чтобы Kaspersky Endpoint Security не блокировал его, добавьте полное название содержащейся в нем угрозы в список угроз, исключаемых из проверки.

Полное название угрозы, обнаруженной в объекте, вы можете найти в журнале Kaspersky Endpoint Security. Полное название угрозы также можно найти на сайте Вирусной энциклопедии. Чтобы найти название угрозы, введите название приложения в поле поиска.

Значение параметра чувствительно к регистру.

Значение по умолчанию не определено.

Включает или выключает регистрацию информации о проверяемых объектах, которые Kaspersky Endpoint Security признал незараженными.

Вы можете включить этот параметр, например, чтобы убедиться, что тот или иной объект был проверен Kaspersky Endpoint Security.

Да — регистрировать информацию о незараженных объектах

Нет — не регистрировать информацию о незараженных объектах

Значение по умолчанию: Нет

Включает или отключает регистрацию информации о проверенных объектах, входящих в состав составных объектов.

Вы можете включить этот параметр, например, чтобы убедиться, что объект в архиве был проверен Kaspersky Endpoint Security.

Да — регистрировать информацию о проверке объектов в архивах

Нет — не регистрировать информацию о проверке объектов в архивах

Значение по умолчанию: Нет

Включает или отключает регистрацию информации о непроверенных объектах.

Да — регистрировать информацию о непроверенных объектах

Нет — не регистрировать информацию о непроверенных объектах

Значение по умолчанию: Нет

Включает или отключает эвристический анализатор.

Эвристический анализ помогает приложению обнаруживать угрозы еще до того, как они станут известны вирусным аналитикам.

Да — включить эвристический анализатор

Нет — отключить эвристический анализатор

Значение по умолчанию: Да

Уровень эвристического анализа.

Вы можете указать уровень эвристического анализа. Уровень эвристического анализа задает баланс между тщательностью поиска угроз, нагрузкой на ресурсы операционной системы и длительностью проверки. Чем выше уровень эвристического анализа, тем больше ресурсов и времени требуется для сканирования.

Легкий — наименее тщательное сканирование с минимальной нагрузкой на систему

Средний — средний уровень эвристического анализа со сбалансированной нагрузкой на операционную систему

Глубокое — самое тщательное сканирование с максимальной нагрузкой на операционную систему

Recommended — рекомендуемое значение

Значение по умолчанию: рекомендуется

Включает или отключает использование технологии iChecker.

Да — разрешить использование технологии iChecker

Нет — отключить использование технологии iChecker

Значение по умолчанию: Да

Описание области проверки, которое содержит дополнительную информацию об области проверки. Максимальная длина строки, указанной с помощью этого параметра, составляет 4096 символов.

Значение по умолчанию: Все объекты

AreaDesc="Сканировать почтовые базы данных"

Включает или отключает сканирование указанной области. Для запуска задачи необходимо включить хотя бы одну область для сканирования.

Да — сканировать указанную область

Нет — не сканировать указанную область

Значение по умолчанию: Да

Эту настройку можно использовать для ограничения области сканирования.

В области проверки Kaspersky Endpoint Security проверяет только те файлы, которые указаны с помощью масок командной оболочки.

Если этот параметр не указан, Kaspersky Endpoint Security проверяет все объекты в области проверки. Вы можете указать несколько значений для этого параметра.

Значение по умолчанию: * (сканировать все объекты).

Вы можете использовать этот параметр, чтобы указать путь к объектам для сканирования.

—Сканировать объекты в указанном каталоге

Shared:NFS — сканирование ресурсов файловой системы компьютера, доступных по протоколу NFS

Shared:SMB — сканирование ресурсов файловой системы компьютера, доступных по протоколу SMB

AllRemoteMounted — сканирование всех удаленных каталогов, смонтированных на компьютере с использованием протоколов SMB и NFS

AllShared — сканирование всех ресурсов файловой системы компьютера, к которым предоставлен общий доступ по протоколам SMB и NFS.

Описание области исключения из проверки. Содержит дополнительную информацию об области исключения.

Значение по умолчанию не определено.

AreaDesc="Исключить отдельную SAMBA"

Включает или отключает сканирование указанной области.

Да — исключает указанную область

Нет — указанная область не исключается

Значение по умолчанию: Да

Эту настройку можно использовать для указания пути к объектам, исключаемым из проверки.

— исключить из проверки объекты в указанном каталоге. Вы можете использовать маски для указания пути.

Вы можете использовать символ * (звездочка) для формирования маски имени файла или каталога. Один символ * заменяет любой набор символов (включая пустой набор) на символ / в имени файла или каталога. Например, /dir/*/file или /dir/*/*/file.

Два последовательных символа * заменяют любой набор символов (включая пустой набор) в имени файла или каталога, включая символ /. Например, /dir/**/file*/ или /dir/file**/.

Маска ** может использоваться только один раз в имени каталога. Например, /dir/**/**/file — неверная маска.

Shared:NFS — исключить ресурсы файловой системы компьютера, доступные по протоколу NFS

Shared:SMB — исключить ресурсы файловой системы компьютера, доступные по протоколу Samba

AllRemoteMounted — исключить все удаленные каталоги, смонтированные на компьютере с использованием протоколов SMB и NFS

AllShared — исключить все ресурсы файловой системы компьютера, совместно используемые по протоколам SMB и NFS

Устройство включает встроенные механизмы сканирования на вирусы от сторонних компаний Sophos и McAfee. Вы можете получить лицензионные ключи для устройства, чтобы сканировать сообщения на наличие вирусов с помощью одного или обоих этих антивирусных модулей, а затем настроить устройство для сканирования на наличие вирусов с помощью любого антивирусного модуля сканирования.

Ядра McAfee и Sophos содержат программную логику, необходимую для сканирования файлов в определенных точках, обработки и сопоставления определений вирусов с данными, которые они находят в ваших файлах, расшифровки и запуска вирусного кода в эмулируемой среде, применения эвристических методов для распознавания новые вирусы и удаляйте инфекционный код из легитимных файлов.

Вы можете настроить устройство для сканирования сообщений на наличие вирусов (на основе соответствующей политики входящей или исходящей почты) и, если вирус обнаружен, для выполнения различных действий с сообщением (включая «исправление» сообщения вирусов, изменение заголовка темы, добавление дополнительного X-заголовка, отправка сообщения на альтернативный адрес или почтовый хост, архивирование сообщения или удаление сообщения).

Если этот параметр включен, сканирование на вирусы выполняется в «рабочей очереди» на устройстве сразу после сканирования на спам. (См. Конвейер электронной почты и службы безопасности.)

По умолчанию сканирование на вирусы включено для стандартных политик входящей и исходящей почты.

Связанные темы

Ключ оценки

Ваше устройство поставляется с 30-дневным ознакомительным ключом для каждого доступного модуля антивирусного сканирования. Вы включаете ознакомительный ключ, открывая лицензионное соглашение в мастере настройки системы или на страницах Службы безопасности > Sophos/McAfee Anti-Virus (в графическом интерфейсе) или запуская команды antivirusconfig или systemsetup (в интерфейсе командной строки). После того как вы примете соглашение, модуль антивирусного сканирования будет включен по умолчанию для политик входящей и исходящей почты по умолчанию. Для получения информации о включении этой функции по истечении 30-дневного ознакомительного периода обратитесь к торговому представителю Cisco. Вы можете увидеть, сколько времени осталось на оценку, на странице «Администрирование системы» > «Ключи функций» или введя команду featurekey. (Дополнительную информацию см. в разделе Ключи функций.)

Сканирование сообщений несколькими модулями антивирусного сканирования

AsyncOS поддерживает сканирование сообщений несколькими модулями антивирусного сканирования — многоуровневое антивирусное сканирование. Вы можете настроить свое устройство для использования одного или обоих лицензированных антивирусных модулей сканирования для каждой почтовой политики. Например, вы можете создать почтовую политику для руководителей и настроить эту политику для сканирования почты с помощью механизмов Sophos и McAfee.

Сканирование сообщений с помощью нескольких антивирусных ядер обеспечивает «глубокоэшелонированную защиту» за счет объединения преимуществ антивирусных антивирусных ядер Sophos и McAfee. Каждое ядро обладает лучшими показателями антивирусной защиты, но поскольку каждое ядро опирается на отдельную базу технологий (обсуждается в McAfee Anti-Virus Filtering и Sophos Anti-Virus Filtering) для обнаружения вирусов, подход с несколькими сканированиями может быть еще более эффективным. . Использование нескольких модулей сканирования может привести к снижению пропускной способности системы. Для получения дополнительной информации обратитесь к представителю службы поддержки Cisco.

Вы не можете настроить порядок сканирования на наличие вирусов. При включении многоуровневого антивирусного сканирования модуль McAfee сначала выполняет поиск вирусов, а затем модуль Sophos выполняет поиск вирусов. Если модуль McAfee определяет, что сообщение не содержит вирусов, модуль Sophos сканирует сообщение, добавляя второй уровень защиты. Если механизм McAfee определяет, что сообщение содержит вирус, устройство пропускает сканирование Sophos и выполняет действия с вирусным сообщением в соответствии с настроенными вами параметрами.

Антивирусная фильтрация Sophos

Устройство включает встроенную технологию сканирования на вирусы от Sophos, Plc. Sophos Anti-Virus обеспечивает межплатформенную антивирусную защиту, обнаружение и лечение.

Sophos Anti-Virus предоставляет модуль обнаружения вирусов, который сканирует файлы на наличие вирусов, троянских коней и червей. Эти программы относятся к общему термину malware , что означает «вредоносное программное обеспечение». Сходство между всеми типами вредоносных программ позволяет антивирусным сканерам обнаруживать и удалять не только вирусы, но и все типы вредоносных программ.

Связанные темы

Механизм обнаружения вирусов
Сканирование на вирусы
Методы обнаружения
Описания вирусов
Оповещения Sophos
При обнаружении вируса

Ядро обнаружения вирусов

Ядро обнаружения вирусов Sophos лежит в основе технологии Sophos Anti-Virus. Он использует проприетарную архитектуру, аналогичную Microsoft COM (компонентная объектная модель), состоящую из ряда объектов с четко определенными интерфейсами. Модульная файловая система, используемая движком, основана на отдельных автономных динамических библиотеках, каждая из которых обрабатывает свой «класс хранения», например, тип файла. Такой подход позволяет применять операции сканирования на вирусы к общим источникам данных независимо от их типа.

Полный эмулятор кода для обнаружения полиморфных вирусов
Онлайн-декомпрессор для сканирования архивных файлов
Ядро OLE2 для обнаружения и лечения макровирусов

Устройство интегрируется с вирусным ядром с помощью интерфейса SAV.

Сканирование на вирусы

В общих чертах, возможности сканирования модуля управляются мощной комбинацией двух важных компонентов: классификатора, который знает, где искать, и вирусной базы данных, которая знает, что искать. Механизм классифицирует файл по типу, а не по расширению.

Вирусный движок ищет вирусы в теле и вложениях сообщений, полученных системой; тип файла вложения помогает определить его сканирование. Например, если прикрепленный к сообщению файл является исполняемым, механизм проверяет заголовок, который сообщает ему, где начинается исполняемый код, и ищет его там. Если файл является документом Word, механизм ищет в потоках макросов. Если это файл MIME, формат, используемый для обмена почтовыми сообщениями, он ищет в том месте, где хранится вложение.

Методы обнаружения

Способ обнаружения вирусов зависит от их типа. В процессе сканирования модуль анализирует каждый файл, определяет его тип и затем применяет соответствующие методы. В основе всех методов лежит базовая концепция поиска определенных типов инструкций или определенного порядка инструкций.

Связанные темы

Сопоставление с образцом

В методе сопоставления с образцом ядро знает конкретную последовательность кода и ищет точное совпадение, которое идентифицирует код как вирус. Чаще всего движок ищет последовательности кода, которые похожи, но не обязательно идентичны известным последовательностям кода вируса. Создавая описания, с которыми файлы сравниваются во время сканирования, исследователи вирусов Sophos стараются сделать идентификационный код как можно более общим, чтобы — используя эвристику, как поясняется ниже, — механизм находил не только исходный вирус, но и его более поздние производные.

Эвристика

Вирусный движок может сочетать базовые методы сопоставления с образцом и эвристику — метод, использующий общие, а не конкретные правила, — для обнаружения нескольких вирусов в одном семействе, даже если исследователи Sophos проанализировали только один вирус в этом семействе. Этот метод позволяет создать одно описание, которое улавливает несколько вариантов одного вируса. Sophos дополняет свою эвристику другими методами, сводя к минимуму количество ложных срабатываний.

Эмуляция

Эмуляция – это метод, применяемый вирусным ядром к полиморфным вирусам. Полиморфные вирусы — это зашифрованные вирусы, которые изменяют себя, чтобы скрыться. Вирус не имеет видимого постоянного кода, и каждый раз при распространении вирус шифруется по-разному. Когда он запускается, он расшифровывает себя. Эмулятор в механизме обнаружения вирусов используется для исполняемых файлов DOS и Windows, а полиморфные макровирусы обнаруживаются с помощью кода обнаружения, написанного на языке описания вирусов Sophos.

Вывод этой расшифровки является реальным кодом вируса, и именно этот вывод обнаруживается механизмом обнаружения вирусов Sophos после запуска в эмуляторе.

Исполняемые файлы, которые отправляются в ядро для сканирования, запускаются внутри эмулятора, который отслеживает расшифровку тела вируса по мере его записи в память. Обычно точка входа вируса находится в начале файла и запускается в первую очередь. В большинстве случаев требуется расшифровать лишь небольшую часть тела вируса, чтобы вирус был распознан. Большинство чистых исполняемых файлов перестают эмулировать всего после нескольких инструкций, что снижает накладные расходы.

Поскольку эмулятор работает в ограниченной зоне, если код окажется вирусом, вирус не заразит устройство .

Описания вирусов

Sophos ежемесячно обменивается вирусами с другими проверенными антивирусными компаниями. Кроме того, каждый месяц клиенты отправляют непосредственно в Sophos тысячи подозрительных файлов, около 30% из которых оказываются вирусами. Каждый образец подвергается тщательному анализу в высокозащищенных вирусных лабораториях, чтобы определить, является ли он вирусом. Для каждого вновь обнаруженного вируса или группы вирусов Sophos создает описание.

Оповещения Sophos

При обнаружении вируса

При обнаружении вируса Sophos Anti-Virus может восстановить (вылечить) файл. Антивирус Sophos обычно может восстановить любой файл, в котором был обнаружен вирус, после чего файл можно использовать без риска. Конкретные действия зависят от вируса.

Антивирусная фильтрация McAfee

Ядро сканирования McAfee®:

Сканирует файлы, сопоставляя сигнатуры вирусов с данными из ваших файлов.
Расшифровывает и запускает код вируса в эмулируемой среде.
Применяет эвристические методы для распознавания новых вирусов.
Удаляет заражающий код из файлов.

Связанные темы

Сигнатуры вирусов, соответствующие шаблону

McAfee использует файлы антивирусных определений (DAT) вместе со сканером для обнаружения определенных вирусов, типов вирусов или другого потенциально нежелательного программного обеспечения. Вместе они могут обнаружить простой вирус, начав с известного места в файле, а затем выполнив поиск сигнатуры вируса. Часто им приходится искать только небольшую часть файла, чтобы определить, что файл не содержит вирусов.

Обнаружение зашифрованных полиморфных вирусов

Сложные вирусы избегают обнаружения с помощью сканирования по сигнатурам с помощью двух популярных методов:

Шифрование . Данные внутри вируса зашифрованы, поэтому антивирусные сканеры не могут видеть сообщения или компьютерный код вируса. Когда вирус активируется, он преобразует себя в рабочую версию, а затем запускается.
Полиморфизм . Этот процесс аналогичен шифрованию, за исключением того, что при воспроизведении вирус меняет свой внешний вид.

Для противодействия таким вирусам ядро использует технику, называемую эмуляцией. Если механизм подозревает, что файл содержит такой вирус, он создает искусственную среду, в которой вирус может безвредно работать до тех пор, пока он не расшифрует себя и его истинная форма не станет видимой. Затем ядро может идентифицировать вирус, как обычно, сканируя вирусную сигнатуру.

Эвристический анализ

Используя только сигнатуры вирусов, модуль не может обнаружить новый вирус, поскольку его сигнатура еще не известна. Поэтому движок может использовать дополнительную технику — эвристический анализ.

Программы, документы или сообщения электронной почты, содержащие вирус, часто имеют отличительные особенности. Они могут попытаться изменить файлы без запроса, вызвать почтовые клиенты или использовать другие средства для самовоспроизведения. Движок анализирует программный код, чтобы обнаружить такие компьютерные инструкции. Механизм также ищет допустимое поведение, не похожее на вирусы, например запрашивает пользователя перед тем, как предпринять какое-либо действие, и тем самым избегает ложных тревог.

Используя эти методы, ядро может обнаруживать множество новых вирусов.

При обнаружении вируса

Хотя 7-Zip может звучать как хорошее название для компьютерного вируса, на самом деле это законная утилита, которая сжимает и распаковывает файлы. Он также поставляется со встроенным файловым менеджером, который помогает вам управлять этими файлами. Если вы делитесь компьютером, например, в деловых целях, кто-то другой может установить 7-Zip, не сообщая вам об этом. Специалист по ИТ также мог установить программу на ваш компьютер. Хотя не помешает оставить приложение на компьютере, вы можете быстро удалить 7-Zip, если считаете, что оно вам не нужно.

Вирус 7z вызывает опасения

Утилита 7-Zip не нанесет вреда вашему компьютеру и не украдет информацию. Чтобы защитить свой компьютер от настоящих вирусов, установите антивирусную программу и держите ее постоянно включенной. Настоящие вирусы могут приходить в сообщениях электронной почты, скрываться в загружаемых вами файлах и заражать ваш компьютер при посещении опасных веб-сайтов. Microsoft Windows поставляется с Защитником Windows, бесплатной программой защиты от вредоносных программ, которая защищает ваш компьютер от атак вредоносного программного обеспечения, но это не антивирусная программа.

Если вы видите программу 7-Zip на своем компьютере с Windows, она может быть указана как 7z.exe. 7z exe не навредит вашему компьютеру.

Возможно, исполняемый файл или другой файл внутри архива 7-Zip может быть вирусом, поэтому, как и в случае с любым другим файлом, вам следует открывать только файлы архива 7-Zip, отправленные тем, кому вы доверяете.

Когда использовать 7-Zip

Одной из причин использования 7-Zip является то, что это бесплатная программа с открытым исходным кодом, которая работает на любом компьютере. Вам не нужно регистрировать 7-Zip, чтобы использовать его, и приложение интегрируется с оболочкой Windows, благодаря его создателю Игорю Павлову. Это означает, что когда вы щелкнете правой кнопкой мыши по zip-файлу, вы увидите пункт меню, позволяющий распаковать файл с помощью 7-Zip. Вы также можете использовать 7-Zip для создания сжатых zip-файлов, которыми вы можете поделиться с другими или сохранить на своем жестком диске, когда захотите заархивировать информацию.

Программа использует формат файлов, известный как 7z, который может сжимать файлы более эффективно, чем некоторые другие утилиты сжатия. Это может помочь вам сократить время передачи через Интернет при загрузке и скачивании этих файлов, сократить расходы на передачу данных и сэкономить место на жестком диске и других устройствах хранения.

Одним из недостатков 7-Zip является то, что не так много людей установили его, как и программное обеспечение для поддержки традиционных zip-файлов, которые автоматически поддерживаются большинством современных операционных систем. Если вы отправляете кому-то файл 7Z, вам, возможно, придется объяснить, что это такое, как его открыть и даже убедиться, что это не вирус или что-то еще гнусное.

Удаление 7-Zip с компьютера

Если вы хотите удалить 7-Zip, нажмите клавишу Windows, чтобы открыть начальный экран. Затем вы можете щелкнуть правой кнопкой мыши значок 7-Zip, а затем нажать «Удалить», чтобы открыть окно «Программы и компоненты». В этом окне отображаются установленные программы и выделяется 7-Zip, приложение, которое вы щелкнули правой кнопкой мыши. Когда вы нажимаете кнопку «Удалить/Изменить» в окне, Windows удаляет 7-Zip с вашего компьютера. Прежде чем нажимать эту кнопку, убедитесь, что 7-Zip выделен; вы не хотите удалить неправильное приложение. Вам не нужно перезагружать компьютер после удаления 7-Zip.

Альтернативные методы сжатия

Часто вы будете более продуктивны, если будете использовать программу ZIP, потому что многие приложения, которые вы загружаете, имеют формат ZIP. Люди также могут отправлять вам сжатые файлы, содержащие документы, изображения и даже большие базы данных. Другие программы, которые помогают сжимать и распаковывать файлы, включают WinZip и JZip. Вы также можете извлечь все из сжатой папки с помощью проводника Windows. Для этого выберите сжатую папку, нажмите «Инструменты для сжатых папок», а затем нажмите «Извлечь все». Если вы хотите заархивировать файл, выберите его в проводнике Windows и нажмите «Заархивировать».

Другие операционные системы, включая Apple macOS и различные дистрибутивы Linux, также включают встроенную поддержку традиционного формата Zip.

Читайте также: