Файловый Антивирус

Kaspersky Internet Security 2012
Файловый Антивирус

Kaspersky Internet Security 2012
Файловый Антивирус
Что такое Файловый Антивирус
Файловая система может содержать вирусы и другие опасные программы. Вредоносные
программы могут годами храниться в вашей файловой системе, проникнув однажды со
съемного диска или из интернета, и никак не проявлять себя. Однако стоит только открыть
зараженный файл или, например, попытаться скопировать его на диск, вирус тут же
проявит себя.
Файловый Антивирус — компонент, который контролирует файловую систему
компьютера и позволяет избежать ее заражения. Компонент запускается при старте
операционной системы, постоянно находится в оперативной памяти компьютера и
проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и
всех присоединенных по сети дисках.
Включение/отключение Файлового Антивируса
Чтобы включить/отключить Файловый Антивирус, выполните следующие действия:
1. Откройте окно настройки программы.
2. В окне Настройка в разделе Центр защиты в списке компонентов слева выберите
Файловый Антивирус.
3. В правой части окна выполните следующие действия:
► Если вы хотите включить компонент, установите флажок Включить Файловый
Антивирус.
► Если вы хотите отключить компонент, снимите флажок Включить Файловый
Антивирус.
4. В окне Настройка нажмите на кнопку Применить.
1 | 19

Kaspersky Internet Security 2012
Алгоритм работы Файлового Антивируса
По умолчанию Файловый Антивирус работает следующим образом:
► Каждая программа или файл, к которому обращается пользователь, перехватывается
и анализируется Файловым Антивирусом. Компонент проверяет наличие
информации о перехваченном файле в базах iChecker и iSwift (подробнее см.
далее) и на основании полученных сведений принимает решение о необходимости
проверки файла. Проверка проводится следующим образом:
► Файл анализируется на присутствие вирусов на основе антивирусных баз
программы. На основании результата анализа Файловый Антивирус выполняет
одно из следующих действий:
► Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует
файл, создает его резервную копию в Резервном хранилище и пытается провести
лечение. В результате успешного лечения файл становится доступным для
работы, если же лечение произвести не удалось, файл удаляется.
► Если в файле обнаружен код, похожий на вредоносный, или для него пока нет
лечения, файл помещается в специальное хранилище — карантин.
► Если в файле не обнаружено вредоносного кода, он сразу же становится доступным
для работы.
Уровни безопасности Файлового Антивируса
Уровень безопасности — это набор предустановленных параметров Файлового
Антивируса, обеспечивающий тот или иной уровень защиты файлов и памяти системы.
Для разных условий работы подходят разные наборы параметров, которые обеспечивают
тот или иной уровень защиты файлов и памяти системы (уровни безопасности).
Специалистами Лаборатории Касперского были разработаны три уровня безопасности,
которые вы можете выбрать в зависимости от ситуации:
► Если вы подозреваете, что вероятность заражения вашего компьютера высока,
установите Высокий уровень безопасности.
► Если вы работаете в защищенной среде (например, в корпоративной сети с централизованным
обеспечением безопасности), установите Низкий уровень безопасности.
► Рекомендуемый уровень безопасности обеспечивает оптимальный баланс между
безопасностью и производительностью системы. Подходит для большинства
случаев.
2 | 19

Kaspersky Internet Security 2012
Чтобы изменить уровень безопасности Файлового Антивируса, выполните следующие
действия:
1. В правой части окна Настройка компонента Файловый Антивирус задайте
уровень безопасности, перетащив вертикальный ползунок в нужное положение.
2. В окне Настройка нажмите на кнопку Применить.
Изменение действия Файлового Антивируса при обнаружении угрозы
Действия по умолчанию
По умолчанию программа сама определяет действие над обнаруженным объектом.
Если в результате проверки Файловому Антивирусу не удалось определить, заражен
ли объект, то программа перемещает его на карантин. Карантин — это специальное
хранилище, в которое помещаются объекты, которые могут быть заражены вирусами.
Объекты, помещенные на карантин, не представляют угрозы для вашего компьютера.
Если в результате проверки объекту присвоен статус одной из вредоносных программ,
Файловый Антивирус попытается вылечить зараженный объект. Если лечение
невозможно, то объект будет удален.
Перед лечением или удалением зараженного объекта KIS 2012 формирует его
резервную копию на тот случай, если понадобится восстановить объект или появится
возможность его вылечить. Срок хранения резервной копии — 30 дней.
Действия, которые может задать пользователь
Вы можете сами задать действие над обнаруженными угрозами. Файловый Антивирус
может выполнять следующие действия при обнаружении угрозы:
► Лечить;
► Удалять;
► Удалять, если лечение невозможно (появляется, если активен пункт Лечить).
При выборе действия Лечить программа действует следующим образом:
► Если объект можно вылечить, он лечится и вновь становится доступен для пользователя.
3 | 19

Kaspersky Internet Security 2012
► Если в результате проверки не удалось определить, заражен объект или нет, он
помещается на карантин. Если у вас включена проверка файлов на карантине
после каждого обновления баз, то после получения новой сигнатуры лечения
объект на карантине лечится и становится доступен для пользователя.
► Если объекту присвоен статус вируса, но его лечение невозможно, объект блокируется
и отражается в отчете об обнаруженных угрозах.
Если вы хотите, чтобы зараженные объекты, которые нельзя вылечить, удалялись,
поставьте флажок Удалять, если лечение невозможно (появляется, если установлен
флажок Лечить).
Вы также можете выбрать только действие Удалять, но в таком случае будут удаляться
даже те объекты, которые могли быть доступны для дальнейшего использования после
лечения.
Для выбора нужного действия установите флажок напротив этого действия и нажмите на
кнопку Применить для сохранения изменений.
Специалисты Лаборатории Касперского рекомендуют устанавливать следующие
действия для обнаруженных угроз:
► Лечить;
► Удалять, если лечение невозможно.
В этом случае программа будет совершать над объектом следующие действия:
► Лечить, если объект можно вылечить. После лечения с объектом можно будет
продолжить работу.
► Помещать на карантин, если в результате проверки не удалось определить,
заражен объект или нет. Если у вас включена проверка файлов на карантине после
каждого обновления баз, то после получения новой сигнатуры лечения объект на
карантине будет вылечен и вновь доступен для пользователя.
► Удалять, если объекту присвоен статус вируса и его лечение невозможно.
4 | 19

Kaspersky Internet Security 2012
Действие для каждого объекта
Если вы хотите сами определять действие Файлового Антивируса для каждого
обнаруженного объекта, включите Интерактивный режим работы. Для этого выполните
следующие действия:
1. В левой части окна Настройка перейдите в раздел Основные параметры.
2. В блоке Интерактивная защита снимите флажок Выбирать действие автоматически.
3. В окне Настройка нажмите на кнопку Применить.
Включить интерактивный режим можно только для всей программы. Поэтому при
его включении вам придется определять действие для каждого объекта, найденного
любым из компонентов KIS 2012.
Как задать действие над обнаруженными угрозами
Чтобы задать действие над обнаруженными угрозами, выполните следующие действия:
1. В левой части окна Настройка выберите компонент Файловый Антивирус.
2. Убедитесь, что в правой части окна установлен флажок Включить Файловый
Антивирус.
3. В разделе Действие выберите действие над обнаруженными угрозами:
► Запрашивать действие.
► Выполнять действие:
► Лечить.
► Удалять (удалять, если лечение невозможно).
4. В окне Настройка нажмите на кнопку Применить.
5 | 19

Kaspersky Internet Security 2012
Если выбран вариант Выполнять действие, но не выбрано на одно из действий, то
Файловый Антивирус будет блокировать опасные объекты и помещать их в карантин,
оповещая об этом пользователя.
Флажок Удалять, если лечение невозможно появляется только при установке флажка
Лечить.
Настройка параметров пользовательского уровня безопасности
Чтобы произвести более тонкую настройку параметров Файлового Антивируса, в блоке
Уровень безопасности нажмите на кнопку Настройка.
6 | 19

Kaspersky Internet Security 2012
Откроется окно Файловый Антивирус.
Выбор типа файлов, проверяемых Файловым Антивирусом
В окне Файловый Антивирус на закладке Общие вы можете установить/выбрать тип
файлов, проверяемых Файловым Антивирусом. По умолчанию Файловый Антивирус
проверяет только потенциально заражаемые файлы (файлы, в которые может внедриться
вирус), запускаемые со всех жестких, съемных и сетевых дисков.
Вы можете сами выбрать типы файлов, которые будут проверяться Файловым
Антивирусом на наличие вредоносных объектов.
Для выбора доступны следующие типы файлов:
► Все файлы — Файловый Антивирус анализирует все файлы независимо от их
имени (например, «пресс-релиз») или расширения (например, «.doc»);
► Файлы, проверяемые по формату — Файловый Антивирус анализирует
внутренний заголовок файла на предмет формата файла (текстовый, исполнительный
и другие). Если в результате анализа выясняется, что файл такого
формата не может быть заражен, он не проверяется на присутствие вирусов и
становится доступен для работы. Если формат файла предполагает возможность
заражения, файл проверяется на вирусы;
► Файлы, проверяемые по расширению — Файловый Антивирус проверяет
файлы в зависимости от расширения (например, файлы с расширением .com, .exe,
.sys, .bat, .dll и другие). Расширение имени файла предназначено для идентификации
типа файла. С помощью расширения файла пользователь или ПО может
определить тип данных, содержащихся в этом файле.
7 | 19

Kaspersky Internet Security 2012
При выборе типа файлов, проверяемых Файловым Антивирусом, следует учитывать
некоторые особенности. Например, злоумышленник может отправить вирус на ваш
компьютер в файле с расширением txt, хотя на самом деле такой файл может быть
исполняемым, переименованным в txt-файл.
Если выбран параметр Файлы, проверяемые по расширению, то в процессе проверки
такой файл будет пропущен.
Если выбран параметр Файлы, проверяемые по формату, то, несмотря на расширение,
Файловый Антивирус проанализирует формат файла, в результате чего может
выясниться, что файл имеет exe-формат. Такой файл будет подвергнут проверке на
вирусы.
8 | 19

Kaspersky Internet Security 2012
Выбор местоположения файлов, проверяемых Файловым Антивирусом
Вы также можете задать местоположение проверяемых файлов в блоке Область защиты.
Чтобы добавить в список новый объект для проверки, выполните следующие действия:
1. В окне Файловый Антивирус нажмите ссылку Добавить.
2. В окне Выбор объекта для проверки выберите объект и нажмите на кнопку Добавить.
3. После добавления всех нужных объектов в окне Выбор объекта для проверки
нажмите на кнопку OK.
4. В окне Файловый Антивирус нажмите на кнопку ОК.
9 | 19

Kaspersky Internet Security 2012
Методы проверки Файловым Антивирусом
По умолчанию Файловый Антивирус проверяет объекты, используя сигнатурный анализ
(базы с описанием известных угроз и методов их лечения). Компонент сопоставляет
проверяемый объект с записями в базах и определяет, является ли объект вредоносным.
Тем мне менее новые вредоносные программы появляются каждый день. Если запись о
вредоносном объекте еще не попала в базы, обнаружить его поможет эвристический
анализатор. Этот модуль анализирует активность объекта в системе и, если активность
типична для вредоносных программ, признает объект вредоносным.
Чтобы настроить работу эвристического анализатора, выполните следующие действия:
1. В окне Файловый Антивирус перейдите на закладку Производительность.
2. В блоке Эвристический анализатор задайте уровень детализации8 проверки эвристического
анализатора, перемещая ползунок по горизонтали.
3. Нажмите на кнопку OK.
Оптимизация проверки файлов
Чтобы сократить время проверки и увеличить скорость работы продукта, вы можете
настроить проверку только новых файлов и файлов, которые изменились с момента
предыдущего анализа. Для этого выполните следующие действия:
1. В окне Файловый Антивирус перейдите на закладку Производительность.
2. В блоке Оптимизация проверки установите флажок Проверять только новые и
измененные файлы.
8 Чем выше установленный уровень детализации, тем больше ресурсов потребует
проверка и тем больше времени она займет, но тем тщательнее будет проведен анализ.
10 | 19

Kaspersky Internet Security 2012
3. Нажмите на кнопку OK.
Настройка проверки составных файлов
Составной файл — это файл, являющийся структурированным хранилищем нескольких
файлов. К составным файлам относятся, например, архивы и OLE-объекты. Зачастую
злоумышленники скрывают вредоносные объекты путем внедрения их в составные
файлы (архивы). Чтобы обнаружить такие объекты, Файловому Антивирусу необходимо
распаковать архив, что значительно замедляет скорость проверки.
Чтобы включить проверку архивов, выполните следующие действия:
1. В окне Файловый Антивирус перейдите на закладку Производительность.
2. В блоке Проверка составных файлов установите флажок Проверять архивы.
11 | 19

Kaspersky Internet Security 2012
3. Нажмите на кнопку ОК.
Установочные или инсталляционные пакеты (файлы для установки различных программ)
и файлы, вложенные в OLE-объекты (объекты (картинки, тексты, чертежи, таблицы),
созданные в одной программе, но которые можно открыть также с помощью других
программ), запускаются сразу при открытии, что делает их более опасными, чем архивы.
Чтобы включить проверку инсталляционных пакетов и вложенных OLE-объектов,
выполните следующие действия:
1. В окне Файловый Антивирус на закладке Производительность в блоке
Проверка составных файлов установите соответствующие флажки.
2. Нажмите на кнопку OK.
12 | 19

Kaspersky Internet Security 2012
При проверке составных файлов большого размера их предварительная распаковка
может занять много времени. Это время можно сократить, если проводить проверку
файлов в фоновом режиме (то есть во время работы пользователя с другими
программами). Если в ходе работы с таким файлом будет обнаружен вредоносный объект,
Файловый Антивирус уведомит вас об этом.
Чтобы составные файлы проверялись в фоновом режиме, выполните следующие
действия:
1. В окне Файловый Антивирус на закладке Производительность в блоке
Проверка составных файлов нажмите на кнопку Дополнительно.
2. В окне Составные файлы установите флажок Распаковывать составные файлы
в фоновом режиме.
3. В поле Минимальный размер файла с клавиатуры или с помощью стрелок
задайте минимальный размер файла для проверки в фоновом режиме в мегабайтах.
Все файлы меньшего размеры будут проверяться в обычном режиме.
13 | 19

Kaspersky Internet Security 2012
4. Нажмите на кнопку OK.
Чтобы уменьшить задержку доступа пользователя к составным файлам, можно отключить
распаковку файлов, имеющих размер больше заданного. Для этого выполните следующие
действия:
1. В блоке Ограничение по размеру задайте максимальный размер проверяемых
файлов с клавиатуры или с помощью стрелок. На проверку файлов, извлекаемых из
архивов, этот параметр не распространяется.
2. Нажмите на кнопку OK.
14 | 19

Kaspersky Internet Security 2012
Режимы проверки Файлового Антивируса
Вы можете выбрать один из четырех режимов проверки объектов Файловым
Антивирусом:
► Интеллектуальный;
► При доступе и изменении (при считывании информации из файла и редактировании
его содержимого);
► При доступе (при считывании информации из файла какой-либо программой);
► При выполнении (при запуске исполняемого файла-программы).
По умолчанию активен Интеллектуальный режим, при котором решение о проверке
объекта принимается на основе операций, выполняемых с ним. Например, при работе с
документом Microsoft Office Файловый Антивирус проверяет файл при первом открытии
и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки
исключаются.
Чтобы задать режим проверки, выполните следующие действия:
3. В окне Файловый Антивирус перейдите на закладку Дополнительно.
4. В блоке Режим проверки выберите нужный режим.
5. Нажмите на кнопку OK.
Технологии проверки iSwift и iChecker
Интеллектуальные технологии iChecker и iSwift позволяют ускорить работу Файлового
Антивируса. Максимальная эффективность указанных технологий достигается через
некоторое время после установки продукта. Технологии iChecker и iSwift дополняют друг
друга, обеспечивая ускорение антивирусной проверки различных объектов различных
файловых и операционных систем.
15 | 19

Kaspersky Internet Security 2012
При первой проверке объекта с использованием технологии iChecker запоминается его
контрольная сумма. Контрольная сумма — это уникальная цифровая подпись объекта,
позволяющая распознать подлинность этого объекта. При любом изменении объекта
эта сумма меняется, и при следующей проверке Файловый Антивирус сверяет первую
контрольную сумму с текущей. Если значения не совпадают, объект повторно проверяется
на наличие вредоносного кода. В случае совпадения значений объект пропускается (не
проверяется).
iChecker поддерживает только форматы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar и не
проверяет файлы размером более 4 ГБ, так как в таких случаях проверить весь файл
быстрее, чем вычислять для него контрольную сумму.
Технология iSwift применима только для файловой системы NTFS, в которой каждому
объекту присваивается NTFS-идентификатор. Этот идентификатор сравнивается
со значениями специальной базы данных iSwift. Алгоритм iSwift учитывает дату
предыдущей проверки объекта. Если с момента последней проверки прошло
столько же или больше времени, чем с первой до последней проверки, iSwift
проверит объект. Объект также проверяется, если настройки проверки были
изменены на более жесткие.
Технология iSwift привязана к конкретному местоположению файла в файловой системе.
Если файл скопирован, перемещен, то он снова подвергнется проверке.
Чтобы включить применение технологий iSwift и iChecker, выполните следующие
действия:
6. В окне Файловый Антивирус перейдите на закладку Дополнительно.
7. В блоке Технологии проверки установите флажки Технология iSwift и Технология
iChecker.
8. Нажмите на кнопку OK.
16 | 19

Kaspersky Internet Security 2012
Приостановка работы Файлового Антивируса
При выполнении работ, требующих значительных ресурсов операционной системы, вы
можете временно останавливать работу Файлового Антивируса. Чтобы снизить нагрузку
и обеспечить быстрый доступ к объектам, можно настроить отключение компонента в
определенное время. Для этого выполните следующие действия:
1. В окне Файловый Антивирус перейдите на закладку Дополнительно.
2. В блоке Приостановка задачи установите флажок По расписанию.
3. Нажмите на кнопку Расписание.
4. В окне Приостановка задачи в поля Приостановить в и Восстановить в введите
нужное время остановки и возобновления работы компонента.
5. Нажмите на кнопку OK.
6. В окне Файловый Антивирус нажмите на кнопку ОК.
Кроме отключения по расписанию вы можете настроить отключение Файлового
Антивируса при работе с определенными ресурсоемкими программами. Для этого
выполните следующие действия:
1. В окне Файловый Антивирус перейдите на закладку Дополнительно.
2. В блоке Приостановка задачи установите флажок При запуске программ.
3. Нажмите на кнопку Выбрать.
17 | 19

Kaspersky Internet Security 2012
4. В окне программы нажмите ссылку Добавить. Далее выполните одно из следующих
действий:
► Выберите программу из списка Программы.
► Нажмите Обзор и выберите программу через окно проводника.
5. Сформировав список программ, в окне Программы нажмите на кнопку OK.
6. В окне Файловый Антивирус нажмите на кнопку ОК.
Возврат к параметрам Файлового Антивируса, установленным по умолчанию
После изменения параметров Файлового Антивируса вы всегда можете вернуться к
параметрам по умолчанию. Для этого выполните следующие действия:
1. Закройте окно Файловый Антивирус.
2. В окне Настройка в блоке Уровень безопасности нажмите на кнопку По умолчанию.
18 | 19

Kaspersky Internet Security 2012
3. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.
19 | 19