Файловый Антивирус
Файловый Антивирус
Файловый Антивирус
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Kaspersky Internet Security 2012<br />
<strong>Файловый</strong> <strong>Антивирус</strong>
Kaspersky Internet Security 2012<br />
<strong>Файловый</strong> <strong>Антивирус</strong><br />
Что такое <strong>Файловый</strong> <strong>Антивирус</strong><br />
Файловая система может содержать вирусы и другие опасные программы. Вредоносные<br />
программы могут годами храниться в вашей файловой системе, проникнув однажды со<br />
съемного диска или из интернета, и никак не проявлять себя. Однако стоит только открыть<br />
зараженный файл или, например, попытаться скопировать его на диск, вирус тут же<br />
проявит себя.<br />
<strong>Файловый</strong> <strong>Антивирус</strong> — компонент, который контролирует файловую систему<br />
компьютера и позволяет избежать ее заражения. Компонент запускается при старте<br />
операционной системы, постоянно находится в оперативной памяти компьютера и<br />
проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и<br />
всех присоединенных по сети дисках.<br />
Включение/отключение Файлового <strong>Антивирус</strong>а<br />
Чтобы включить/отключить <strong>Файловый</strong> <strong>Антивирус</strong>, выполните следующие действия:<br />
1. Откройте окно настройки программы.<br />
2. В окне Настройка в разделе Центр защиты в списке компонентов слева выберите<br />
<strong>Файловый</strong> <strong>Антивирус</strong>.<br />
3. В правой части окна выполните следующие действия:<br />
► Если вы хотите включить компонент, установите флажок Включить <strong>Файловый</strong><br />
<strong>Антивирус</strong>.<br />
► Если вы хотите отключить компонент, снимите флажок Включить <strong>Файловый</strong><br />
<strong>Антивирус</strong>.<br />
4. В окне Настройка нажмите на кнопку Применить.<br />
1 | 19
Kaspersky Internet Security 2012<br />
Алгоритм работы Файлового <strong>Антивирус</strong>а<br />
По умолчанию <strong>Файловый</strong> <strong>Антивирус</strong> работает следующим образом:<br />
► Каждая программа или файл, к которому обращается пользователь, перехватывается<br />
и анализируется Файловым <strong>Антивирус</strong>ом. Компонент проверяет наличие<br />
информации о перехваченном файле в базах iChecker и iSwift (подробнее см.<br />
далее) и на основании полученных сведений принимает решение о необходимости<br />
проверки файла. Проверка проводится следующим образом:<br />
► Файл анализируется на присутствие вирусов на основе антивирусных баз<br />
программы. На основании результата анализа <strong>Файловый</strong> <strong>Антивирус</strong> выполняет<br />
одно из следующих действий:<br />
► Если в файле обнаружен вредоносный код, <strong>Файловый</strong> <strong>Антивирус</strong> блокирует<br />
файл, создает его резервную копию в Резервном хранилище и пытается провести<br />
лечение. В результате успешного лечения файл становится доступным для<br />
работы, если же лечение произвести не удалось, файл удаляется.<br />
► Если в файле обнаружен код, похожий на вредоносный, или для него пока нет<br />
лечения, файл помещается в специальное хранилище — карантин.<br />
► Если в файле не обнаружено вредоносного кода, он сразу же становится доступным<br />
для работы.<br />
Уровни безопасности Файлового <strong>Антивирус</strong>а<br />
Уровень безопасности — это набор предустановленных параметров Файлового<br />
<strong>Антивирус</strong>а, обеспечивающий тот или иной уровень защиты файлов и памяти системы.<br />
Для разных условий работы подходят разные наборы параметров, которые обеспечивают<br />
тот или иной уровень защиты файлов и памяти системы (уровни безопасности).<br />
Специалистами Лаборатории Касперского были разработаны три уровня безопасности,<br />
которые вы можете выбрать в зависимости от ситуации:<br />
► Если вы подозреваете, что вероятность заражения вашего компьютера высока,<br />
установите Высокий уровень безопасности.<br />
► Если вы работаете в защищенной среде (например, в корпоративной сети с централизованным<br />
обеспечением безопасности), установите Низкий уровень безопасности.<br />
► Рекомендуемый уровень безопасности обеспечивает оптимальный баланс между<br />
безопасностью и производительностью системы. Подходит для большинства<br />
случаев.<br />
2 | 19
Kaspersky Internet Security 2012<br />
Чтобы изменить уровень безопасности Файлового <strong>Антивирус</strong>а, выполните следующие<br />
действия:<br />
1. В правой части окна Настройка компонента <strong>Файловый</strong> <strong>Антивирус</strong> задайте<br />
уровень безопасности, перетащив вертикальный ползунок в нужное положение.<br />
2. В окне Настройка нажмите на кнопку Применить.<br />
Изменение действия Файлового <strong>Антивирус</strong>а при обнаружении угрозы<br />
Действия по умолчанию<br />
По умолчанию программа сама определяет действие над обнаруженным объектом.<br />
Если в результате проверки Файловому <strong>Антивирус</strong>у не удалось определить, заражен<br />
ли объект, то программа перемещает его на карантин. Карантин — это специальное<br />
хранилище, в которое помещаются объекты, которые могут быть заражены вирусами.<br />
Объекты, помещенные на карантин, не представляют угрозы для вашего компьютера.<br />
Если в результате проверки объекту присвоен статус одной из вредоносных программ,<br />
<strong>Файловый</strong> <strong>Антивирус</strong> попытается вылечить зараженный объект. Если лечение<br />
невозможно, то объект будет удален.<br />
Перед лечением или удалением зараженного объекта KIS 2012 формирует его<br />
резервную копию на тот случай, если понадобится восстановить объект или появится<br />
возможность его вылечить. Срок хранения резервной копии — 30 дней.<br />
Действия, которые может задать пользователь<br />
Вы можете сами задать действие над обнаруженными угрозами. <strong>Файловый</strong> <strong>Антивирус</strong><br />
может выполнять следующие действия при обнаружении угрозы:<br />
► Лечить;<br />
► Удалять;<br />
► Удалять, если лечение невозможно (появляется, если активен пункт Лечить).<br />
При выборе действия Лечить программа действует следующим образом:<br />
► Если объект можно вылечить, он лечится и вновь становится доступен для пользователя.<br />
3 | 19
Kaspersky Internet Security 2012<br />
► Если в результате проверки не удалось определить, заражен объект или нет, он<br />
помещается на карантин. Если у вас включена проверка файлов на карантине<br />
после каждого обновления баз, то после получения новой сигнатуры лечения<br />
объект на карантине лечится и становится доступен для пользователя.<br />
► Если объекту присвоен статус вируса, но его лечение невозможно, объект блокируется<br />
и отражается в отчете об обнаруженных угрозах.<br />
Если вы хотите, чтобы зараженные объекты, которые нельзя вылечить, удалялись,<br />
поставьте флажок Удалять, если лечение невозможно (появляется, если установлен<br />
флажок Лечить).<br />
Вы также можете выбрать только действие Удалять, но в таком случае будут удаляться<br />
даже те объекты, которые могли быть доступны для дальнейшего использования после<br />
лечения.<br />
Для выбора нужного действия установите флажок напротив этого действия и нажмите на<br />
кнопку Применить для сохранения изменений.<br />
Специалисты Лаборатории Касперского рекомендуют устанавливать следующие<br />
действия для обнаруженных угроз:<br />
► Лечить;<br />
► Удалять, если лечение невозможно.<br />
В этом случае программа будет совершать над объектом следующие действия:<br />
► Лечить, если объект можно вылечить. После лечения с объектом можно будет<br />
продолжить работу.<br />
► Помещать на карантин, если в результате проверки не удалось определить,<br />
заражен объект или нет. Если у вас включена проверка файлов на карантине после<br />
каждого обновления баз, то после получения новой сигнатуры лечения объект на<br />
карантине будет вылечен и вновь доступен для пользователя.<br />
► Удалять, если объекту присвоен статус вируса и его лечение невозможно.<br />
4 | 19
Kaspersky Internet Security 2012<br />
Действие для каждого объекта<br />
Если вы хотите сами определять действие Файлового <strong>Антивирус</strong>а для каждого<br />
обнаруженного объекта, включите Интерактивный режим работы. Для этого выполните<br />
следующие действия:<br />
1. В левой части окна Настройка перейдите в раздел Основные параметры.<br />
2. В блоке Интерактивная защита снимите флажок Выбирать действие автоматически.<br />
3. В окне Настройка нажмите на кнопку Применить.<br />
Включить интерактивный режим можно только для всей программы. Поэтому при<br />
его включении вам придется определять действие для каждого объекта, найденного<br />
любым из компонентов KIS 2012.<br />
Как задать действие над обнаруженными угрозами<br />
Чтобы задать действие над обнаруженными угрозами, выполните следующие действия:<br />
1. В левой части окна Настройка выберите компонент <strong>Файловый</strong> <strong>Антивирус</strong>.<br />
2. Убедитесь, что в правой части окна установлен флажок Включить <strong>Файловый</strong><br />
<strong>Антивирус</strong>.<br />
3. В разделе Действие выберите действие над обнаруженными угрозами:<br />
► Запрашивать действие.<br />
► Выполнять действие:<br />
► Лечить.<br />
► Удалять (удалять, если лечение невозможно).<br />
4. В окне Настройка нажмите на кнопку Применить.<br />
5 | 19
Kaspersky Internet Security 2012<br />
Если выбран вариант Выполнять действие, но не выбрано на одно из действий, то<br />
<strong>Файловый</strong> <strong>Антивирус</strong> будет блокировать опасные объекты и помещать их в карантин,<br />
оповещая об этом пользователя.<br />
Флажок Удалять, если лечение невозможно появляется только при установке флажка<br />
Лечить.<br />
Настройка параметров пользовательского уровня безопасности<br />
Чтобы произвести более тонкую настройку параметров Файлового <strong>Антивирус</strong>а, в блоке<br />
Уровень безопасности нажмите на кнопку Настройка.<br />
6 | 19
Kaspersky Internet Security 2012<br />
Откроется окно <strong>Файловый</strong> <strong>Антивирус</strong>.<br />
Выбор типа файлов, проверяемых Файловым <strong>Антивирус</strong>ом<br />
В окне <strong>Файловый</strong> <strong>Антивирус</strong> на закладке Общие вы можете установить/выбрать тип<br />
файлов, проверяемых Файловым <strong>Антивирус</strong>ом. По умолчанию <strong>Файловый</strong> <strong>Антивирус</strong><br />
проверяет только потенциально заражаемые файлы (файлы, в которые может внедриться<br />
вирус), запускаемые со всех жестких, съемных и сетевых дисков.<br />
Вы можете сами выбрать типы файлов, которые будут проверяться Файловым<br />
<strong>Антивирус</strong>ом на наличие вредоносных объектов.<br />
Для выбора доступны следующие типы файлов:<br />
► Все файлы — <strong>Файловый</strong> <strong>Антивирус</strong> анализирует все файлы независимо от их<br />
имени (например, «пресс-релиз») или расширения (например, «.doc»);<br />
► Файлы, проверяемые по формату — <strong>Файловый</strong> <strong>Антивирус</strong> анализирует<br />
внутренний заголовок файла на предмет формата файла (текстовый, исполнительный<br />
и другие). Если в результате анализа выясняется, что файл такого<br />
формата не может быть заражен, он не проверяется на присутствие вирусов и<br />
становится доступен для работы. Если формат файла предполагает возможность<br />
заражения, файл проверяется на вирусы;<br />
► Файлы, проверяемые по расширению — <strong>Файловый</strong> <strong>Антивирус</strong> проверяет<br />
файлы в зависимости от расширения (например, файлы с расширением .com, .exe,<br />
.sys, .bat, .dll и другие). Расширение имени файла предназначено для идентификации<br />
типа файла. С помощью расширения файла пользователь или ПО может<br />
определить тип данных, содержащихся в этом файле.<br />
7 | 19
Kaspersky Internet Security 2012<br />
При выборе типа файлов, проверяемых Файловым <strong>Антивирус</strong>ом, следует учитывать<br />
некоторые особенности. Например, злоумышленник может отправить вирус на ваш<br />
компьютер в файле с расширением txt, хотя на самом деле такой файл может быть<br />
исполняемым, переименованным в txt-файл.<br />
Если выбран параметр Файлы, проверяемые по расширению, то в процессе проверки<br />
такой файл будет пропущен.<br />
Если выбран параметр Файлы, проверяемые по формату, то, несмотря на расширение,<br />
<strong>Файловый</strong> <strong>Антивирус</strong> проанализирует формат файла, в результате чего может<br />
выясниться, что файл имеет exe-формат. Такой файл будет подвергнут проверке на<br />
вирусы.<br />
8 | 19
Kaspersky Internet Security 2012<br />
Выбор местоположения файлов, проверяемых Файловым <strong>Антивирус</strong>ом<br />
Вы также можете задать местоположение проверяемых файлов в блоке Область защиты.<br />
Чтобы добавить в список новый объект для проверки, выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> нажмите ссылку Добавить.<br />
2. В окне Выбор объекта для проверки выберите объект и нажмите на кнопку Добавить.<br />
3. После добавления всех нужных объектов в окне Выбор объекта для проверки<br />
нажмите на кнопку OK.<br />
4. В окне <strong>Файловый</strong> <strong>Антивирус</strong> нажмите на кнопку ОК.<br />
9 | 19
Kaspersky Internet Security 2012<br />
Методы проверки Файловым <strong>Антивирус</strong>ом<br />
По умолчанию <strong>Файловый</strong> <strong>Антивирус</strong> проверяет объекты, используя сигнатурный анализ<br />
(базы с описанием известных угроз и методов их лечения). Компонент сопоставляет<br />
проверяемый объект с записями в базах и определяет, является ли объект вредоносным.<br />
Тем мне менее новые вредоносные программы появляются каждый день. Если запись о<br />
вредоносном объекте еще не попала в базы, обнаружить его поможет эвристический<br />
анализатор. Этот модуль анализирует активность объекта в системе и, если активность<br />
типична для вредоносных программ, признает объект вредоносным.<br />
Чтобы настроить работу эвристического анализатора, выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Производительность.<br />
2. В блоке Эвристический анализатор задайте уровень детализации8 проверки эвристического<br />
анализатора, перемещая ползунок по горизонтали.<br />
3. Нажмите на кнопку OK.<br />
Оптимизация проверки файлов<br />
Чтобы сократить время проверки и увеличить скорость работы продукта, вы можете<br />
настроить проверку только новых файлов и файлов, которые изменились с момента<br />
предыдущего анализа. Для этого выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Производительность.<br />
2. В блоке Оптимизация проверки установите флажок Проверять только новые и<br />
измененные файлы.<br />
8 Чем выше установленный уровень детализации, тем больше ресурсов потребует<br />
проверка и тем больше времени она займет, но тем тщательнее будет проведен анализ.<br />
10 | 19
Kaspersky Internet Security 2012<br />
3. Нажмите на кнопку OK.<br />
Настройка проверки составных файлов<br />
Составной файл — это файл, являющийся структурированным хранилищем нескольких<br />
файлов. К составным файлам относятся, например, архивы и OLE-объекты. Зачастую<br />
злоумышленники скрывают вредоносные объекты путем внедрения их в составные<br />
файлы (архивы). Чтобы обнаружить такие объекты, Файловому <strong>Антивирус</strong>у необходимо<br />
распаковать архив, что значительно замедляет скорость проверки.<br />
Чтобы включить проверку архивов, выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Производительность.<br />
2. В блоке Проверка составных файлов установите флажок Проверять архивы.<br />
11 | 19
Kaspersky Internet Security 2012<br />
3. Нажмите на кнопку ОК.<br />
Установочные или инсталляционные пакеты (файлы для установки различных программ)<br />
и файлы, вложенные в OLE-объекты (объекты (картинки, тексты, чертежи, таблицы),<br />
созданные в одной программе, но которые можно открыть также с помощью других<br />
программ), запускаются сразу при открытии, что делает их более опасными, чем архивы.<br />
Чтобы включить проверку инсталляционных пакетов и вложенных OLE-объектов,<br />
выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> на закладке Производительность в блоке<br />
Проверка составных файлов установите соответствующие флажки.<br />
2. Нажмите на кнопку OK.<br />
12 | 19
Kaspersky Internet Security 2012<br />
При проверке составных файлов большого размера их предварительная распаковка<br />
может занять много времени. Это время можно сократить, если проводить проверку<br />
файлов в фоновом режиме (то есть во время работы пользователя с другими<br />
программами). Если в ходе работы с таким файлом будет обнаружен вредоносный объект,<br />
<strong>Файловый</strong> <strong>Антивирус</strong> уведомит вас об этом.<br />
Чтобы составные файлы проверялись в фоновом режиме, выполните следующие<br />
действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> на закладке Производительность в блоке<br />
Проверка составных файлов нажмите на кнопку Дополнительно.<br />
2. В окне Составные файлы установите флажок Распаковывать составные файлы<br />
в фоновом режиме.<br />
3. В поле Минимальный размер файла с клавиатуры или с помощью стрелок<br />
задайте минимальный размер файла для проверки в фоновом режиме в мегабайтах.<br />
Все файлы меньшего размеры будут проверяться в обычном режиме.<br />
13 | 19
Kaspersky Internet Security 2012<br />
4. Нажмите на кнопку OK.<br />
Чтобы уменьшить задержку доступа пользователя к составным файлам, можно отключить<br />
распаковку файлов, имеющих размер больше заданного. Для этого выполните следующие<br />
действия:<br />
1. В блоке Ограничение по размеру задайте максимальный размер проверяемых<br />
файлов с клавиатуры или с помощью стрелок. На проверку файлов, извлекаемых из<br />
архивов, этот параметр не распространяется.<br />
2. Нажмите на кнопку OK.<br />
14 | 19
Kaspersky Internet Security 2012<br />
Режимы проверки Файлового <strong>Антивирус</strong>а<br />
Вы можете выбрать один из четырех режимов проверки объектов Файловым<br />
<strong>Антивирус</strong>ом:<br />
► Интеллектуальный;<br />
► При доступе и изменении (при считывании информации из файла и редактировании<br />
его содержимого);<br />
► При доступе (при считывании информации из файла какой-либо программой);<br />
► При выполнении (при запуске исполняемого файла-программы).<br />
По умолчанию активен Интеллектуальный режим, при котором решение о проверке<br />
объекта принимается на основе операций, выполняемых с ним. Например, при работе с<br />
документом Microsoft Office <strong>Файловый</strong> <strong>Антивирус</strong> проверяет файл при первом открытии<br />
и при последнем закрытии. Все промежуточные операции перезаписи файла из проверки<br />
исключаются.<br />
Чтобы задать режим проверки, выполните следующие действия:<br />
3. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Дополнительно.<br />
4. В блоке Режим проверки выберите нужный режим.<br />
5. Нажмите на кнопку OK.<br />
Технологии проверки iSwift и iChecker<br />
Интеллектуальные технологии iChecker и iSwift позволяют ускорить работу Файлового<br />
<strong>Антивирус</strong>а. Максимальная эффективность указанных технологий достигается через<br />
некоторое время после установки продукта. Технологии iChecker и iSwift дополняют друг<br />
друга, обеспечивая ускорение антивирусной проверки различных объектов различных<br />
файловых и операционных систем.<br />
15 | 19
Kaspersky Internet Security 2012<br />
При первой проверке объекта с использованием технологии iChecker запоминается его<br />
контрольная сумма. Контрольная сумма — это уникальная цифровая подпись объекта,<br />
позволяющая распознать подлинность этого объекта. При любом изменении объекта<br />
эта сумма меняется, и при следующей проверке <strong>Файловый</strong> <strong>Антивирус</strong> сверяет первую<br />
контрольную сумму с текущей. Если значения не совпадают, объект повторно проверяется<br />
на наличие вредоносного кода. В случае совпадения значений объект пропускается (не<br />
проверяется).<br />
iChecker поддерживает только форматы exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar и не<br />
проверяет файлы размером более 4 ГБ, так как в таких случаях проверить весь файл<br />
быстрее, чем вычислять для него контрольную сумму.<br />
Технология iSwift применима только для файловой системы NTFS, в которой каждому<br />
объекту присваивается NTFS-идентификатор. Этот идентификатор сравнивается<br />
со значениями специальной базы данных iSwift. Алгоритм iSwift учитывает дату<br />
предыдущей проверки объекта. Если с момента последней проверки прошло<br />
столько же или больше времени, чем с первой до последней проверки, iSwift<br />
проверит объект. Объект также проверяется, если настройки проверки были<br />
изменены на более жесткие.<br />
Технология iSwift привязана к конкретному местоположению файла в файловой системе.<br />
Если файл скопирован, перемещен, то он снова подвергнется проверке.<br />
Чтобы включить применение технологий iSwift и iChecker, выполните следующие<br />
действия:<br />
6. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Дополнительно.<br />
7. В блоке Технологии проверки установите флажки Технология iSwift и Технология<br />
iChecker.<br />
8. Нажмите на кнопку OK.<br />
16 | 19
Kaspersky Internet Security 2012<br />
Приостановка работы Файлового <strong>Антивирус</strong>а<br />
При выполнении работ, требующих значительных ресурсов операционной системы, вы<br />
можете временно останавливать работу Файлового <strong>Антивирус</strong>а. Чтобы снизить нагрузку<br />
и обеспечить быстрый доступ к объектам, можно настроить отключение компонента в<br />
определенное время. Для этого выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Дополнительно.<br />
2. В блоке Приостановка задачи установите флажок По расписанию.<br />
3. Нажмите на кнопку Расписание.<br />
4. В окне Приостановка задачи в поля Приостановить в и Восстановить в введите<br />
нужное время остановки и возобновления работы компонента.<br />
5. Нажмите на кнопку OK.<br />
6. В окне <strong>Файловый</strong> <strong>Антивирус</strong> нажмите на кнопку ОК.<br />
Кроме отключения по расписанию вы можете настроить отключение Файлового<br />
<strong>Антивирус</strong>а при работе с определенными ресурсоемкими программами. Для этого<br />
выполните следующие действия:<br />
1. В окне <strong>Файловый</strong> <strong>Антивирус</strong> перейдите на закладку Дополнительно.<br />
2. В блоке Приостановка задачи установите флажок При запуске программ.<br />
3. Нажмите на кнопку Выбрать.<br />
17 | 19
Kaspersky Internet Security 2012<br />
4. В окне программы нажмите ссылку Добавить. Далее выполните одно из следующих<br />
действий:<br />
► Выберите программу из списка Программы.<br />
► Нажмите Обзор и выберите программу через окно проводника.<br />
5. Сформировав список программ, в окне Программы нажмите на кнопку OK.<br />
6. В окне <strong>Файловый</strong> <strong>Антивирус</strong> нажмите на кнопку ОК.<br />
Возврат к параметрам Файлового <strong>Антивирус</strong>а, установленным по умолчанию<br />
После изменения параметров Файлового <strong>Антивирус</strong>а вы всегда можете вернуться к<br />
параметрам по умолчанию. Для этого выполните следующие действия:<br />
1. Закройте окно <strong>Файловый</strong> <strong>Антивирус</strong>.<br />
2. В окне Настройка в блоке Уровень безопасности нажмите на кнопку По умолчанию.<br />
18 | 19
Kaspersky Internet Security 2012<br />
3. Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.<br />
19 | 19