Антивирусная сеть dr web не видит компьютер
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
В результате проверки исправлений я обнаружил, что патч исправляет не саму проблему с доверенными приложениям, а только мой способ реализации данной уязвимости. Старая версия frwl_svc.exe отлично обходила ограничения. Все собранные сведения были переданы команде Dr Web. Вскоре была выпущена новая версия исправления, которая уже не обходилась моим методом.
Timeline
16.02.2021: Передача отчета в Dr.Web.
25.02.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
11.03.2021: Получение CVE 2021-28130.
14.03.2021: Проверка исправлений.
15.03.2021: Передача отчета в Dr.Web.
06.04.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
Обновился с 6 версии (на которой сидел несколько лет и был доволен) на 8 версию. Вот теперь разгребаю. Подскажите плс, как решить следующие вопросы:
1. Один из компов в локалке включен постоянно, работает под Win7, имеет доступ в инет и на нем DrWeb обновляется с инета и создает зеркало для обновления остальных компов в сети. Проблема в том, что компы работающие под Win7 обновляются с этого зеркала без проблем. А вот комп работающий под WinXP отказывается с этого зеркала обновляться. В логах DrWeb ругается
[struct tag_ldr_error *] = boost::filesystem::status: Отказано в доступе: "\\Lil-serv\drweb_mirror"
Причем лог-пасс в настройках апдейтера прописан правильный. Папка-зеркало с этого компа из винды XP видна и полностью доступна. Ее невидит почему то только DrWeb! Пробовал я эту папку с зеркалом скопировать на локальный винт компа с WinXP - обновляет. Пробовал положить папку с зеркалом на флешку всунутую в роутер и доступную по сети - и оттуда обновляет. Похоже именно Win7 на компе с зеркалом непропускает DrWeb с компа под WinXP. Подозреваю что какие то протоколы безопасности несовпадают или еще что. Кто нить занет как это решить?
2. На всех компах (и с Win7 и с WinXP) DrWeb не видит сеть. В настройках апдейтера приходится прописывать сетевой путь руками. В Win7 в настройках "Обновление > Источник обновлений > Обзор > Сеть" не отображает компы которые в сети, буд-то их нет. В WinXP точно также не может выйти за пределы рабочей группы. Последнее что видит DrWeb это Workgroup, а компы в этой группе уже нет. Винда эти компы видит и все остальные приложения в винде тоже. Подозреваю дело в том, что все виндовые приложения используют для обзора стандартные виндовые функции. А DrWeb рисует какое то свое, нестандартное окно "Обзор папок" и оно непашет как надо.
Хотелось бы уточнить, как с обзором сетевых ресурсов из под DrWeb обстоят дела у других. Это моя сеть нестандартная, с точки зрения антивируса? Или у всех антиврус невидит компы в сети в окне "Открытие папок"?
3. Мою проблему с зеркалом (см 1 пункт) могло бы решить размещение зеркала на флешке всунутой в роутер и доступной по сети. Я экспериментировал (копировал на флешку зеркало), с этой флешки у меня обновляются все компы и с WinXP и с Win7. Однако в настройках DrWeb в окне в котором указывается путь по которому создавать зеркало почему то невозможно выбрать сетевой путь, только локальные жесткие диски. И что печальнее, вписать путь руками антивирус недает! Только выбрать папку на винте мышей можно. Это у всех так? Как то обойти можно?
Ну вот в принципе и все вопросы. Извините за "многа букав" Техподдержку по 1 и 2 вопросам мучал, когда они в 3 раз написали "укажите логин-пароль" в настройках, я понял что помочь они немогут и надо искать альтернативные пути.
Обновился с 6 версии (на которой сидел несколько лет и был доволен) на 8 версию. Вот теперь разгребаю. Подскажите плс, как решить следующие вопросы:
1. Один из компов в локалке включен постоянно, работает под Win7, имеет доступ в инет и на нем DrWeb обновляется с инета и создает зеркало для обновления остальных компов в сети. Проблема в том, что компы работающие под Win7 обновляются с этого зеркала без проблем. А вот комп работающий под WinXP отказывается с этого зеркала обновляться. В логах DrWeb ругается
[struct tag_ldr_error *] = boost::filesystem::status: Отказано в доступе: "\\Lil-serv\drweb_mirror"
Причем лог-пасс в настройках апдейтера прописан правильный. Папка-зеркало с этого компа из винды XP видна и полностью доступна. Ее невидит почему то только DrWeb! Пробовал я эту папку с зеркалом скопировать на локальный винт компа с WinXP - обновляет. Пробовал положить папку с зеркалом на флешку всунутую в роутер и доступную по сети - и оттуда обновляет. Похоже именно Win7 на компе с зеркалом непропускает DrWeb с компа под WinXP. Подозреваю что какие то протоколы безопасности несовпадают или еще что. Кто нить занет как это решить?
2. На всех компах (и с Win7 и с WinXP) DrWeb не видит сеть. В настройках апдейтера приходится прописывать сетевой путь руками. В Win7 в настройках "Обновление > Источник обновлений > Обзор > Сеть" не отображает компы которые в сети, буд-то их нет. В WinXP точно также не может выйти за пределы рабочей группы. Последнее что видит DrWeb это Workgroup, а компы в этой группе уже нет. Винда эти компы видит и все остальные приложения в винде тоже. Подозреваю дело в том, что все виндовые приложения используют для обзора стандартные виндовые функции. А DrWeb рисует какое то свое, нестандартное окно "Обзор папок" и оно непашет как надо.
Хотелось бы уточнить, как с обзором сетевых ресурсов из под DrWeb обстоят дела у других. Это моя сеть нестандартная, с точки зрения антивируса? Или у всех антиврус невидит компы в сети в окне "Открытие папок"?
3. Мою проблему с зеркалом (см 1 пункт) могло бы решить размещение зеркала на флешке всунутой в роутер и доступной по сети. Я экспериментировал (копировал на флешку зеркало), с этой флешки у меня обновляются все компы и с WinXP и с Win7. Однако в настройках DrWeb в окне в котором указывается путь по которому создавать зеркало почему то невозможно выбрать сетевой путь, только локальные жесткие диски. И что печальнее, вписать путь руками антивирус недает! Только выбрать папку на винте мышей можно. Это у всех так? Как то обойти можно?
Ну вот в принципе и все вопросы. Извините за "многа букав" Техподдержку по 1 и 2 вопросам мучал, когда они в 3 раз написали "укажите логин-пароль" в настройках, я понял что помочь они немогут и надо искать альтернативные пути.
Перестала отображаться антивирусная сеть.
Перезапуск сервера не помогает.
Перезапуск сервера не помогает.
а куда webmin пишет логи ?
эксперементально оказалось проблема с построением списка антивирусной сети возникает при работе с IE9
если потом зайти любыи другим, то и в нём начинает снова работать.
the Spirit of the Enlightenment
Привсоединяюсь к проблеме, в IE 9 не отображается "Антивирусная Сеть". В других браузерах все нормально.
очистить содержимое подкаталога sessions (оставив сам пустой каталог) в каталоге var рабочего каталога ЕС-сервера.
Все почистил, но сеть все равно не отображается!
Данная проблема касается только IE 9, в остальных версиях браузера все работает!
можно сюда разместить лог ЕС-сервера (каталог var рабочего каталога ЕС-сервера, файл drwcsd.log), но имейте ввиду, что там может содержаться информация, которую вы бы не хотели делать общедоступной, тогда необходимо обратиться с логом в нашу техподдержку.
тогда необходимо обратиться с логом в нашу техподдержку.
Прблема, насколько я понимаю, возникла не давно. Сам такое заметил на Mozila FF 16.0.1
Писла в тех поддержку. Однако самое интересное что минут через 10 все появляется.
А теперь этот глюк пропал. Был несколько дней и пропал.
У меня эта проблема не так давно, причем это только с версией IE 9, в остальных версиях и браузерах все работает.
Куда копать и в какую сторону смотреть даже и не знаю)!
Нет, и не буду тратить свое время))))
Логика непонятна, вы уже потратили время, написав на форуме, вам ответили, что без логов пытаться понять, в чем проблема - невозможно. Но логи могут содержать приватную информацию, поэтому порекомендовали обратиться в СТП, если такая приватность критична. Впрочем, это ваше дело.
Зеркало обновлений — это папка, в которую копируются обновления. Зеркало обновлений может быть использовано как источник обновлений Dr.Web для компьютеров в локальной сети, которые не подключены к интернету.
Как настроить зеркало обновлений через интерфейс антивируса?
Откройте меню антивируса, щёлкнув по значку в трее и выбрав Центр безопасности;
- Щёлкните по значку замка, разрешите внесение изменений и нажмите кнопку с шестерёнкой (Настройки)
- Перейдите на вкладку Обновление и выберите Дополнительные настройки.
- Установите переключатель Зеркало обновлений в положение Вкл. Откроется окно настройки зеркала:
- В поле Адрес указывается имя хоста или IP-адрес в форматах IPv4 или IPv6.
- В поле Порт указывается любой свободный порт.
Как настроить зеркало обновлений вручную?
Сначала на любой ПК с доступом к интернету нужно скопировать 3 следующих файла, взяв их с компьютера, на котором установлен требующий обновления автономный антивирус:
- drwupsrv.exe (утилита обновления). В 11 и 12 версиях Dr.Web он расположен в директории C:\Program Files\Common Files\Doctor Web\Updater. При копировании на ПК с 32-битной ОС важно, чтобы разрядность файла также была 32-битной. Для 64-битной системы совпадение разрядностей необязательно.
- drwzones.xml (файл с зонами обновлений). В 11 и 12 версиях Dr.Web он расположен:
- для Windows XP — C:\Documents and Settings\All Users\Application Data\Doctor Web\Updater\etc
- для Windows Vista/7/8/8.1/10 — C:\ProgramData\Doctor Web\Updater\etc - Файл лицензионного ключа.
- Для пользователей коммерческих лицензий на бизнес-продукты – agent.key.
- Для пользователей домашних версий – drweb32.key.
- Также может иметь формат SL123456789.key и располагаться в каталоге установки антивируса, по умолчанию C:\Program Files\DrWeb.
Ключевой файл может быть скачан из письма, полученного после первичной регистрации серийного номера, в некоторых случаях – из директории установки антивируса C:\Program Files\DrWeb.
Эти файлы необходимы и достаточны для начала создания зеркала обновления. В приведенном далее примере все указанные файлы будут записаны в каталог C:\mirror на ПК с доступом к Интернету.
Утилита обновления имеет несколько режимов работы и множество параметров, которые описаны в документации. После размещения всех указанных выше файлов в нужной директории (в нашем случае C:\mirror) необходимо запустить командную строку от имени администратора и задать в ней следующую команду:
C:\mirror\drwupsrv.exe -c download -s 90 --zones=C:\mirror\drwzones.xml -r C:\mirror\repo --key-dir=C:\mirror --data-dir=C:\mirror -l --log-dir=C:\mirror --verbosity debug
Параметры и их описание
Выполняемая команда: getversions — получить версии, getcomponents — получить компоненты, update — обновление, uninstall — удалить, exec — выполнить, keyupdate — обновить ключ, download — скачать.
В нашем случае необходимо сначала загрузить зеркало обновлений. Соответственно, для загрузки используется режим download.
Подключение через прокси-сервер
Параметр -g [ --proxy ] позволяет задать адрес прокси-сервера для обновления в формате : . Пример:
-g 11.22.33.44:3128
--proxy=11.22.33.44:3128
Если на ПК, где создается зеркало, при подключении к интернету используется прокси-сервер, при запуске создания зеркала из командной строки необходимо задать дополнительные параметры:
C:\mirror\drwupsrv.exe -c download -s 90 --zones=C:\mirror\drwzones.xml -r C:\mirror\repo --key-dir=C:\mirror --data-dir=C:\mirror -l --log-dir=C:\mirror --verbosity debug --proxy=11.22.33.44:3128 --user=qwerty --password=qwerty
Параметры -u [ --user ] и -k [ --password ] позволяют задать имя пользователя и пароль для авторизации на прокси-сервере, если таковая предусмотрена. Пример:
-u qwerty -k qwerty
--user=qwerty --password=qwerty
Как настроить источник обновления на целевом ПК через интерфейс антивируса?
- Откройте меню антивируса, щёлкнув по значку в трее и выбрав Центр безопасности.
- Щёлкните по значку замка, разрешите внесение изменений и нажмите кнопку с шестерёнкой (Настройки).
- Перейдите на вкладку Обновление (или Основные → Обновление для 11 версии), в разделе Источник обновлений нажмите ссылку Изменить.
- Укажите вариант Локальная или сетевая папка (содержащая файлы созданного зеркала обновлений). Для сетевой папки нужно также указать имя пользователя (логин учётной записи) и пароль, если таковой был задан.
Узнать имя текущего компьютера можно множеством способов. Самый быстрый – сочетание клавиш Win + Pause break. В открывшемся окне свойств системы – Имя компьютера. Также можно открыть свойство любого ярлыка или файла и зайти на вкладку Подробно или Безопасность. Еще один способ узнать локальное имя компьютера – команда hostname. Узнать имя удаленного компьютера можно, запустив ping с параметром -a, например: ping -a 11.22.33.44
В разделе Источник обновлений также можно выбрать вариант Антивирусная сеть. В открывшейся строке выберите локальный адрес компьютера, на котором также установлен Dr.Web и настроено зеркало обновлений.
Как запускать обновления из зеркала с использованием командной строки?
По аналогии с режимом загрузки (download) у утилиты есть также режим обновления (update) и соответствующий набор параметров, часть из которых уникальна для этого режима.
Для запуска утилиты в режиме обновления используется параметр -c [ --command ] со значением update .
Для запуска обновления из зеркала, расположенного в нашем примере в папке C:\mirror\repo :
Важно! Обновление антивируса из зеркала с использованием утилиты обновления в режиме командной строки имеет свои особенности. Подобный запуск утилиты обновления никак не будет зафиксирован установленным на машине антивирусом. Обновление баз и компонентов произойдет, но основная управляющая служба антивируса об этом ничего «не узнает». Точно выяснить, корректно ли произошло обновление, можно только по журналу утилиты обновления. Из этого следует, что при подобном способе обновления продукта вы можете получать ошибку «Вирусные базы устарели», тогда как на самом деле они будут обновлены. Данная особенность связана с архитектурой антивируса. Запуск утилиты обновления отдельно от управляющего сервиса - это способ, который требуется только в служебных целях.
В обычной ситуации рекомендуется пользоваться штатным способом обновления через интерфейс.
Каковы особенности обновления сертифицированных версий Dr.Web?
Сертифицированные версии допустимо обновлять одним из двух способов:
- С зеркала, созданного сертифицированной версией продукта.
- С использованием файла drwzones.xml, ведущего на сертифицированные зоны.
Версионность и оригинальность файлов крайне важна, если на изолированной машине стоит сертифицированный продукт. Обновление сертифицированной версии из зеркала, сформированного актуальной (релизной) версией антивируса, приведет к изменению контрольных сумм исполняемых файлов и утере статуса сертификации СЗИ (средства защиты информации). В файле drwzones.xml, взятом из антивируса, который был установлен из сертифицированного дистрибутива, будет своя зона обновлений. При создании зеркала именно она и будет использоваться для загрузки обновлений баз и компонентов. Использование релизного drwzones.xml приведет к потере сертифицированного статуса.
Как обеспечить целостность файлов при переносе?
Чтобы минимизировать риски повреждения файлов при их переносе вручную в каталог, из которого будет происходить обновление, рекомендуем использовать при переносе папки файловый менеджер с возможностью двоичного режима передачи данных. Альтернативное решение — выполнять передачу файлов архивом.
Обновление антивируса на ПК без доступа к сети
Установите версию Dr.Web без централизованного управления, воспользовавшись Руководством (инструкции по установке для версий ниже 12.0 можно найти здесь).
Обновите антивирус на рабочих станциях с использованием полученного репозитория.
Зачем антивирусу Dr.Web нужна перезагрузка после некоторых обновлений?
Компания «Доктор Веб» отслеживает появление новых угроз и оперативно добавляет защиту от них в свои продукты в виде обновлений. Многие вредоносные программы пытаются внедриться в операционную систему как можно «ниже» — на уровень драйверов и ранней загрузки, чтобы помешать защитным средствам, в том числе антивирусам, обнаружить их. Для устранения таких угроз драйверы перехвата Dr.Web устанавливаются на уровень ниже драйверов ОС, пресекая любую попытку проникновения вредоносного кода в систему.
Архитектура Windows требует перезагрузки при обновлении драйверов.
После штатной модификации алгоритмов обнаружения вредоносного ПО и после выпуска срочных обновлений для защиты от новых угроз требуется перезагрузка системы, потому что только после перезагрузки устанавливаются новые драйверы перехвата Dr.Web.
Хороший пример перехвата атак уровня загрузки — эпидемия WannaCry — даже при незакрытых уязвимостях в ОС Windows этот троянец не мог их использовать, поскольку перехватывался антивирусом Dr.Web, установленном на ПК.
ВАЖНО! Начиная с Windows 8.0 выключить ПК и вновь включить его недостаточно — важно именно выполнить перезагрузку! Это критически важный момент, поскольку зачастую пользователи после установки обновления просто выключают ПК на ночь и утром включают его снова. Напоминание о необходимости обновления продолжает появляться, и пользователь воспринимает его как ошибку. На самом деле в Windows 8.0 и более поздних версиях был изменен алгоритм запуска — при выключении ПК Windows сохраняет «образ» системы, используя его при следующем включении. Это позволяет значительно сократить время запуска ПК, поскольку прогрузки драйверов (что важно в случае с антивирусом) не происходит.
Как правильно произвести перезагрузку после обновления антивируса
В ходе обновления антивирус может загружать как обновления антивирусных баз, так и файлы самого антивируса. В последнем случае применение обновлений может быть невозможно без перезагрузки операционной системы (здесь можно прочитать, почему так происходит). В таком случае пользователю будет показано следующее уведомление:
- перезагрузиться немедленно — завершив все используемые приложения и нажав кнопку Перезагрузить сейчас,
- выбрать время следующего уведомления или назначить время перезагрузки.
Для выполнения двух последних действий необходимо нажать кнопку Напомнить позже.
Автоматическая перезагрузка может быть назначена в пределах ближайших 24 часов.
Также пользователь может перезагрузить систему самостоятельно. Например, выбрав последовательно Пуск → Завершение работы или выход из системы → Завершение работы или перезагрузка.
! Выбор перехода в спящий режим и смена учетной записи не приводят к перезагрузке системы и ее обновлению.
! Нажатие кнопки выключения планшета или ноутбука переводит его в спящий режим. Для применения обновлений необходимо его перезагрузить любым доступным образом, в том числе выбрав вариант перезагрузки в уведомлении антивируса.
Чем различаются обновления компонентов антивируса и обновления вирусных баз?
Я слышал, что при покупке антивируса Dr.Web я заплачу только за копию программы, а за обновления вирусных баз и модулей программы придется платить снова и снова. Так ли это?
Нет, это не так. При покупке вы оплачиваете не только стоимость самой программы, но и право получать обновления вирусных баз и программных модулей, а также техническую поддержку в течение всего срока действия вашей лицензии. Никаких дополнительных денег у вас никто требовать не будет! Доказательством тому служит текст лицензионного соглашения, который вам предлагается прочитать перед установкой антивируса. В нем наша компания берет на себя ряд обязательств и в том числе гарантирует:
«В течение всего срока действия лицензии Вы имеете право бесплатно получать и устанавливать обновления вирусных баз и программные модули ПО, выпускаемые Правообладателем».
Лицензионное соглашение — юридический документ, гарантия ваших прав как потребителя.
Почему Вы советуете производить обновления при КАЖДОМ подключении к сети Интернет?
Новые вирусы появляются сотнями тысяч КАЖДЫЙ ДЕНЬ – и соответственно десятками тысяч ежечасно. Подавляющее их большинство — видоизмененные копии ранее созданных вирусов, их родные братья и сестры. Да, эвристический анализатор и поведенческий анализатор Dr.Web действительно позволяют с большой долей вероятности предположить, что файл был инфицирован или является троянцем. Но «может быть» не означает «наверняка»! Этот файл однозначно будет определяться как вирус только после внесения его в вирусную базу Dr.Web.
Но ни один производитель антивирусного ПО не сможет вам гарантировать, что именно сегодня кто-то не пишет принципиально новый вирус, определить который не сможет даже самый совершенный эвристический анализатор.
Как правило, вредоносные программы одновременно попадают как к своим жертвам, так и на анализ в антивирусную лабораторию, и в случае новейших вредоносных программ, до этого не распознаваемых с помощью имеющихся механизмов, на выработку и тестирование «лекарства» антивирусным аналитикам требуется время. И частое обновление позволяет минимизировать время получения обновления потенциальными жертвами атак злоумышленников - достаточно частой является ситуация, когда в момент заражения «лекарство» для вредоносного файла уже было доступно для загрузки, но так и не было загружено.
Принципиальной позицией компании «Доктор Веб» - в отличие от иных производителей – является максимально частый выпуск обновлений с целью сокращения промежутка времени, в который новые угрозы могут представлять опасность.
Вот почему вирусные базы Dr.Web нужно обновлять при каждом подключении к Интернету – или максимально часто при постоянном подключении.
Как обновить версию Dr.Web
Если у вас Windows XP
Рекомендуем обновить антивирус до версии 11.5 .
Если у вас другая ОС,
кроме Windows XP
Рекомендуем обновить антивирус до версии 12 .
2. На следующем шаге выберите для скачивания версию 11.5 и загрузите ее.
2. На следующем шаге выберите для скачивания версию 12 и загрузите ее.
3. Удалите установленную у вас устаревшую версию Dr.Web.
Последовательно выберите Пуск → Найти.
В открывшемся окне введите Панель управления.
Далее в зависимости от вида Панели управления и используемой вами версии ОC Windows найдите пункт Удаление программ, Установка и удаление программ или Программы и компоненты.
После построения списка установленного ПО выберите антивирус и далее пункт Удалить.
Следуйте инструкциям мастера удаления. В ходе удаления вам будет предложено сохранить сделанные ранее настройки. Рекомендуем вам их сохранить .
4. Установите ранее скачанный дистрибутив Dr.Web.
Во время установки укажите вашу лицензию.
Ключ скачивается и устанавливается в программу автоматически.
Как настроить периодичность обновления?
- Откройте меню антивируса, щёлкнув по значку в трее и выбрав Центр безопасности;
- Щёлкните по значку замка, разрешите внесение изменений и нажмите кнопку с шестерёнкой (Настройки);
- Перейдите на вкладку Обновление и выберите удобный вам интервал.
Как проверить актуальность антивирусных баз?
Щёлкните по значку антивируса в правом нижнем углу экрана: вторая строчка снизу – состояние баз (обычно – «Обновление не требуется»). При нажатии на строку-статус откроется окно для обновления вручную (кнопка Обновить).
Настройка запрета отключения обновлений на станциях
- В Центре Управления перейти в раздел Конфигурация → Права меню «Антивирусная сеть».
- Выбрать в основном окне программы ОС, Агентам которой необходимо запретить отключение обновлений.
- Перейти на вкладку Общие.
После совершения этих действий пользователи всех рабочих станций под управлением определённой ОС (в нашем примере – Windows) не смогут отключить функцию автоматического получения обновлений от сервера.
Важно! Описанные действия совершаются над всеми рабочими станциями под Windows, поскольку данная настройка задаёт параметр для общей группы Everyone, куда входят все Агенты.
Для запрета отключения обновлений на конкретной рабочей станции необходимо вручную настроить её параметры через ЦУ. Для этого необходимо сделать следующее:
-
В Центре Управления открыть меню «Антивирусная сеть» и выбрать нужную рабочую станцию.
Читайте также: