Dr web отключить поведенческий анализ
Вероятно, вы приобрели продление для Антивируса Dr.Web, в который эти компоненты не входят, или просто скачали не тот дистрибутив.
В первом случае вам необходимо приобрести лицензию Dr.Web Security Space или обменять лицензию Антивирус Dr.Web на нужный продукт, доплатив разницу в стоимости или получив новую лицензию на несколько меньший срок.
В состав антивируса Dr.Web для Windows входят много программ. Какая из них защищает меня от вирусов, а какие только вспомогательные программы?
Антивирус Dr.Web — это целый комплекс программ, каждая из которых обеспечивает защиту своего "участка обороны" Вашего компьютера. Удаление (неустановка) или отключение хотя бы одного компонента защиты значительно снижают надежность антивирусной охраны в целом, поэтому мы настоятельно советуем не отключать без крайней надобности ни один из компонентов программы.
Вспомогательными программами комплекса являются Утилита автоматического обновления и Планировщик.
Dr.Web только удаляет троянские программы? Он их не лечит?
Для ответа на этот вопрос следует понимать, в чем разница между вирусом и троянской программой. Как правило, вирус добавляет (дописывает свой код) к заражаемому им файлу, и таким образом, инфицированный вирусом файл состоит собственно из «здорового» файла и добавленной к нему зараженной вирусом части. Вместе они представляют собой инфицированный вирусом файл. Большинство таких файлов антивирус Dr.Web может лечить (и лечит). Причем, речь идет не о «лечении вируса», а об «излечении файла», инфицированного вирусом.
Троянская программа - вредоносная по всей своей сути целиком. Троянец не дописывает себя к файлам, он живет самостоятельной жизнью полноценной компьютерной программы, поэтому для него не существует лечения - только удаление. Некоторые троянские программы портят различные системные объекты, например, реестр Windows. В таком случае можно говорить о возможности лечения системы (но не троянской программы), которое заключается, в частности, в удалении самого троянца, а также в восстановлении испорченных им объектов.
Для чего предназначен сканер? Разве недостаточно антивирусного монитора SpIDerGuard, всегда контролирующего все обращения к файлам?
Сканер Dr.Web для Windows производит проверку файлов либо по команде пользователя, либо по расписанию, заданному в Планировщике. Проверяются не все файлы (разве что если такой очень ресурсоемкий режим проверки не задан самим пользователем), а только указанные в настройках сканера. Посмотреть текущие настройки сканера можно через панель меню главного окна программы, выбрав пункт "Настройки" через опцию "Изменить настройки". По умолчанию (т.е. по настройкам, заданным разработчиками антивируса) проверяются файлы по формату — файлы в архивах, упакованные файлы и почтовые файлы, а также оперативная память и все файлы автозапуска. При желании, можно задать проверку отдельных логических дисков, каталогов, проверку по типам файлов, по заданной маске или сканирование всех файлов.
У меня есть подозрение, что ко мне на компьютер пробрался вирус. Как можно запустить сканер?
Есть несколько способов запуска сканера.
- При установке программы Dr.Web на компьютер на Рабочем столе появилась иконка с паучком на темно-зеленом фоне — иконка сканера. Щелкните по ней мышкой, и сканер запустится.
- В правом нижнем углу дисплея (системном лотке) находится иконка антивируса в виде черного паучка на сером фоне. Щелкните по ней левой или правой кнопкой мыши. В появившемся контекстном меню выберите пункт «Сканер», затем выберите нужный режим проверки: быстрая, полная или выборочная.
- Через Проводник Windows для проверки конкретного объекта (файла или папки). Щелкните по выбранному объекту правой кнопкой мыши. В открывшемся контекстном меню выберите пункт «Проверить Dr.Web» с иконкой в виде черного паучка на сером фоне. Сканер немедленно запустится, и файл будет проверен.
В настройках сканера есть действие над подозрительными и неизлечимыми файлами — «Перемещать в карантин». Такие файлы перемещаются куда-то на моем же компьютере? То есть он остается зараженным вирусом?
Действие «Переместить» для подозрительных и неизлечимых объектов означает следующее. Файл физически перемещается в специальную карантинную папку. Помимо перемещения, файл теряет свое расширение. Такие действия означают фактическое «разоружение» вируса, делают его недееспособным и, следовательно, абсолютно безопасным. В дальнейшем вы можете открыть Менеджер карантина и удалить файлы, если они вам не нужны.
Можно ли отключить антивирусный почтовый монитор SpIDerMail, ведь сканер тоже поверяет почтовые файлы?
Сканер действительно проверяет почтовые файлы, но только по запросу пользователя или по расписанию, заданному в планировщике. А что делать, когда сканер не запущен на выполнение сканирования? Пропускать вирусы? Вот для этого и создан почтовый монитор SpIDerMail, который ПОСТОЯННО "на лету" осуществляет проверку входящей и исходящей почты.
Я пользуюсь очень редкой почтовой программой. Защищает ли меня в таком случае один из компонентов антивируса — SpIDerMail?
Безусловно да! Независимо от того, каким почтовым клиентом Вы пользуетесь, почтовый монитор SpIDerMail, благодаря его особой реализации, будет проверять как входящую, так и исходящую с вашего компьютера почту.
Настройки
Антивирус блокирует доступ в Интернет, без антивируса доступ есть
Одной из вероятных (но не единственной!) проблем являются некорректные настройки компонента Брандмауэр Dr.Web. Вы можете самостоятельно их изменить или сбросить настройки в значения по умолчанию. Чтобы сбросить настройки:
Войдите в Центр безопасности. Для этого:
Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана). Если значок отсутствует в трее, нажмите на кнопку “стрелка вверх”
и на открывшейся панели нажмите на значок Dr.Web .
Внимание! Внешний вид кнопки “стрелка вверх” может отличаться в зависимости от версии операционной системы и ее настроек. Так, например, он может выглядеть как или .
Нажмите на пункт Центр безопасности
Откроется окно Центра безопасности. Список пунктов может отличаться в зависимости от используемой версии продукта.
Разрешите изменение настроек (перейдите в административный режим работы):
По умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек – укажите его.
Значок в левом нижнем углу окна изменит вид на .
Нажмите на значок шестеренки справа вверху окна. В разделе Общие кликните на кнопку Изменить под пунктом Управление настройками. В открывшемся списке действий выберите Восстановить настройки по умолчанию.
Если сброс настроек изменит язык интерфейса антивируса, в том же разделе настроек Общие (General) кликните на список Language и выберите язык интерфейса.
Закройте окно настроек.
В связи со сбросом настроек при попытке программ выйти в сеть Интернет могут появляться запросы на создание правил доступа (создать правило, запретить однократно, разрешить однократно) от компонента Брандмауэр Dr.Web. Необходимо создать разрешающее правило для нужных приложений, нажав на кнопку Создать правило, затем выбрав действие Разрешить и нажав OK.
Как сбросить настройки антивируса?
Войдите в Центр безопасности. Для этого:
Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана). Если значок отсутствует в трее, нажмите на кнопку “стрелка вверх”
и на открывшейся панели нажмите на значок Dr.Web .
! Внешний вид кнопки “стрелка вверх” может отличаться в зависимости от версии операционной системы и ее настроек. Так, например, он может выглядеть как или .
Нажмите на пункт Центр безопасности
Откроется окно Центра безопасности. Список пунктов может отличаться в зависимости от используемой версии продукта.
Разрешите изменение настроек (перейдите в административный режим работы):
По умолчанию возможность изменения настроек заблокирована. Для разблокировки нажмите на значок замка (Административный режим) в левом нижнем углу окна. Если у вас установлен пароль для доступа к изменению настроек – укажите его.
Значок в левом нижнем углу окна изменит вид на .
Нажмите на значок шестеренки справа вверху окна. В разделе Общие кликните на кнопку Изменить под пунктом Управление настройками. В открывшемся списке действий выберите Восстановить настройки по умолчанию.
Если сброс настроек изменит язык интерфейса антивируса. В том же разделе настроек Общие (General) кликните на список Language и выберите язык интерфейса.
Закройте окно настроек.
В связи со сбросом настроек при попытке программ выйти в сеть Интернет могут появляться запросы на создание правил доступа (создать правило, запретить однократно, разрешить однократно) от компонента Брандмауэр Dr.Web. Необходимо создать разрешающее правило для нужных приложений, нажав на кнопку Создать правило, затем выбрав действие Разрешить и нажав OK.
Как настроить Dr.Web для обеспечения удаленного доступа к защищаемой системе
ПО Dr.Web версии 11.5 для конечных станций на ОС Windows:
- Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
- Нажмите значок замка (Административный режим), разрешите запуск приложения.
- Нажмите значок шестерёнки (Настройки), затем выберите пункт Основные → Самозащита.
- Переведите в положение Откл. переключатель Запрещать эмуляцию действий пользователя.
ПО Dr.Web версии 12 для конечных станций на ОС Windows:
- Нажмите значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
- Выберите Центр безопасности, затем значок замка (Административный режим), чтобы разрешить изменение настроек.
- Нажмите значок шестерёнки (Настройки) в правом верхнем углу открывшегося окна, затем выберите пункт Самозащита.
- Переведите в положение Откл. переключатель Запрещать эмуляцию действий пользователя.
Также снять опцию можно в момент установки антивируса в разделе Параметры установки, закладке Дополнительные опции.
Как сбросить настройки программы в состояние по умолчанию?
ПО Dr.Web версии 11.5 для конечных станций на ОС Windows:
- Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
- Нажмите на значок замка (Административный режим), разрешите запуск приложения.
- Нажмите на значок шестерёнки (Настройки), далее нажмите на кнопку Изменить, выберите пункт Сбросить настройки. Нажмите OK, чтобы подтвердить сброс.
- После сброса настроек язык интерфейса антивируса изменится на английский. Чтобы вернуть русский язык интерфейса, выберите Main→ Advanced. В списке Language нажмите пункт English, выберите пункт Russia (Русский), закройте окно.
Для версии Dr.Web для Windos 12:
- Нажмите на значок Dr.Web в области уведомлений (в нижнем правом углу экрана).
- Выберите Центр безопасности, затем нажмите на значок замка (Административный режим), разрешите запуск приложения.
- Нажмите на значок шестерёнки (Настройки), затем в разделе Управление настройками нажмите на кнопку Изменить и выберите пункт Восстановить настройки по умолчанию. Нажмите OK, чтобы подтвердить сброс.
Включение отправки уведомлений о событиях на почту
Могу ли я отключить уведомления о необходимости перезагрузки после получения обновлений?
Без перезагрузки работа полученных обновлений антивируса невозможна, поэтому отключать такие уведомления не стоит, и сделать это через интерфейс антивируса невозможно.
Компания «Доктор Веб» отслеживает появление новых угроз и оперативно добавляет защиту от них в свои продукты в виде обновлений. Каждое обновление — это усиление защиты от тех угроз, которых ранее не существовало и которые ранее Dr.Web не мог определять.
Обновлять антивирус нужно сразу после поступления обновлений. Для этого достаточно не отключать настройки обновлений, заданные разработчиком Dr.Web, — антивирус будет обновляться самостоятельно и вовремя.
Но еще очень важно ПРОВОДИТЬ ПЕРЕЗАГРУЗКУ ПК после обновлений, требующих такой перезагрузки, — как бы часто Dr.Web ни просил вас это делать. Потому что только после перезагрузки устанавливаются новые драйверы перехвата и исправления потенциальных уязвимостей защиты Dr.Web.
И это только один пример того, как специалисты компании «Доктор Веб» заботятся о защите своих пользователей.
Если перезагрузка не убирает такие уведомления, то это может быть связано с особенностями действующей операционной системы. В этом случае следует оформить письменный запрос в службу технической поддержки и следовать полученным указаниям специалистов.
Причиной вашей ситуации является использование функции быстрого запуска в операционной системе Windows 10 на вашем ПК.
Как вы знаете, обновлять антивирус нужно сразу после поступления обновлений. Для некоторых самых важных обновлений обязательно необходимо проводить ПЕРЕЗАГРУЗКУ ПК. Потому что только после перезагрузки устанавливаются новые драйверы перехвата и исправления потенциальных уязвимостей защиты Dr.Web. Подробнее.
Быстрый запуск в ОС Windows 10 не позволяет выгружать ядро системы и драйверы полностью. Это создает проблему для некоторых приложений, в частности антивирусов, когда требуется полная выгрузка/загрузка модулей/драйверов при обновлении.
Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.
Чтобы включить или отключить компонент Поведенческий анализ
1. Откройте меню Dr.Web и выберите пункт Центр безопасности .
2. В открывшемся окне нажмите плитку Превентивная защита .
3. Включите или отключите компонент Поведенческий анализ при помощи переключателя .
Рисунок 63. Включение/отключение компонента Поведенческий анализ
Параметры Поведенческого анализа
Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.
Чтобы перейти к параметрам компонента Поведенческий анализ
1. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
2. Нажмите плитку Поведенческий анализ . Откроется окно параметров компонента.
Рисунок 64. Параметры Поведенческого анализа
Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.
Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.
Блокируются только действия приложений, которые не являются доверенными.
Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.
В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.
Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.
В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.
Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.
Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:
• Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.
• Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:
Рисунок 65. Пример уведомления с запросом доступа к защищаемому объекту
• Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:
Рисунок 66. Пример уведомления о запрете доступа к защищаемому объекту
Чтобы создать новый уровень защиты
1. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
3. В открывшемся окне укажите название для нового профиля.
Чтобы удалить уровень защиты
1. Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.
3. Нажмите OK , чтобы подтвердить удаление.
Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.
Чтобы задать отдельные параметры доступа для конкретных приложений перейдите на вкладку Доступ приложений . Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.
Рисунок 67. Параметры доступа для приложений
Для работы с объектами в таблице доступны следующие элементы управления:
• Кнопка — добавление набора правил для приложения.
• Кнопка — редактирование существующих наборов правил.
• Кнопка — удаление набора правил.
В столбце ( Тип правила ) может отображаться три типа правил:
• — задано правило Разрешать все для всех защищаемых объектов.
• — заданы разные правила для защищаемых объектов.
• — задано правило Блокировать все для всех защищаемых объектов.
Чтобы добавить правило для приложения
2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.
Рисунок 68. Добавление набора правил для приложения
3. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
Целостность запущенных приложений
Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.
Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.
Низкоуровневый доступ к диску
Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.
Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.
Критические области Windows
Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).
Доступ к параметрам запуска приложений (IFEO):
• Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Драйверы мультимедийных устройств:
Параметры оболочки Winlogon:
• Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL
Автозапуск оболочки Windows:
• Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib
Ассоциации исполняемых файлов:
• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)
Политики ограничения запуска программ (SRP):
Плагины Internet Explorer (BHO):
• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Конфигурация безопасного режима:
Параметры Менеджера сессий:
• System\ControlSetXXX\Control\Session Manager\SubSystems, Windows
Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите Поведенческий анализ.
Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.
Чтобы включить или отключить компонент Поведенческий анализ
1. Откройте меню Dr.Web и выберите пункт Центр безопасности .
2. В открывшемся окне нажмите плитку Превентивная защита .
3. Включите или отключите компонент Поведенческий анализ при помощи переключателя .
Рисунок 46. Включение/отключение компонента Поведенческий анализ
Параметры Поведенческого анализа
Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.
Чтобы перейти к параметрам компонента Поведенческий анализ
1. Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
2. Нажмите плитку Поведенческий анализ . Откроется окно параметров компонента.
Рисунок 47. Параметры Поведенческого анализа
Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.
Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.
Блокируются только действия приложений, которые не являются доверенными.
Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.
В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.
Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.
В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.
Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.
Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:
• Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.
• Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:
Рисунок 48. Пример уведомления с запросом доступа к защищаемому объекту
• Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:
Рисунок 49. Пример уведомления о запрете доступа к защищаемому объекту
Чтобы создать новый уровень защиты
1. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
3. В открывшемся окне укажите название для нового профиля.
Чтобы удалить уровень защиты
1. Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.
3. Нажмите OK , чтобы подтвердить удаление.
Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.
Чтобы задать отдельные параметры доступа для конкретных приложений перейдите на вкладку Доступ приложений . Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.
Рисунок 50. Параметры доступа для приложений
Для работы с объектами в таблице доступны следующие элементы управления:
• Кнопка — добавление набора правил для приложения.
• Кнопка — редактирование существующих наборов правил.
• Кнопка — удаление набора правил.
В столбце ( Тип правила ) может отображаться три типа правил:
• — задано правило Разрешать все для всех защищаемых объектов.
• — заданы разные правила для защищаемых объектов.
• — задано правило Блокировать все для всех защищаемых объектов.
Чтобы добавить правило для приложения
2. В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.
Рисунок 51. Добавление набора правил для приложения
3. Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
Целостность запущенных приложений
Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.
Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.
Низкоуровневый доступ к диску
Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.
Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.
Критические области Windows
Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).
Доступ к параметрам запуска приложений (IFEO):
• Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Драйверы мультимедийных устройств:
Параметры оболочки Winlogon:
• Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL
Автозапуск оболочки Windows:
• Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib
Ассоциации исполняемых файлов:
• Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)
Политики ограничения запуска программ (SRP):
Плагины Internet Explorer (BHO):
• Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Конфигурация безопасного режима:
Параметры Менеджера сессий:
• System\ControlSetXXX\Control\Session Manager\SubSystems, Windows
Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите Поведенческий анализ.
В версиях Dr.Web 9-11.5 этот модуль назывался Превентивная защита.
Благодаря модулю Поведенческий анализ Dr.Web способен:
- защищать от проникновения новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, знания о которых не поступили в систему защиты (например, в связи с тем, что не были загружены последние обновления)
- распознавать нежелательные изменения пользовательских файлов, отслеживая работу всех процессов системы в поисках действий, характерных для процессов вредоносных программ (например, действий троянцев-шифровальщиков), не позволяя вредоносным объектам внедриться в процессы других программ
- обнаруживать и нейтрализовать новейшие, еще не известные угрозы: троянцев-вымогателей (шифровальщиков), инжекторы, удаленно управляемые вредоносные объекты (распространяемые для организации ботнетов и шпионажа), а также вирусные упаковщики
Настройки
Рассмотрим подробнее, что дает пользователю включение каждой настройки.
Файл HOSTS
Этот файл позволяет определить соответствие между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.
Файл HOSTS позволяет злоумышленникам блокировать доступ к сайтам антивирусных компаний и перенаправлять пользователей на поддельные сайты.
Dr.Web не дает возможности вредоносным программам вносить изменения в файл HOSTS и перенаправлять пользователей на фишинговые ресурсы.
Целостность запущенных приложений
Процесс — это набор ресурсов и данных, которые находятся в оперативной памяти компьютера. Процесс, принадлежащий одной программе, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.
Dr.Web не позволяет вредоносным программам внедряться в процессы других программ (например, запрещает троянцам изменять процесс браузера для получения доступа к системе ДБО), тем самым не давая им реализовать свой функционал полностью или частично.
Низкоуровневый доступ к диску
При штатной работе операционной системы Windows доступ к файлам происходит путем обращения к файловой системе, которая подконтрольна ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к определенным секторам диска.
Внедрение троянца в загрузочную область существенно затрудняет как его обнаружение, так и процесс обезвреживания.
Dr.Web блокирует возможность изменения вредоносными программами загрузочных областей диска и предотвращает запуск троянцев на компьютере.
Загрузка драйверов
Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего присутствия на компьютере и выполнения несанкционированных пользователем действий, например отправки логинов и паролей, а также иных идентификационных сведений злоумышленникам.
Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.
Параметры запуска приложений
В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно назначить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяя модифицировать данные отлаживаемого процесса. С помощью данного ключа вредоносное ПО, будучи назначенным отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что интересует злоумышленников.
Dr.Web блокирует доступ к ключу реестра Image File Execution Options.
Реальной необходимости отлаживать приложения на лету у обычных пользователей нет, а риск от использования ключа Image File Execution Options вредоносными программами очень высок.
Драйверы мультимедийных устройств
Известны некоторые вредоносные программы, которые создают исполняемые файлы и регистрируют их как виртуальные устройства.
Dr.Web блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможным установку нового виртуального устройства.
Параметры оболочки Winlogon, Нотификаторы Winlogon
Интерфейс Winlogon notification package реализует возможность обрабатывать события, назначаемые на вход и выход пользователей, включение и выключение операционной системы, и некоторые другие. Вредоносные программы, получив доступ к Winlogon notification package, могут перезагружать ОС, выключать компьютер, препятствовать входу пользователей в рабочую среду ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web запрещает изменение веток реестра, отвечающих за Winlogon notification package, и не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы.
Автозапуск оболочки Windows
Опция блокирует сразу несколько параметров в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows загружать указанные DLL каждый раз, когда запускается какая-либо программа), AppInit_DLLs (может использоваться для внедрения руткита в Windows), Run (необходим для запуска программ в минимизированном виде после запуска операционной системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая необходима для нормального отображения рабочего стола и значков на экране).
Dr.Web блокирует ряд параметров в реестре Windows, например, запрещая вирусам изменить нормальное отображение Рабочего стола или не позволяя руткиту скрыть присутствие троянца в системе.
Ассоциации исполняемых файлов
Некоторые вредоносные программы нарушают ассоциации исполняемых файлов, в результате чего программы не запускаются – или вместо нужной пользователю программы запускается программа, назначенная вредоносным ПО.
Dr.Web не позволяет вредоносному ПО изменить правила запуска программ.
Политики ограничения запуска программ (SRP)
В Windows можно настроить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из определенных папок (например, Program Files) и запретить выполнение программ из прочих источников. Блокировка ветки реестра, отвечающей за настройку политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.
Dr.Web позволяет защитить систему от вредоносного ПО, попадающего на компьютер через почту и съемные носители — и запускающегося, например, из временного каталога. Опция рекомендуется к использованию в корпоративной среде.
Плагины Internet Explorer (BHO)
С помощью данной настройки можно запретить установку новых плагинов для Internet Explorer путем блокирования соответствующей ветки реестра.
Dr.Web защищает браузер от вредоносных плагинов, например от блокировщиков браузера.
Автозапуск программ
Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.
Dr.Web позволяет предотвратить автозапуск вредоносных программ, не давая им зарегистрироваться в реестре для последующего запуска.
Автозапуск политик
Опция блокирует ветку реестра, с помощью которой можно запустить любую программу при входе пользователя в систему.
Dr.Web позволяет предотвратить автозапуск определенных программ, например анти-антивирусов.
Конфигурация безопасного режима
Некоторые троянцы отключают безопасный режим Windows для затруднения лечения компьютера.
Dr.Web предотвращает отключение безопасного режима путем блокировки изменения реестра.
Параметры менеджера сессий
Опция защищает параметры диспетчера сеансов Windows – системы, от которой зависит стабильность работы операционной системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации переменных окружения, запуска ряда системных процессов, выполнения операций по удалению, перемещению или копированию файлов до полной загрузки системы и т. п.
Dr.Web защищает операционную систему от внедрения вредоносных программ, их запуска до полной загрузки операционной системы — и, следовательно, до завершения запуска антивируса.
Системные службы
Опция защищает изменение параметров реестра, отвечающих за нормальную работу системных служб.
Некоторые вирусы могут блокировать редактор реестра, затрудняя нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков установленных программ или не дают перемещать файлы.
Dr.Web не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.
Режимы настроек
Пользователю предлагаются четыре режима настроек: оптимальный (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.
В оптимальном режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.
При повышении режима система более тщательно защищается от действий вредоносного ПО, еще неизвестного вирусной базе Dr.Web, но одновременно возрастает риск возникновения конфликтов между запретами Монитора активности и нуждами запущенных приложений.
В версиях Dr.Web 9-11.5 этот модуль назывался Превентивная защита.
Благодаря модулю Поведенческий анализ Dr.Web способен:
- защищать от проникновения новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, знания о которых не поступили в систему защиты (например, в связи с тем, что не были загружены последние обновления)
- распознавать нежелательные изменения пользовательских файлов, отслеживая работу всех процессов системы в поисках действий, характерных для процессов вредоносных программ (например, действий троянцев-шифровальщиков), не позволяя вредоносным объектам внедриться в процессы других программ
- обнаруживать и нейтрализовать новейшие, еще не известные угрозы: троянцев-вымогателей (шифровальщиков), инжекторы, удаленно управляемые вредоносные объекты (распространяемые для организации ботнетов и шпионажа), а также вирусные упаковщики
Настройки
Рассмотрим подробнее, что дает пользователю включение каждой настройки.
Файл HOSTS
Этот файл позволяет определить соответствие между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.
Файл HOSTS позволяет злоумышленникам блокировать доступ к сайтам антивирусных компаний и перенаправлять пользователей на поддельные сайты.
Dr.Web не дает возможности вредоносным программам вносить изменения в файл HOSTS и перенаправлять пользователей на фишинговые ресурсы.
Целостность запущенных приложений
Процесс — это набор ресурсов и данных, которые находятся в оперативной памяти компьютера. Процесс, принадлежащий одной программе, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.
Dr.Web не позволяет вредоносным программам внедряться в процессы других программ (например, запрещает троянцам изменять процесс браузера для получения доступа к системе ДБО), тем самым не давая им реализовать свой функционал полностью или частично.
Низкоуровневый доступ к диску
При штатной работе операционной системы Windows доступ к файлам происходит путем обращения к файловой системе, которая подконтрольна ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к определенным секторам диска.
Внедрение троянца в загрузочную область существенно затрудняет как его обнаружение, так и процесс обезвреживания.
Dr.Web блокирует возможность изменения вредоносными программами загрузочных областей диска и предотвращает запуск троянцев на компьютере.
Загрузка драйверов
Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего присутствия на компьютере и выполнения несанкционированных пользователем действий, например отправки логинов и паролей, а также иных идентификационных сведений злоумышленникам.
Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.
Параметры запуска приложений
В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно назначить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяя модифицировать данные отлаживаемого процесса. С помощью данного ключа вредоносное ПО, будучи назначенным отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что интересует злоумышленников.
Dr.Web блокирует доступ к ключу реестра Image File Execution Options.
Реальной необходимости отлаживать приложения на лету у обычных пользователей нет, а риск от использования ключа Image File Execution Options вредоносными программами очень высок.
Драйверы мультимедийных устройств
Известны некоторые вредоносные программы, которые создают исполняемые файлы и регистрируют их как виртуальные устройства.
Dr.Web блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможным установку нового виртуального устройства.
Параметры оболочки Winlogon, Нотификаторы Winlogon
Интерфейс Winlogon notification package реализует возможность обрабатывать события, назначаемые на вход и выход пользователей, включение и выключение операционной системы, и некоторые другие. Вредоносные программы, получив доступ к Winlogon notification package, могут перезагружать ОС, выключать компьютер, препятствовать входу пользователей в рабочую среду ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.
Dr.Web запрещает изменение веток реестра, отвечающих за Winlogon notification package, и не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы.
Автозапуск оболочки Windows
Опция блокирует сразу несколько параметров в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows загружать указанные DLL каждый раз, когда запускается какая-либо программа), AppInit_DLLs (может использоваться для внедрения руткита в Windows), Run (необходим для запуска программ в минимизированном виде после запуска операционной системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая необходима для нормального отображения рабочего стола и значков на экране).
Dr.Web блокирует ряд параметров в реестре Windows, например, запрещая вирусам изменить нормальное отображение Рабочего стола или не позволяя руткиту скрыть присутствие троянца в системе.
Ассоциации исполняемых файлов
Некоторые вредоносные программы нарушают ассоциации исполняемых файлов, в результате чего программы не запускаются – или вместо нужной пользователю программы запускается программа, назначенная вредоносным ПО.
Dr.Web не позволяет вредоносному ПО изменить правила запуска программ.
Политики ограничения запуска программ (SRP)
В Windows можно настроить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из определенных папок (например, Program Files) и запретить выполнение программ из прочих источников. Блокировка ветки реестра, отвечающей за настройку политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.
Dr.Web позволяет защитить систему от вредоносного ПО, попадающего на компьютер через почту и съемные носители — и запускающегося, например, из временного каталога. Опция рекомендуется к использованию в корпоративной среде.
Плагины Internet Explorer (BHO)
С помощью данной настройки можно запретить установку новых плагинов для Internet Explorer путем блокирования соответствующей ветки реестра.
Dr.Web защищает браузер от вредоносных плагинов, например от блокировщиков браузера.
Автозапуск программ
Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.
Dr.Web позволяет предотвратить автозапуск вредоносных программ, не давая им зарегистрироваться в реестре для последующего запуска.
Автозапуск политик
Опция блокирует ветку реестра, с помощью которой можно запустить любую программу при входе пользователя в систему.
Dr.Web позволяет предотвратить автозапуск определенных программ, например анти-антивирусов.
Конфигурация безопасного режима
Некоторые троянцы отключают безопасный режим Windows для затруднения лечения компьютера.
Dr.Web предотвращает отключение безопасного режима путем блокировки изменения реестра.
Параметры менеджера сессий
Опция защищает параметры диспетчера сеансов Windows – системы, от которой зависит стабильность работы операционной системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации переменных окружения, запуска ряда системных процессов, выполнения операций по удалению, перемещению или копированию файлов до полной загрузки системы и т. п.
Dr.Web защищает операционную систему от внедрения вредоносных программ, их запуска до полной загрузки операционной системы — и, следовательно, до завершения запуска антивируса.
Системные службы
Опция защищает изменение параметров реестра, отвечающих за нормальную работу системных служб.
Некоторые вирусы могут блокировать редактор реестра, затрудняя нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков установленных программ или не дают перемещать файлы.
Dr.Web не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.
Режимы настроек
Пользователю предлагаются четыре режима настроек: оптимальный (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.
В оптимальном режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.
При повышении режима система более тщательно защищается от действий вредоносного ПО, еще неизвестного вирусной базе Dr.Web, но одновременно возрастает риск возникновения конфликтов между запретами Монитора активности и нуждами запущенных приложений.
Читайте также: