Kód: Vybrat vše
OVĚŘENÍ NASTAVENÍ KASPERSKY INTERNET SECURITY
Po nainstalování a konfiguraci aplikace Kaspersky Internet Security mŧţete zkontrolovat, zda je konfigurace aplikace správná. Učiníte tak pomocí testovacích „virŧ" a jejich rŧzných forem. Pro jednotlivé součásti / protokoly je poţadován samostatný test.
V TOMTO ODDÍLE:
Testovací „virus" EICAR a jeho modifikace ................................................................................................................... 201
Testování ochrany datového toku HTTP ....................................................................................................................... 202
Testování ochrany datového toku SMTP ....................................................................................................................... 203
Ověření nastavení součásti File Anti-Virus .................................................................................................................... 203
Ověření nastavení úlohy antivirové kontroly .................................................................................................................. 203
Ověření nastavení součásti Anti-Spam ......................................................................................................................... 204
TESTOVACÍ „VIRUS" EICAR A JEHO MODIFIKACE
Tento testovací „virus" byl organizací (European Institute for Computer Antivirus Research) vyvinut speciálně pro testování antivirových produktŧ.
Zkušební „virus" NENÍ SKUTEČNÝ VIRUS, protoţe neobsahuje kód, který by mohl poškodit počítač. Většina výrobcŧ antivirových programŧ jej však za virus označuje.
Nikdy nepouţívejte pro testování funkčnosti antivirového programu skutečné viry!
Zkušební virus lze stáhnout z oficiálního webu EICAR na adrese http://www.eicar.org/anti_virus_test_file.htm.
Neţ soubor stáhnete, musíte deaktivovat antivirovou ochranu počítače, protoţe jinak jej aplikace rozpozná a spustí anti_virus_test_file.htm akci stanovenou pro napadený objekt přenesený prostřednictvím HTTP protokolu. Nezapomeňte ihned po staţení zkušebního „viru" znovu aktivovat antivirovou ochranu.
Aplikace identifikuje soubory staţené z internetových stránek EICAR jako napadený objekt obsahující virus, který nelze dezinfikovat, a provede akce určené pro tento typ objektu.
Mŧţete také upravit standardní zkušební „virus" pro kontrolu činnosti aplikace. Chcete-li modifikovat "virus", změňte obsah standardního "viru" přidáním jedné z předpon (viz tabulka níţe). Chcete-li modifikovat zkušební "virus", mŧţete pouţít libovolný textový nebo hypertextový editor, jako například Microsoft Notepad, UltraEdit32 atd.
Správnou činnost antivirové aplikace lze pomocí upraveného „viru" EICAR otestovat pouze v případě, ţe jste antivirové databáze naposledy aktualizovali 24. října 2003 nebo později (říjen 2003, souhrnné aktualizace).
V prvním sloupci níţe uvedené tabulky jsou uvedeny předpony, které se musí přidat na začátek řetězce standardního zkušebního "viru". Ve druhém sloupci jsou uvedeny všechny moţné stavy, které antivirová aplikace přiřadí objektu na
KA S P E R S K Y I N T E R N E T S E C U R I T Y 20 1 0
202
základě výsledku kontroly. Třetí sloupec ukazuje, jak aplikace zpracovává objekty zadaného stavu. Připomínáme, ţe skutečné akce provedené s objekty závisí na nastavení aplikace.
Po přidání předpony ke zkušebnímu „viru" uloţte nový soubor pod novým názvem, například: eicar_dele.com. Podobné názvy pouţijte pro všechny upravené „viry".
Table 1. Úpravy testovacího „viru"
Předpona Stav objektu Informace o zpracování objektu
Ţádná předpona, standardní zkušební "virus".
Napadený. Objekt obsahuje kód známého viru. Objekt nelze dezinfikovat.
Aplikace identifikuje objekt jakoţto virus, který nelze dezinfikovat.
Při pokusu o dezinfekci objektu dojde k chybě; provedená akce bude ta, jeţ byla určena pro nedezinfikovatelné objekty.
CORR-
Poškozený.
Aplikace nemohla objekt zkontrolovat, protoţe je poškozený (například je porušená jeho struktura nebo jde o neplatný formát souboru). Informaci, ţe objekt byl zpracován, najdete ve zprávě o činnosti aplikace.
WARN–
Podezřelý. Objekt obsahuje kód neznámého viru. Objekt nelze dezinfikovat.
Objekt byl shledán podezřelým na základě heuristické analýzy kódu. V době jeho zjištění antivirová databáze podpisŧ hrozeb neobsahuje popis postupu dezinfekce tohoto objektu. Bude-li detekován objekt tohoto typu, budete na to upozorněni.
SUSP–
Podezřelý. Objekt obsahuje upravený kód známého viru. Objekt nelze dezinfikovat.
Aplikace rozpoznala částečnou shodu určité sekce kódu objektu se sekcí kódu známého viru. V době jeho zjištění antivirová databáze signatur neobsahuje popis postupu dezinfekce tohoto objektu. Bude-li detekován objekt tohoto typu, budete na to upozorněni.
ERRO-
Chyba kontroly.
V prŧběhu kontroly objektu došlo k chybě. Aplikace nemá přístup ke kontrolovaným objektŧm, protoţe integrita objektu byla porušena (například nekonečný vícesvazkový archiv) nebo k němu není přístup (je-li kontrolovaný objekt na síťových prostředcích). Informaci, ţe objekt byl zpracován, najdete ve zprávě o činnosti aplikace.
CURE-
Napadený. Objekt obsahuje kód známého viru. Dezinfikovatelný.
Objekt obsahuje virus, který lze dezinfikovat. Aplikace provede dezinfekci objektu; text těla „viru" bude nahrazen slovem CURE. Bude-li detekován objekt tohoto typu, budete na to upozorněni.
DELE-
Napadený. Objekt obsahuje kód známého viru. Objekt nelze dezinfikovat.
Aplikace identifikuje objekt jakoţto virus, který nelze dezinfikovat.
Při pokusu o dezinfekci objektu dojde k chybě; provedená akce bude ta, jeţ byla určena pro nedezinfikovatelné objekty.
Bude-li detekován objekt tohoto typu, budete na to upozorněni.
TESTOVÁNÍ OCHRANY DATOVÉHO TOKU HTTP
Pro ověření, jestli jsou tyto viry úspěšně detekovány v datovém toku přenášeném protokolem HTTP, proveďte následující:
pokuste se stáhnout zkušební virus z oficiálního webu EICAR na adrese http://www.eicar.org/anti_virus_test_file.htm.
Kdyţ se počítač pokouší o staţení testovacího „viru" aplikace Kaspersky Internet Security tento objekt zjistí, identifikuje jej jako napadený objekt, který nelze dezinfikovat, a provede akci určenou pro objekt s tímto stavem v nastavení pro kontrolu datového toku HTTP. Pokud se při výchozím nastavení pokusíte stáhnout zkušební „virus", připojení ke stránce bude ukončeno a prohlíţeč zobrazí informační zprávu signalizující, ţe tento objekt je napaden virem EICAR-Test-File.
OV Ě Ř E N Í N A S T A V E N Í KA S P E R S K Y I N T E R N E T SE C U R I T Y
203
TESTOVÁNÍ OCHRANY DATOVÉHO TOKU SMTP
K detekci virŧ v datových tocích přenášených protokolem SMTP musíte pouţít e-mailový systém, který pro přenos dat pouţívá tento protokol.
Doporučujeme vám otestovat zpŧsob, jakým aplikace Anti-Virus zpracovává odchozí e-mailové zprávy – jak těla zprávy, tak přílohy. Vyhledávání virŧ v těle zprávy vyzkoušíte tak, ţe do těla zprávy zkopírujete text standardního testovacího „viru" nebo upraveného „viru".
Postupujte takto:
1. Pomocí e-mailového klienta nainstalovaného na svém počítači vytvořte zprávu ve formátu prostého textu.
Zpráva obsahující testovací virus se nezkontroluje, pokud je vytvořena ve formátu RTF nebo HTML!
2. Zkopírujte text standardního nebo upraveného „viru" na začátek zprávy, nebo ke zprávě připojte soubor obsahující testovací „virus".
3. Pošlete zprávu administrátorovi.
Aplikace detekuje objekt, rozpozná jej jako infikovaný a zablokuje zprávu.
OVĚŘENÍ NASTAVENÍ SOUČÁSTI FILE ANTI-VIRUS
Ověření správnosti konfigurace File Anti-Virus:
1. Vytvořte na disku sloţku. Do této sloţky zkopírujte testovací "virus" staţený z oficiálních webových stránek EICAR (http://www.eicar.org/anti_virus_test_file.htm), stejně jako všechny vámi vytvořené modifikace testovacího "viru".
2. Povolte protokolování všech událostí, aby se do zprávy uloţila data poškozených objektŧ nebo objektŧ, které byly přeskočeny kvŧli chybám.
3. Spusťte testovací "virus" nebo jednu z jeho modifikovaných verzí.
Komponenta File Anti-Virus zachytí volání spuštění souboru, soubor zkontroluje a provede akci zadanou v nastavení pro objekt příslušného stavu. Výběrem rŧzných akcí, které bude třeba provést se zjištěným objektem, mŧţete provádět úplnou kontrolu operací aplikace.
Ve zprávě o činnosti součásti File Anti-Virus si mŧţete prohlédnout informace o výsledcích činnosti součásti.
OVĚŘENÍ NASTAVENÍ ÚLOHY ANTIVIROVÉ KONTROLY
Ověření správnosti konfigurace úlohy antivirové kontroly:
1. Vytvořte na disku sloţku. Do této sloţky zkopírujte testovací "virus" staţený z oficiálních webových stránek EICAR (http://www.eicar.org/anti_virus_test_file.htm), stejně jako všechny vámi vytvořené modifikace testovacího "virus".
2. Vytvořte novou úlohu antivirové kontroly a jako objekt ke kontrole vyberte sloţku, která obsahuje soubor zkušebních "virŧ".
3. Povolte protokolování všech událostí, aby se do zprávy uloţila data poškozených objektŧ a objektŧ, které nebyly zkontrolovány kvŧli chybám.
4. Spusťte úlohu antivirové kontroly.
KA S P E R S K Y I N T E R N E T S E C U R I T Y 20 1 0
204
Kdyţ je úloha antivirové kontroly spuštěna, akce zadané v nastavení úlohy budou provedeny, jakmile budou zjištěny podezřelé nebo infikované objekty. Výběrem rŧzných akcí, které bude třeba provést se zjištěným objektem, mŧţete provádět úplnou kontrolu operací aplikace.
Ve zprávě o operacích součásti si mŧţete prohlédnout všechny informace o akcích úlohy antivirové kontroly.
OVĚŘENÍ NASTAVENÍ SOUČÁSTI ANTI-SPAM
K vyzkoušení ochrany proti nevyţádané poště mŧţete pouţít zkušební zprávu identifikovanou jako SPAM.
Tělo této zkušební zprávy musí obsahovat následující řádek:
Spam is bad do not send it
Po přijetí této zprávy na počítač začne aplikace Kaspersky Internet Security s jeho kontrolou, označí zprávu stavem "spam" jako nevyţádanou poštu a provede akci zadanou pro tento typ objektŧ.