Настройка защиты от вирусов

The Bat! в отличие от многих почтовых клиентов хорошо защищен от Вирусов и так называемых «Червяков» и «Троянов».

В случае получения файла с расширением, которое обычно используют вирусы (файлы с двойным расширением), The Bat! услужливо предупредит вас об этом. Настройка этих параметров осуществляется в Свойства | Настройка | Предупреждения

В этой же категории имеется подпункт – «Защита от вирусов».

В настоящее время вирусы в электронной почте представляют одну из самых больших угроз для пользователей Интернет. Даже при том, что на большинстве почтовых серверов сейчас устанавливаются антивирусные программы, которые проверяют всю входящую почту, имеются несколько открытых проблем:

  • Проверяются только опасные (nonTSL) соединения;
  • Антивирусное программное обеспечение должно проверять любое сообщение, проходящие через установленные фильтры (в то время как The Bat! может проверять только сохраненные или выполненные файлы). Таким образом, процесс получения почты серьезно затягивается и, как следствие, это может негативно отразиться на быстродействии системы;
  • Нельзя проверить PGP/MIME и S/MIME зашифрованные сообщения;
  • В большинстве случаев IMAP соединения не проверяются;
  • Если вирус был послан прежде, чем обновились базы у антивирусного программного обеспечения, то нет способа удалить вирус из базы сообщения, если антивирус не знаком с ядром формата сообщения (например, оно зашифровано, в этом случае вообще невозможно удалить вирус из сообщения);
  • Может возникнуть проблема в антивирусе, используемом на сервере, особенно когда происходит одновременная проверка нескольких учетных записей. Другими словами, большинство антивирусных программ поддерживает проверку только одного подключения одновременно;
  • Большинство антивирусных программ требует весьма неудобных настроек для почтовых клиентов.

Для того чтобы закрыть вышеуказанные упущения, в The Bat! имеется Anti Virus Plugin интерфейс (пункт «Защита от вирусов»). Для того чтобы начать использование антивирусного плагина, вам нужно его сначала установить, а после установки нужно добраться до вышеуказанного пункта настройки и нажать кнопку «Добавить». Плагины имеют расширение *BAV. Рассмотрим настройку этой функции на примере Антивируса Касперского.

Итак, чтобы воспользоваться данным сервисом, необходимо произвести следующие действия:

  • Установить антивирусное программное обеспечение Антивирус Касперского. (Обращаем ваше внимание на то, что The Bat! поддерживает только Personal Pro (версии 4.0 и выше) и Business Optimal (версии 3.5.5.4 и выше));
  • После установки Антивируса Касперского необходимо запустить The Bat!, зайти в пункты «Свойства» | «Настройка» | «Антивирусная защита» | «Добавить» и выбрать Антивирус Касперского.

При успешной установке плагина перед вами появится окно:

Окно настроек с установленным антивирусным плагином

The Bat! вам продемонстрировал, что антивирусный плагин успешно установлен. Теперь нужно перейти к настройке его работы. Параметры:

  • «Проверять вложения на наличие вирусов при их открытии» – рекомендуется обязательно включить эту настройку, чтобы антивирус проверял не только сами письма, но и все приложенные к ним файлы (которые обычно и являются потенциальными переносчиками вирусов через электронную почту);
  • «Проверять входящую почту на наличие вирусов» – данная настройка по умолчанию выключена, а это следует делать только в том случае, если вы по каким-то причинам не хотите проверять входящую почту Антивирусом Касперского.

Действия The Bat!, если обнаружен вирус: Для задания действия, которое должен производить The Bat! при обнаружении вируса, перед вами появляется следующее меню:

  • Попробовать излечить зараженные части – антивирус будет пытаться вылечить инфицированные объекты письма, если это возможно;
  • Удалить зараженные части – инфицированные объекты будут удалены;
  • Переправить сообщение на себя – при этом инфицированное сообщение ложится в папку «Входящие», минуя антивирусную проверку, для дальнейшей обработки фильтрами. Это нужно в том случае, если вы, например, хотите собрать коллекцию вирусов, которые вам приходят (для отправки их в антивирусный центр);
  • Удалить сообщение – при данной настройке будет удалено все письмо, содержащее вирус или приложение с вирусом. Как правило, лучше выбирать именно эту настройку, а не «удалить зараженные части». Причина в том, что письма с приложенными вирусами, как правило, не предоставляют для вас никакого интереса;
  • Переместить в папку «Карантин» – это наиболее оптимальный вариант действий при обнаружении вирусов. В этом случае зараженное или содержащее вирус письмо переносится в специальную папку под названием «Карантин» (The Bat! ее сам создаст при необходимости). Таким образом, вы всегда сможете сами посмотреть содержимое этой папки и решить, что делать с этими письмами в дальнейшем – отправить для анализа вирусов в антивирусный центр, сообщить отправителям или просто уничтожить. Что особенно удобно – с помощью Aнтивируса Касперского туда перемещаются не только содержащие вирус письма, но и сообщения, которые сами по себе вирусы не содержат, но являются результатом работы одного из почтовых вирусов, поэтому вам совершенно не нужны.

Давайте попытаемся найти общие черты у всех экземпляров инфекции SirCam. Заголовки формируются вирусом, а это самое главное. Вполне возможно, что все нижеприведенные отличия автор внедрил нарочно, чтобы фильтровать свое же детище и не получить его однажды по почте.

А это пример заголовков инфицированного письма (лишнее отбросим):

From: «Serg»
To: question@domain.com
Subject: physct
date: Mon, 23 Jul 2001 08:41:51 +0400

MIMEVersion: 1.0

XMIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400

XMailer: Microsoft Outlook Express 5.50.4133.2400

ContentType: multipart/mixed;

boundary=»——49192664_Outlook_Express_message_boundary»

ContentDisposition: Multipart message

Остальные заголовки устроены аналогично, не будем на них отвлекаться. Итак, что же в этом письме уникального?

  1. Поле с именем отправителя (нет пробела между именем отправителя и его адресом.
  2. Поле «date», так как оно написано с маленькой буквы.
  3. Поле «XMIMEOLE», так как регистр в нем тоже своеобразный (Outlook ставит «XMimeOLE»). Разница очевидна.
  4. Все копии инфицированных сообщений отправлены программой Microsoft Outlook Express 5.50.4133.2400. Это важно, так как у отправителей могут быть любые версии почтовых клиентов, а вирус принудительно ставит в заголовок именно эту программу и именно эту версию.
  5. Ее номер ставится дважды – в полях «XMIMEOLE» и «XMailer».
  6. Поле «ContentType». Оно содержит multipart/mixed, в то время как обычный Outlook той же версии ставит multipart/alternative.
  7. Сепаратор нескольких частей письма. Сравните варианты его написания, сделанные вирусом и все той же версией Outlook: Вирус: –—49192664_Outlook_Express_message_boundary; Outlook: –—=_NextPart_000_0041_01C0AB17.5CC5FA90.
  8. Поле ContentDisposition: Multipart message. У Outlook той же версии такого в заголовках нет.
  9. Сам принцип написания ContentType. Outlook начинает слово boundary с новой строки, а вирус пишет все в одну строчку.

Все это проверено на пятидесяти письмах Outlook этой версии. Больше у меня нет, не бейте. Теперь самое главное. Как мы все это сможем использовать? Пройдемся заново по всем пунктам.

  • 1 – несущественно. Отбросим.
  • 2 и 3 – без соблюдения регистра символов эти особенности абсолютно бесполезны, а соблюдать его в сигнальных строках Selective Download у меня не получилось. Такое ощущение, что The Bat! в любом случае не обращает внимание на регистр символов. Кто знает, как заставить ее сменить точку зрения, просьба опровергнуть.
  • При загрузке заголовков, в процессе обработки правил Selective Download The Bat! не показывает это поле как часть заголовка. Следовательно, можем спокойно пренебречь и этим пунктом.
  • 8 – бррр… Забудем об этом.

Что имеем в итоге? Внимание.

  • Создаем новое правило в Selective Download.
  • Ставим вот эти сигнальные строки: XMIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400 XMailer: Microsoft Outlook Express 5.50.4133.2400 ContentType: multipart/mixed Outlook_Express_message_boundary. Я все-таки решил добавить XMIMEOLE. Чем больше вероятных условий, тем меньше вероятность того, что мы угробим что-нибудь ценное.
  • Отмечаем эти опции:

Rule – Detect by – Entire header (Правила – Определять по – Заголовкам)

Advanced – Detection method – All strings must match (Дополнительно – Метод определения – Все строки должны быть найдены )

Все.

С учетом того, что Outlook той же версии формирует заголовки иначе, можно смело утверждать, что в 99.9% эта методика сработает. Но что же делать, если к вам все-таки пришло зараженное письмо? Существует несколько вариантов:

  • Попытаться вылечить зараженную часть;
  • Удалить зараженную часть;
  • Перенаправить;
  • Удалить письмо;
  • Поместить в карантин.

Давайте разберемся, что лучше выбрать. Судя по «хитпарадам» вирусной активности наибольшее количество атак – это «трояны» и почтовые «черви». Классификацию заразы можно увидеть здесь http://www.viruslist.com/default.asp. Письма, создаваемые вирусами, практически никогда не несут смысловой нагрузки и особого горя удаление зараженной части или всего письма целиком вам не причинит. Но надо отметить, что кроме «червей» есть и «обычные» вирусы, поражающие архивы, документы MS Office. Существующие методики лечения вирусов не позволяют лечить файлы, находящиеся в архиве, и антивирусный модуль просто удаляет зараженное вложение без запроса получателя.

А вот потеря содержимого зараженного файла недопустима. Именно в этом случае я рекомендую выбирать опцию «Поместить в карантин». Создается специальная папка (невидимая, если выбраны другие опции) и туда перемещается письмо с зараженным вложением. Делайте с ним, что хотите.