scanactvm
Operacja skanowania wykonywana w programie OfficeScan zależy od typu wirusa/złośliwego oprogramowania oraz typu skanowania odpowiedzialnego za wykrycie wirusa/złośliwego oprogramowania. Przykładowo, w przypadku wykrycia programu typu „koń trojański” (wirus/złośliwe oprogramowanie) podczas skanowania ręcznego (typ skanowania) zarażony plik zostanie wyczyszczony (operacja).
Informacje o różnych typach wirusów / złośliwego oprogramowania zawiera temat Wirusy i złośliwe oprogramowanie.
Program OfficeScan wykonuje względem wirusów / złośliwego oprogramowania następujące operacje:
|
Operacja |
Opis |
|
Program OfficeScan usuwa zarażony plik. |
|
|
Program OfficeScan zmienia nazwę zarażonego pliku, a następnie przenosi go do tymczasowego katalogu kwarantanny <Folder instalacji klienta>\Suspect na komputerze klienckim. Klient OfficeScan przesyła następnie pliki poddane kwarantannie do wyznaczonego katalogu kwarantanny. Szczegółowe informacje zawiera temat Katalog kwarantanny. Domyślny katalog kwarantanny znajduje się na serwerze OfficeScan w lokalizacji <Folder instalacji serwera>\PCCSRV\Virus. Program OfficeScan szyfruje pliki poddane kwarantannie wysłane do tego katalogu. W przypadku konieczności przywrócenia jakiegokolwiek pliku poddanego kwarantannie należy użyć narzędzia VSEncrypt. Informacje o korzystaniu z tego narzędzia zawiera temat Narzędzie Server Tuner. |
|
|
Przed zapewnieniem pełnego dostępu do danego pliku Program OfficeScan czyści zarażony plik. Jeśli nie ma możliwości wyczyszczenia pliku, program OfficeScan jako drugą operację wykonuje jedną z poniższych czynności: Poddaj kwarantannie, Usuń, Zmień nazwę i Pomiń. Aby skonfigurować drugą operację, przejdź do karty Komputery w sieci > Zarządzanie klientem > Ustawienia > {Typ skanowania} > Operacja. Operację można przeprowadzać na wszystkich typach złośliwego oprogramowania z wyjątkiem prawdopodobnego wirusa/złośliwego oprogramowania. |
|
|
Program OfficeScan zmienia rozszerzenie zainfekowanego pliku na "vir". Użytkownicy początkowo nie mogą otworzyć pliku, którego nazwa została zmieniona; mogą to zrobić po skojarzeniu pliku z aplikacją. Wirus/złośliwe oprogramowanie mogą zostać uruchomione podczas otwierania zarażonego pliku o zmienionej nazwie. |
|
|
Program OfficeScan może wykonywać tę operację, tylko jeśli wirus zostanie wykryty podczas skanowania ręcznego, skanowania zaplanowanego i skanowania za pomocą funkcji Skanuj teraz. Ta operacja skanowania nie może być używana podczas skanowania w czasie rzeczywistym, ponieważ niewykonanie żadnej czynności podczas próby otwarcia lub uruchomienia wykrytego zarażonego pliku umożliwi uruchomienie wirusa/złośliwego oprogramowania. Wszystkie pozostałe operacje skanowania można wykorzystywać podczas skanowania w czasie rzeczywistym. |
|
|
Tę operację skanowania można wykonać tylko podczas skanowania w czasie rzeczywistym. Po wykryciu przez program OfficeScan próby otwarcia lub wykonania zarażonego pliku ta operacja jest natychmiast blokowana. Użytkownicy mogą ręcznie usunąć zarażony plik. |
Różne typy wirusów/złośliwego oprogramowania wymagają różnych operacji skanowania. Konfigurowanie operacji skanowania wymaga znajomości wirusów/złośliwego oprogramowania i może być czasochłonnym zadaniem. Program OfficeScan używa funkcji ActiveAction w celu rozwiązania tych problemów.
Usługa ActiveAction to zestaw wstępnie skonfigurowanych operacji skanowania w poszukiwaniu wirusów/złośliwego oprogramowania. Jeśli użytkownik nie jest zaznajomiony z operacjami skanowania lub nie ma pewności, czy operacja skanowania jest odpowiednia dla danego typu wirusa/złośliwego oprogramowania, firma Trend Micro zaleca użycie funkcji ActiveAction.
Korzystanie z funkcji ActiveAction zapewnia następujące korzyści:
W usłudze ActiveAction zastosowano operacje skanowania zalecane przez firmę Trend Micro. Nie trzeba poświęcać czasu na skonfigurowanie operacji skanowania.
Twórcy wirusów stale zmieniają sposoby atakowania komputerów wirusami/złośliwym oprogramowaniem. Ustawienia funkcji ActiveAction są aktualizowane, aby zapewnić ochronę przed najnowszymi zagrożeniami i metodami ataków wirusów/złośliwego oprogramowania.
Usługa ActiveAction nie obsługuje skanowania w poszukiwaniu oprogramowania spyware/grayware.
Poniższa tabela ilustruje sposób działania usługi ActiveAction w odniesieniu do każdego typu wirusa/złośliwego oprogramowania:
|
Operacje skanowania w poszukiwaniu wirusów/złośliwego |
|
Typ wirusa/ |
Skanowanie w czasie rzeczywistym |
Skanowanie ręczne/Skanowanie zaplanowane/Skanuj teraz |
||
|
|
Pierwsza operacja |
Druga operacja |
Pierwsza operacja |
Druga operacja |
|
Programy-żarty |
Poddaj kwarantannie |
Usuń |
Poddaj kwarantannie |
Usuń |
|
Programy typu „koń trojański” |
Poddaj kwarantannie |
Usuń |
Poddaj kwarantannie |
Usuń |
|
Wirus |
Wyczyść |
Poddaj kwarantannie |
Wyczyść |
Poddaj kwarantannie |
|
Wirus testowy |
Odmów dostępu |
nd. |
Pomiń |
nd. |
|
Samorozpakowujące się archiwum |
Poddaj kwarantannie |
nd. |
Poddaj kwarantannie |
nd. |
|
Inne |
Wyczyść |
Poddaj kwarantannie |
Wyczyść |
Poddaj kwarantannie |
|
Prawdopodobny wirus/złośliwe oprogramowanie |
Odmów dostępu lub |
nd. |
Pomiń lub |
nd. |
W przypadku prawdopodobnego wirusa/złośliwego oprogramowania domyślana operacja to "Odmów dostępu" podczas skanowania w czasie rzeczywistym lub "Pomiń" podczas skanowania ręcznego, skanowania zaplanowanego lub operacji Skanuj teraz. Jeśli nie są to preferowane operacje, można zmienić je na Poddaj kwarantannie, Usuń lub Zmień nazwę.
Tę opcję należy wybrać, jeśli w przypadku wirusów/złośliwego oprogramowania wszystkich typów (z wyjątkiem prawdopodobnego wirusa/złośliwego oprogramowania) ma być wykonywana taka sama operacja. Jeśli jako pierwszą operację wybrano „Wyczyść”, należy wybrać drugą operację, jaką program OfficeScan ma wykonywać, jeśli czyszczenie się nie powiedzie. Jeśli pierwsza jest inna niż „Wyczyść”, nie można skonfigurować drugiej operacji.
Jeśli jako pierwsza operacja zostanie wybrana operacja "Wyczyść", program OfficeScan wykona drugą operację po wykryciu prawdopodobnego wirusa/złośliwego oprogramowania.
Należy ręcznie wybrać operację skanowania stosowaną względem wirusa / złośliwego oprogramowania każdego typu.
Dostępne są wszystkie operacje skanowania dla wszystkich typów wykrytych wirusów/złośliwego oprogramowania z wyjątkiem prawdopodobnego wirusa/złośliwego oprogramowania. Jeśli jako pierwszą operację wybrano „Wyczyść”, należy wybrać drugą operację, jaką program OfficeScan ma wykonywać, jeśli czyszczenie się nie powiedzie. Jeśli pierwsza jest inna niż „Wyczyść”, nie można skonfigurować drugiej operacji.
W przypadku prawdopodobnego wirusa/złośliwego oprogramowania dostępne są wszystkie operacje skanowania z wyjątkiem operacji "Wyczyść".
Jeśli operacja wykonywana względem zarażonego pliku to „Poddaj kwarantannie”, klient OfficeScan szyfruje plik i przenosi go do tymczasowego folderu kwarantanny <Folder instalacji serwera>\SUSPECT, a następnie przesyła pliki do wyznaczonego katalogu kwarantanny.
W przypadku konieczności uzyskania dostępu do zaszyfrowanych plików kwarantanny, można je przywrócić. Szczegółowe informacje zawiera temat Przywracanie zaszyfrowanych plików.
Należy zaakceptować domyślny katalog kwarantanny, który jest zlokalizowany na komputerze serwera OfficeScan. Katalog jest podawany w formie adresu URL i zawiera nazwę hosta lub adres IP serwera.
Jeśli serwer zarządza klientami IPv4 i IPv6, należy użyć nazwy hosta, aby wszystkie klienty mogły wysyłać na serwer pliki poddane kwarantannie.
Jeśli serwer ma tylko adres IPv4 lub jest identyfikowany przy użyciu takiego adresu, tylko klienty wykorzystujące wyłącznie protokół IPv4 i klienty z dwoma stosami będą mogły wysyłać na serwer pliki poddane kwarantannie.
Jeśli serwer ma tylko adres IPv6 lub jest identyfikowany przy użyciu takiego adresu, tylko klienty wykorzystujące wyłącznie protokół IPv6 i klienty z dwoma stosami będą mogły wysyłać na serwer pliki poddane kwarantannie.
Można także podać alternatywny katalog kwarantanny, wpisując lokalizację w postaci adresu URL, ścieżki UNC lub bezwzględnej ścieżki pliku. Klienty powinny mieć możliwość połączenia się z tym katalogiem alternatywnym. Na przykład katalog alternatywny powinien mieć adres IPv6, jeśli będzie odbierać pliki poddane kwarantannie z klientów z dwoma stosami i klientów wykorzystujących wyłącznie protokół IPv6. Firma Trend Micro zaleca wyznaczenie katalogu alternatywnego z dwoma stosami poprzez identyfikację katalogu według nazwy hosta i użycie ścieżki UNC podczas wpisywania katalogu.
Wskazówki na temat okoliczności korzystania z adresu URL, ścieżki UNC i bezwzględnej ścieżki dostępu znajdują się w poniższej tabeli:
|
Katalog kwarantanny |
|
Katalog kwarantanny |
Akceptowalny format |
Przykład |
Uwagi |
|
Katalog na serwerze OfficeScan |
URL |
http:// |
Jest to katalog domyślny. Należy skonfigurować ustawienia katalogu, takie jak jego rozmiar. Szczegółowe informacje zawiera temat Menedżer kwarantanny. |
|
Ścieżka UNC |
\\<serwer_osce>\ |
||
|
Katalog na innym komputerze serwera OfficeScan (jeśli w sieci działają inne serwery OfficeScan) |
URL
|
http://
|
Należy się upewnić, że klienty mają dostęp do tego katalogu. W przypadku podania nieprawidłowego katalogu klient OfficeScan przechowuje pliki kwarantanny w folderze Suspect, aż do momentu określenia prawidłowego katalogu kwarantanny. W dziennikach wirusów / złośliwego oprogramowania serwera wynik skanowania jest zapisany jako „Nie można przesłać pliku poddanego kwarantannie do wskazanego katalogu kwarantanny”. Jeżeli jest używana ścieżka UNC, należy się upewnić, że katalog kwarantanny został przydzielony do grupy „Wszyscy” oraz czy przypisano tej grupie uprawnienie do odczytu i do zapisu. |
|
Ścieżka UNC |
\\<serwer_osce_2>\ |
||
|
Inny komputer w sieci |
Ścieżka UNC |
\\<nazwa_ |
|
|
Inny katalog na komputerze klienta |
Ścieżka bezwzględna |
C:\temp |
Jeśli program OfficeScan skonfigurowano tak, aby zarażone pliki były czyszczone, można włączyć opcję tworzenia ich kopii zapasowych. Dzięki temu w razie potrzeby plik będzie można w przyszłości przywrócić. Program OfficeScan szyfruje plik kopii zapasowej w celu uniemożliwienia jego otwarcia, a następnie zapisuje go w lokalizacji <Folder instalacji klienta>\Backup.
Informacje o przywracaniu zaszyfrowanych plików zawiera temat Przywracanie zaszyfrowanych plików.
Usługi Damage Cleanup Services oczyszczają komputery z wirusów sieciowych oraz opartych na plikach, a także pozostałości wirusów i robaków (trojanów, wpisów w rejestrze, zainfekowanych plików).
Klient uruchamiania usługi Damage Cleanup Services przed rozpoczęciem skanowania w poszukiwaniu wirusów/złośliwego oprogramowania lub po jego zakończeniu w zależności od typu skanowania.
Po uruchomieniu funkcji Skanowanie ręczne, Skanowanie zaplanowane lub Skanuj teraz klient uruchamiania usługi Damage Cleanup Services, a następnie wykonuje skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania. Podczas skanowania w poszukiwaniu wirusów/złośliwego oprogramowania klient może ponownie uruchomić usługi Damage Cleanup Services, jeśli wymagane jest czyszczenie.
Podczas skanowania w czasie rzeczywistym klient wykonuje najpierw skanowanie w poszukiwaniu wirusów/złośliwego oprogramowania, a następnie uruchamia usługi Damage Cleanup Services, jeśli jest to konieczne.
Można wybrać typ czyszczenia podczas działania usług Damage Cleanup Services:
Czyszczenie standardowe: klient wykonuje następujące operacje podczas czyszczenia standardowego:
Wykrywa i usuwa aktywne trojany
Przerywa procesy tworzone przez trojany
Naprawia pliki systemowe, zmodyfikowane przez trojany
Usuwa pliki i aplikacje pozostawione przez trojany
Czyszczenie zaawansowane: oprócz operacji czyszczenia standardowego, klient powstrzymuje operacje fałszywego oprogramowania zabezpieczającego, nazywanego także FakeAV. Klient używa także reguł czyszczenia zaawansowanego, aby aktywnie wykrywać i zatrzymywać aplikacje wykazujące zachowanie oprogramowania FakeAV.
Funkcja czyszczenia zaawansowanego zapewnia aktywną ochronę, ale powoduje zgłoszenie dużej liczby fałszywych alarmów.
Usługi Damage Cleanup Services nie wykonują czyszczenia dla prawdopodobnego wirusa/złośliwego oprogramowania, chyba że wybrano opcję Uruchom czyszczenie w przypadku wykrycia potencjalnego wirusa/złośliwego oprogramowania. Tę opcję można wybrać tylko w przypadku, gdy dla prawdopodobnego wirusa/złośliwego oprogramowania nie wybrano opcji Pomiń lub Odmów dostępu. Jeśli na przykład klient wykryje prawdopodobnego wirusa/złośliwe oprogramowanie podczas skanowania w czasie rzeczywistym, a wybrana operacja to Poddaj kwarantannie, klient najpierw poddaje kwarantannie zarażony plik, a następnie wykonuje czyszczenie, gdy to konieczne. Typ czyszczenia (standardowy lub zaawansowany) jest zależny od dokonanego wyboru.
Gdy program OfficeScan wykryje wirusa / złośliwe oprogramowanie podczas skanowania w czasie rzeczywistym lub skanowania zaplanowanego, może o tym poinformować użytkownika, wyświetlając odpowiednie powiadomienie.
Aby zmienić tekst powiadomienia, należy przejść do karty Powiadomienia > Powiadomienia użytkownika klienta > karta Wirus/złośliwe oprogramowanie.
Gdy program OfficeScan wykryje prawdopodobnego wirusa/złośliwe oprogramowanie podczas skanowania w czasie rzeczywistym lub skanowania zaplanowanego, może o tym poinformować użytkownika, wyświetlając odpowiednie powiadomienie.
Aby zmienić tekst powiadomienia, należy przejść do karty Powiadomienia > Powiadomienia użytkownika klienta > karta Wirus/złośliwe oprogramowanie.
Zobacz również: