Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
21.05.2004 - Martin LEPIŠ - AV programy
NOD32 pre MS Exchange Server 2.0  (... oficiálna verzia)

V závere tohto týždňa zverejnila slovenská AV-spoločnosť Eset na svojich web stránkach finálnu verziu AV-systému NOD32 pre MS Exchange Server 2.0. Táto edícia namiesto štandardných modulov IMON a EMON slúžiacich pre kontrolu emailových správ prijímaných na úrovni lokálneho systému obsahuje modul XMON. Tento nový modul poskytuje široké možnosti kontroly emailových správ prijímaných, uložených alebo len prechádzajúcich cez MS Exchange Server (... verzie 5.5 SP3 – 2003). Popri klasických metódach identifikácii škodlivých kódov podporuje XMON aj tzv. rozšírenú heuristiku, ktorá v uplynulých mesiacoch dokázala odhaliť viacero nových emailových červov, bez nutnosti okamžitej aktualizácie databázy vírusových reťazcov AV-systému NOD32. Kombináciou tejto metódy s možnosťou definovať voliteľné pravidlá pre nežiaduce emailové správy (... na základe informácií obsiahnutých v ich predmete, prípadne položke odosielateľ alebo príloha) môžu správcovia emailových serverov získať účinný nástroj v boji proti moderným – masovo sa šíriacim škodlivým kódom.

Antivírusový systém NOD32 pre MS Exchange Server 2.0 je možné nainštalovať výlučne na počítače s OS MS Windows NT-2003. Inštalácia je plne automatizovaná a prebieha vcelku jednoducho, bez zásahu používateľa. Ukončená je ako vždy reštartom systému. Po novom nabehnutí OS MS Windows je systém rozšírený o AV-systém NOD32, ktorý pozostáva z nasledujúcich modulov:

- Kontrolné centrum (NOD32 Control Center);
- Klasický skener (NOD32);
- Rezidentný monitor (AMON);
- AV-monitor pre MS Exchange Server (XMON),
- Automatická aktualizácia (NOD32 Updater);
- Generátor kópií aktualizačných súborov (NOD32 Mirror);
- Prehliadač LOG záznamov (NOD32 Logger);
- Karanténa (NOD32 Quarantine);
- Plánovač úloh (NOD32 Scheduler);
- Editor konfiguračných súborov.

Väčšina spomenutých modulov funguje úplne rovnako ako tie, ktoré sme už dávnejšie detailne popísali na našich web stránkach v samostatnej recenzii venovanej AV-systému NOD32 2.0. Novinkou je v tomto smere len modul XMON, ktorý predstavuje rezidentný modul zabezpečujúci kontrolu emailových správ a ich príloh na úrovni MS Exchange Servera od verzie 5.5 SP3 až po najnovšiu verziu 2003.

AV-monitor pre MS Exchange Server
Modul XMON predstavuje integrovanú súčasť AV-systému NOD32, ktorá po svojom nainštalovaní vytvorí novú položku v stromovej štruktúre kontrolného centra. Prostredníctvom nej má používateľ možnosť sledovať aktuálny stav o počte prekontrolovaných, infikovaných i vyliečených objektov, prípadne meniť dôležité nastavenia tohto modulu (... pozri obrázok). K aktivácii modulu XMON dochádza (... v závislosti od nastavení) pri štarte OS MS Windows, pričom počas jeho prvej aktivácie dôjde k automatickému rozpoznaniu používanej verzie emailového servera MS Exchange. Hneď na úvod treba spomenúť, že použitie modulu XMON v kombinácii s ostatnými časťami AV-systému NOD32 je podmienené dostupnosťou platného licenčného kľúča (... vo forme externého súboru, s príponou .LIC). Ten v sebe nesie informácie o jeho vlastníkovi, počte zakúpených licencií a dobe ich platnosti, ktoré sú digitálne podpísané a chránené proti prípadnej modifikácii. Po naimportovaní kľúča do systému je možné začať používať AV-monitor XMON, spolu so všetkými jeho výhodami, ktoré sa dajú najlepšie zosumarizovať pri pohľade na možnosti jeho konfigurácie.

AV-monitor XMON funguje ako rezidentný modul, ktorý počas svojej činnosti kontroluje všetky prichádzajúce a na emailovom serveri uložené emailové správy. Kontrolovať dokáže tiež emailové správy, ktoré cez MS Exchange Server len prechádzajú, t.j. ak je emailový server nastavený ako tzv. gateway v rámci firemných sietí. Pri procese AV-kontroly je možné určiť, či má AV-systém vyhľadávať škodlivé kódy v obyčajných textových i štruktúrovaných RTF správach, prípadne či má pri testovaní jednotlivých správ sám určovať presnú veľkosť priložených súborov (... čo má istý dopad na presnosť detekcie). Pri serveroch s intenzívnejšou emailovou prevádzkou môžu správcovia nastaviť funkciu predvídaného testovania, kedy XMON testuje emailové správy podľa toho, o ktoré z nich má pri svojej činnosti záujem používateľ – bez ohľadu na poradie, v ako boli správy prijaté (... pozri obrázok).
Za účelom vyhľadávania existujúcich i nových škodlivých kódov využíva AV-skener modulu XMON metódu identifikácie na základe vzoriek, základnej heuristiky i rozšírenej heuristiky, ktorá vďaka jedinečným algoritmom umožňuje odhaliť nové škodlivé kódy už v čase ich vzniku, bez nutnosti okamžitej aktualizácie databázy vírusových reťazcov. V prípade vykonania novej aktualizácie AV-skener opätovne prekontroluje všetky emailové správy uložené v rámci emailového servera na prípadnú prítomnosť škodlivých kódov. Pri tomto procese je podporovaná kontrola obsahu emailových správ, vrátane ich príloh. Kontrolované sú implicitne všetky súbory, bez ohľadu na použitú prílohu, vrátane archívov (... typu ARJ, LHA, LZH, RAR, ZIP), samorozbaľovacích archívov a run-time komprimovaných súborov (... pomocou nástrojov ASPack, CPAV, Diet, ExePack, LzExe, UPX, Petite, Neolite a iných). Ak si to situácia vyžaduje dajú sa vybrané typy súborových prípon z AV-kontroly vyradiť (... pozri obrázok).
To ako bude XMON manipulovať s infikovanými a nevyliečiteľnými objektmi je možné definovať všeobecne a tiež konkrétne v závislosti od tej-ktorej súborovej prípony. Za bežných podmienok sa dajú infikované objekty liečiť, ponechať bez zmeny (... s tým, že k nim bude pripojená informácia o nájdenom škodlivom kóde), premenovať alebo zmazať (... z možnosťou ich predchádzajúceho uloženia do karantény). Pri odstraňovaní infikovaných emailových správ je na výber viacero možností – zmazať telo správy, prepísať telo správy vírusovým protokolom alebo zmazať celú správu. Podobné možnosti sú prístupné aj pri mazaní infikovaných príloh, ktoré XMON dokáže skrátiť na nulovú veľkosť, nahradiť ich pôvodný obsah vírusovým protokolom, prípadne ich úplne odstrániť z emailových správ (... pozri obrázok).
Správcovia väčších firemných emailových serverov určite veľmi ocenia prítomnosť konfigurácie tzv. pravidiel. Tie umožňujú jednoducho a rýchlo definovať konkrétne súborové prípony a operácie, ktoré má AV-skener vykonať, ak v daných súboroch objaví škodlivý alebo nežiaduci kód (... jedná sa o vyššie spomínané možnosti). Navyše je k dispozícii aj možnosť identifikácie nežiaducich emailových správ na základe textových informácií uvedených v položke odosielateľ správy alebo predmet správy. Pri vhodne navrhnutých pravidlách (... pri ktorých je zachovaný princíp priority v závislosti od ich poradia) sa dá XMON využiť nielen pre vyhľadávanie a eliminovanie škodlivých kódov obsiahnutých v emailových správach, ale aj pre odstraňovanie prijímaných nevyžiadaných emailových správ (... typu hoax alebo spam).

Pri výkonnejších emailových serveroch je možné v rámci modulu XMON aktivovať súčasne viacero nezávislých emailových skenerov, čo v konečnom dôsledku poskytuje prevádzkovateľovi systému možnosť efektívnejšej a plynulejšej kontroly väčšieho počtu prichádzajúcich emailových správ (... pozri obrázok). V prípade potreby dokáže používateľ kedykoľvek deaktivovať proces AV-kontroly emailových správ, na čo ho AV-systém náležite upozorní.

Súčasťou modulu XMON je aj funkcia pre priebežné/okamžité generovanie protokolov o prekontrolovaných, prípadne infikovaných objektoch. Do jednotlivých protokolov môžu byť zapisované (... v závislosti od konfigurácie) aj informácie o verzii AV-skenera, platnosti licencie a všetkých používateľom zadefinovaných pravidiel pre kontrolu emailových správ.

Z celkového pohľadu predstavuje XMON efektívne použiteľný, jednoducho ovládateľný a na systémové prostriedky nie príliš náročný AV-monitor, ktorý ponúka svojim budúcim používateľom vyváženú kombináciu rýchlosti a kvality pri vyhľadávaní existujúcich i nových škodlivých kódov. Prípadným záujemcom, ktorí by chceli získať bližšie informácie týkajúce sa niektorých vybraných funkcií AV-systému NOD32 pre MS Exchange Server 2.0, spolu s náhľadom na jeho pracovné prostredie odporúčame navštíviť web stránky AV-spoločnosti Eset.


P.S.: Aktívnejším používateľom, ktorí by počas svojej práce s vyššie spomínanou edíciou AV-systému NOD32 narazili na problémy alebo mali nejaké otázky týkajúce sa jeho používania odporúčame, aby sa pozreli, prípadne prispeli svojim názorom/postrehom do oficiálneho diskusného fóra venovaného tomuto AV-systému.

Vytlačiť článok... Zdroj: Eset.sk


Súvisiace články:
19.03.2004  NOD32 pre Linux File Server 2.0 - AV programy
09.09.2003  NOD32 pre Linux & Linux Mail Server - AV programy
17.07.2003  NOD32 pre Novell NetWare Server - AV programy
26.05.2003  Antivírusový systém NOD32 2.0 - AV programy
04.07.2002  NOD32 pre Kerio Mail Server - AV programy
22.02.2002  NOD32 pre MS Exchange Server - AV programy
11.10.2001  NOD32 & Lotus Domino - AV programy
29.08.2001  NOD32IIS – Virus Blocker - AV programy
21.08.2001  NOD32 pre Linux & FreeBSD - AV programy


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.