Очистка сообщений, зараженных вирусами-червями

Для очистки сообщения, зараженных вирусами-червями, в Forefront Protection 2010 for Exchange Server (FPE) можно настроить задания проверки передачи, проверки в реальном времени и проверки по расписанию. Вирус-червь — это вредоносная программа, которая распространяется с компьютера на компьютер. В отличие от вируса вирусу-червю не нужна программа-носитель, вирусы-черви распространяют свои копии с компьютера на компьютер. Очистка от вирусов-червей — это мощная функция, помогающая предотвратить атаки, которые могли бы причинить ущерб сети. (FPE не поддерживает очистку сообщений от вирусов-червей при проверке по требованию.)

Программа FPE обнаруживает сообщения, зараженные вирусами-червями, с помощью регулярно обновляемого списка вирусов-червей WormPrge.dat, который поддерживается корпорацией Майкрософт и обновляется аналогично модулям защиты от вредоносных программ. Как правило, в файле WormPrge.dat содержатся имена вирусов-червей, обнаруживаемых текущими антивирусными ядрами. (Обратите внимание, что в разных антивирусных ядрах вирусы-черви могут иметь различные имена.)

По мере обнаружения новых вирусов-червей корпорация Майкрософт обновляет список вирусов-червей и выкладывает этот список для загрузки. Обновление можно выполнять по расписанию или вручную. Дополнительные сведения о выполнении обновлений см. в разделе Настройка обновлений модулей и определений.

Примечание.
Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при обнаружении нового вируса-червя с именем "Win32/abcdef.A@mm" программа FPE обновляет список вирусов-червей, включая в него запись вида "abcdef". Такая запись охватывает все новые разновидности одного и того же вируса-червя, например Win32/abcdef.M@mm. Поскольку в списке вирусов-червей содержатся обобщенные названия, его не требуется обновлять так же часто, так антивирусные ядра.

Примечание.

Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при обнаружении нового вируса-червя с именем "Win32/abcdef.A@mm" программа FPE обновляет список вирусов-червей, включая в него запись вида "*abcdef*". Такая запись охватывает все новые разновидности одного и того же вируса-червя, например Win32/abcdef.M@mm. Поскольку в списке вирусов-червей содержатся обобщенные названия, его не требуется обновлять так же часто, так антивирусные ядра.

Включение и отключение очистки от вирусов-червей

Очистка от вирусов-червей включена по умолчанию. Очистку от вирусов-червей для конкретных заданий проверки можно отключить с помощью команды Windows PowerShell -EnableWormPurge. Если очистка от вирусов-червей включена (параметру -EnableWormPurge присвоено значение $true), то при обнаружении вируса-червя программа FPE выполняет поиск его имени в списке вирусов-червей. При обнаружении имени в списке вирусов-червей элемент очищается; в противном случае выполняется действие, заданное для вирусов. Если очистка от вирусов-червей отключена (параметру -EnableWormPurge присвоено значение $false), то независимо от наличия имени вируса-червя в соответствующем списке выполняется действие, заданное для вирусов.

Примечание.
Вирусы-черви (сообщения и вложения), очищенные при выполнении заданий проверки, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина множества копий одного сообщения.

Примечание.

Вирусы-черви (сообщения и вложения), очищенные при выполнении заданий проверки, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина множества копий одного сообщения.

Доступ к командной консоли Forefront

Нажмите кнопку Пуск и последовательно выберите пункты Программы, Microsoft Forefront Server Security и Командная консоль Forefront.

Чтобы отключить очистку от вирусов-червей для задания проверки передачи, выполните следующую команду Windows PowerShell:

Set-FseTransportScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки в реальном времени, выполните следующую команду Windows PowerShell:

Set-FseRealtimeScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки по расписанию, выполните следующую команду Windows PowerShell:

Set-FseScheduledScan -EnableWormPurge $false

Примечание.
Чтобы включить очистку от вирусов-червей для конкретного задания проверки, замените в соответствующей команде выше значение $false на $true.

Очистка от вирусов-червей с помощью фильтрации файлов

Чтобы не допустить распространения нового вируса-червя в то время, пока не обновлено антивирусное ядро, можно добавить имена вложений сообщений, создаваемых вирусом-червем, в список фильтров файлов. В поле Действие для списка выберите значение Очистить. Дополнительные сведения о фильтрации файлов см. в разделе Создание списка фильтров файлов.

Примечание.
При выборе действия Очистить все сообщение удаляется без возможности восстановления. Рекомендуется выбрать это действие для очистки сообщений, зараженных вирусами-червями, пока не выпущены обновления антивирусных ядер или определений.

Примечание.

При выборе действия Очистить все сообщение удаляется без возможности восстановления. Рекомендуется выбрать это действие для очистки сообщений, зараженных вирусами-червями, пока не выпущены обновления антивирусных ядер или определений.

В отличие от сообщений, зараженных другими типами вирусов, даже если выбрать действие "Поместить на карантин", на карантин помещается только вложение, обнаруженное фильтром, а текст сообщения и другие вложенные файлы будут удалены. Это не должно привести к проблемам при фильтрации файлов на наличие вирусов-червей, так как в этом случае текст сообщения не представляет никакой ценности, а сообщение, скорее всего, не содержит других вложений.

Создание собственного списка для очистки от вирусов-червей

Администраторы могут создавать собственный список для очистки от вирусов-червей (файл CustPrge.dat) для указания дополнительных имен вирусов-червей, которые еще не включены в файл Wormprge.dat, или для создания списка, который будет использоваться для очистки всех зараженных сообщений. В этом случае функция очистки от вирусов-червей будет проверять зараженные сообщения и файлы с использованием обоих списков (списка Майкрософт WormPrge.dat и списка CustPrge.dat).

Чтобы создать собственный список для очистки от вирусов-червей

Создайте в папке \Engines\x86\Wormlist новую папку с именем CustomList. Расположение папки Engines по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.
В папке CustomList создайте файл с именем CustPrge.dat.

В текстовом редакторе введите имена вирусов, от которых необходимо защититься, в файл CustPrge.dat и сохраните этот файл. В каждой строке можно вводить только одно имя, за которым должен идти знак возврата каретки. Имена вирусов можно найти в уведомлениях об обновлении антивирусных ядер или на веб-сайтах поставщиков антивирусных ядер. В именах можно использовать подстановочный знак звездочки (*).

Примечание.
В том случае, если в различных антивирусных ядрах используются разные имена для одного вируса, то для обеспечения полной защиты следует включить в список CustPrge.dat все имена.

Если требуется очищать все зараженные сообщения, введите в список только одну строку, содержащую знак звездочки (*) и знак возврата каретки. Для каждого задания проверки (проверки передачи, проверки в реальном времени или проверки по расписанию), при выполнении которого требуется очищать все вирусы, выберите в поле Действие значение Удалить.
Перезапустите службу передачи Microsoft Exchange и службу банка данных Microsoft Exchange.