Алгоритм работы компонента

Почтовый Антивирус запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения, пересылаемые по протоколам POP3, SMTP, IMAP, MAPI и NNTP, а также через защищенные соединения (SSL) по протоколам POP3 и IMAP.

Индикатором работы компонента служит значок в области уведомлений панели задач, который  каждый раз при проверке письма принимает соответствующий вид.

По умолчанию защита почты осуществляется по следующему алгоритму:

1. Каждое письмо, принимаемое или отправляемое пользователем, перехватывается компонентом.
2. Почтовое сообщение разбирается на составляющие его части: заголовок письма, тело, вложения.

   Информация, которая содержится в начале файла или сообщения и состоит из низкоуровневых данных о статусе и обработке файла (сообщения). В частности, заголовок сообщения электронной почты содержит такие сведения, как данные об отправителе, получателе и дату.

3. Тело и вложения почтового сообщения (в том числе вложенные OLE-объекты) проверяются на присутствие в них опасных объектов. Распознавание вредоносных объектов происходит на основании баз, используемых в работе программы, и с помощью эвристического алгоритма. Базы содержат описание всех известных на настоящий момент вредоносных программ и способов их обезвреживания. Эвристический алгоритм позволяет обнаруживать новые вирусы, еще не описанные в базах.

   Технология обнаружения угроз, неопределяемых с помощью баз Антивируса. Позволяет находить объекты, которые подозреваются на заражение неизвестным вирусом или новой модификацией известного.

   С помощью эвристического анализатора обнаруживаются до 92% новых угроз. Этот механизм достаточно эффективен и очень редко приводит к ложным срабатываниям.

   Файлы, обнаруженные с помощью эвристического анализатора, признаются подозрительными.

   Объект, внутри которого содержится вирус. Не рекомендуется работать с такими объектами, поскольку это может привести к заражению компьютера. При обнаружении зараженного объекта рекомендуется лечить его с помощью программы "Лаборатории Касперского" или удалить, если лечение невозможно.

   Присоединенный или встроенный в другой файл объект. Программа "Лаборатории Касперского" позволяет проверять на присутствие вирусов OLE-объекты. Например, если вы вставите какую-либо таблицу Microsoft Office Excel в документ Microsoft Office Word, данная таблица будет проверяться как OLE-объект.

4. В результате проверки на вирусы возможны следующие варианты поведения:
   • Если тело или вложение письма содержит вредоносный код, Почтовый Антивирус блокирует письмо, помещает копию зараженного объекта в резервное хранилище и пытается обезвредить объект. В результате успешного лечения письмо становится доступным для пользователя; если же лечение произвести не удалось, зараженный объект из письма удаляется. В результате антивирусной обработки в тему письма помещается специальный текст, уведомляющий о том, что письмо обработано программой.

     Способ обработки объекта, при котором происходит его физическое удаление с того места, где он был обнаружен программой (жесткий диск, папка, сетевой ресурс). Такой способ обработки рекомендуется применять к опасным объектам, лечение которых по тем или иным причинам невозможно.

     Способ обработки зараженных объектов, в результате которого происходит полное или частичное восстановление данных, либо принимается решение о невозможности лечения объектов. Лечение объектов выполняется на основе записей баз. В случае, если лечение является первичным действием над объектом (самое первое действие над объектом сразу после его обнаружения), то перед его выполнением создается резервная копия объекта. В процессе лечения часть данных может быть потеряна. Вы можете использовать эту копию для восстановления объекта до предшествующего лечению состояния.

     Специальное хранилище, предназначенное для сохранения резервных копий объектов, создаваемых перед их первым лечением или удалением.

   • Если тело или вложение письма содержит код, похожий на вредоносный, но стопроцентной уверенности в этом нет, подозрительная часть письма помещается в специальное хранилище – карантин.

     Определенная папка, куда помещаются все возможно зараженные объекты, обнаруженные во время проверки или в процессе функционирования постоянной защиты.

   • Если вредоносного кода в письме не обнаружено, оно сразу же становится доступным для пользователя.

Для почтовой программы Microsoft Office Outlook предусмотрен встраиваемый модуль расширения, позволяющий производить более тонкую настройку проверки почты.

Если вы используете почтовую программу The Bat!, программа может использоваться наряду с другими антивирусными программами. При этом правила обработки почтового трафика настраиваются непосредственно в программе The Bat! и превалируют над параметрами защиты почты программы.

При работе с остальными почтовыми программами (в том числе Microsoft Outlook Express (Windows Mail), Mozilla Thunderbird, Eudora, Incredimail) Почтовый Антивирус проверяет почту на трафике по протоколам SMTP, POP3, IMAP и NNTP.