Программа Microsoft Forefront Security для Office Communications Server (FSOCS) позволяет настроить задание сканирования IM для очистки сообщений и файлов, содержащих вирусы-черви. Очистка от вирусов-червей — это мощная функция, помогающая предотвратить атаки, которые могли бы причинить ущерб сети. Программа FSOCS обнаруживает сообщения, зараженные вирусами-червями, с помощью регулярно обновляемого списка вирусов-червей WormPrge.dat, который поддерживается корпорацией Майкрософт и обновляется аналогично антивирусным ядрам. Как правило, в файле WormPrge.dat содержатся имена вирусов-червей, обнаруживаемых текущими антивирусными ядрами сторонних производителей.

Note:
В разных антивирусных ядрах вирусы-черви могут иметь различные имена.

Note:
Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при определении нового вируса-червя с именем Win32/abcdef.A@mm программа FSOCS обновит список вирусов-червей, включив в него общую запись abcdef. Данная запись охватывает любой новый вариант этого вируса, например Win32/abcdef.M@mm. Так как список вирусов-червей содержит общие записи имен червей, то его не нужно обновлять так же часто, как антивирусные ядра.

Note:

Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при определении нового вируса-червя с именем Win32/abcdef.A@mm программа FSOCS обновит список вирусов-червей, включив в него общую запись *abcdef*. Данная запись охватывает любой новый вариант этого вируса, например Win32/abcdef.M@mm. Так как список вирусов-червей содержит общие записи имен червей, то его не нужно обновлять так же часто, как антивирусные ядра.

Очистка с помощью задания сканирования IM

Когда задание сканирования IM определяет, что сообщение или файл заражены вирусом-червем, оно выполняет очистку сообщения или файла путем их полного удаления. Сообщения, очищенные сканером IM, восстановить невозможно.

Задание сканирования IM можно настроить для отправки уведомлений администратору и отправителю сообщения. Для этого следует установить флажок Отправлять уведомления в области Фильтрация файлов. Настроить отправку уведомлений получателям очищенных сообщений, которые содержали вирусы-черви, нельзя, поскольку это помешало бы очистке сообщений, созданных вирусами-червями.

Вирусы-черви (сообщения и вложения), очищенные сканером IM, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина сотен или даже тысяч копий одного сообщения.

Использование фильтрации файлов для блокирования новых вирусов-червей

Чтобы не допустить распространения нового вируса-червя в то время, пока не обновлено антивирусное ядро, можно добавить имена файлов сообщений, создаваемых вирусом-червем, в список фильтров файлов в области Фильтрация файлов.

Перейдите в область Фильтрация файлов (дополнительные сведения см. в разделе Фильтрация файлов FSOCS) и добавьте новый элемент в список имен файлов. Установите Действие в значение Блокировка: запретить перенос.

По умолчанию фильтр файлов настроен на отправку уведомлений администратору и отправителю.

Уведомления об очистке от вирусов-червей

Можно настроить задание сканирования IM для отправки уведомлений администратору в случае очистки сообщения. Кроме того, можно настроить отправку сообщения в случае его очистки фильтром файлов. При необходимости все уведомления можно изменить в области Настройка уведомления. Дополнительные сведения см. в разделе Уведомления о событиях FSOCS.

Включение и отключение очистки от вирусов-червей

При установке или обновлении программы FSOCS функция очистки от вирусов-червей включается по умолчанию. Файл WormPrge.dat устанавливается в папку, находящуюся в папке установки программы FSOCS:

Data\Engines\x86\Wormlist\Bin

Чтобы отключить функцию очистки от вирусов-червей в задании сканирования IM, необходимо установить значение раздела реестра IMPurge на 0. Дополнительные сведения об этих ключах, включая их расположение, см. в разделе Разделы реестра FSOCS.

Note:
Чтобы изменения вступили в силу, после каждого изменения этих параметров реестра необходимо перезапустить службу ForefrontRTCProxy. Можно обойтись без перезапуска служб путем отключения и включения задания сканирования с помощью службы FSCStarter. Дополнительные сведения о службе FSCStarter см. в разделе Шаблоны FSOCS.

Note:

Чтобы изменения вступили в силу, после каждого изменения этих параметров реестра необходимо перезапустить службу ForefrontRTCProxy. Можно обойтись без перезапуска служб путем отключения и включения задания сканирования с помощью службы FSCStarter. Дополнительные сведения о службе FSCStarter см. в разделе Шаблоны FSOCS.

Обновление списка для очистки от вирусов-червей

По мере обнаружения новых вирусов-червей корпорация Майкрософт обновляет список для очистки от вирусов-червей, а новое обновление становится доступным для загрузки процессом, используемым для обновления антивирусных ядер. Обновления можно запланировать или выполнять вручную. После успешной загрузки последняя версия файла WormPrge.dat будет находиться в следующей папке:

Data\Engines\x86\Wormlist\Bin

Предыдущий файл WormPrge.dat будет находиться в следующей папке:

LastKnownGood

Дополнительные сведения о выполнении обновлений см. в разделе Обновление FSOCS.

Создание собственного списка для очистки от вирусов-червей

Администраторы могут создавать собственный список для очистки от вирусов-червей (файл CustPrge.dat) для указания дополнительных имен вирусов, которые еще не включены в файл Wormprge.dat, или для создания списка, который будет использоваться для очистки всех сообщений, в которых был обнаружен вирус. В этом случае функция очистки от вирусов-червей будет проверять зараженные сообщения и файлы с использованием обоих списков.

Создание собственного списка для очистки от вирусов-червей

Создайте новую папку с именем CustomList внутри следующей папки: Microsoft Forefront Security\Office Communications Server\Data\Engines\x86\Wormlist.
В папке CustomList создайте файл с именем CustPrge.dat.

Откройте файл CustPrge.dat с помощью текстового редактора и внесите имена вирусов, от которых требуется произвести очистку. В каждой строке можно вводить только одно имя вируса, за которым должен находиться символ возврата каретки. Имена вирусов можно найти в уведомлениях об обновлении антивирусных ядер или на веб-узлах поставщиков антивирусных ядер. В именах можно использовать подстановочный знак звездочки (*).

Note:
Если разработчики антивирусных решений используют разные имена для одного вируса, следует включить в список CustPrge.dat все такие имена.

Если требуется очищать все сообщения, зараженные вирусами, введите в список только одну строку, содержащую знак звездочки (*) и знак возврата каретки. Это приведет к очистке всех сообщений, в которых обнаружены вирусы.

Note:
Данную процедуру использовать не рекомендуется, поскольку в этом случае все зараженные сообщения очищаются без возможности восстановления. Вместо этого используйте действия Удалить или Очистить для всех вирусов, не являющихся червями. В этом случае зараженные сообщения будут помещены на карантин.

Note:

Данную процедуру использовать не рекомендуется, поскольку в этом случае все зараженные сообщения очищаются без возможности восстановления. Вместо этого используйте действия Удалить или Очистить для всех вирусов, не являющихся червями. В этом случае зараженные сообщения будут помещены на карантин.

Перезапустите службу ForefrontRTCProxy.