Mercury/32 Anti-virus szűrés II.
2006/06/25 22:39
433 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Folytatva előző cikkünket néhány ismertebb víruskereső Policy beállítasait ismertetjük.

McAfee NetShield

Policy name: McAfee NetShield Antivirus Policy
Type: Run a program and examine the return code
Commandline: C:NetShield.2KScan32.exe /UINONE /LOG ~R ~X
Task requires attachment unpacking support
Task should be applied before any filtering rules
Action: Delete the message

A Netshield könyvtárában lévő Default.VSC konfigurációs állományt módosítsuk a következőkre (Csak az itt felsorolt sorokat módosítsuk, semmi mást ne töröljünk ki az állományból)

[ScanOptions]
bIncludeSubFolders=0
bScanAllFiles=1
bScanCompressed=1
uScanAction=1
UIType=0
bAutoStart=1
bAutoExit=0
bAlwaysExit=1
bSkipMemoryScan=1
bSkipBootScan=1
bSkipMigratedScan=1
bSkipSplash=1
bSkipCDROM=1
bSkipFloppy=1
nPriority=5
nChecksum=0

[AlertOptions]
bDisplayMessage=0
bSoundAlert=0
bNotifyAlertMgr=0
bNetworkAlert=0

[ActivityLogOptions]
bLogToFile=1
bLimitSize=0
bLogDetection=1
bLogSettings=0
bLogSummary=0
bLogDateTime=0
bLogUserName=0

Amennyiben a SCAN32.EXE vírust talál nem 0 errorlevel értékkel tér vissza. Sajnos minden levél ellenőrzésekor egy DOS-s ablak ugrik elő, ami igen zavaró lehet, már ha dolgozunk is azon a gépen. Erre megoldás az F-PROT-nál ismertetett HIDDEN32.EXE, ami sajnos itt nem használható, mert elfedi a SCAN32.EXE visszatérési értékeit.

F-Prot/DOS

Policy name: Fprot Antivirus
Type: Run program using sentinel file
Commandline: C:F-ProtFprot.bat ~X ~R ~S
Task requires attachment unpacking support
Action: Delete the message

Hozzuk létre a C:f-protfprot.bat állományt a következő tartalommal:

---start batch file---
@echo off
C:F-ProtF-Prot.exe %1 /ARCHIVE /DUMB /NOMEM /PACKED /WRAP /REPORT=%2
If Errorlevel 8 goto err8
If Errorlevel 7 goto err7
If Errorlevel 6 goto err6
If Errorlevel 5 goto err5
If Errorlevel 4 goto err4
If Errorlevel 3 goto err3
If Errorlevel 2 goto err2
If Errorlevel 1 goto err1
Del %2
goto Finished
:Err1
echo Abnormal termination - Unrecoverable Error >> %2
echo Internal error. English.tx0 or Sign.def or Macro.def missing/corrupted >> %2
goto Finished
:Err2
echo Selftest failed - program has been modified >> %2
goto Finished
:Err3
echo !!!!!BOOT/FILE VIRUS FOUND!!!! >> %2
goto Finished
:Err4
echo !!VIRUS FOUND IN MEMORY!! >> %2
goto Finished
:Err5
echo Program terminated via ^C or Esc >> %2
goto Finished
:Err6
echo Virus removed >> %2
goto Finished
:Err7
echo Insufficient memory to run the program. >> %2
goto Finished
:Err8
echo *SUSPICIOUS* file found, no known infection >> %2
:Finished
Del %3
exit
---end batch file---

Megjegyzések:

  1. Tapasztalataim szerint ha a levélben több mint 1 csatolás van, akkor hibás az ellenőrzés. Akár el is veszhetnek a levelek. Sajnos nem sikerült a hibás működés okára rájönnöm, bár az is igaz, hogy több ezer levélből igazoltan 1 volt ilyen.
  2. Mivel az F-prot kimondottan DOS-s program, így rövid neveket használjunk azokon a könyvtárakon, amelyeken a program dolgozik.
  3. A minden levél ellenőrzésekor előbukkanó DOS-s ablakot eltüntethetjük a HIDDEN32.EXE programmal. (Amit a modern vírusírtok vírusnak tekintenek rejtőzködő volta miatt.)

Commandline: C:F-ProtHidden.exe C:F-ProtFprot.bat ~X ~R ~S

Norton Antivirus

Policy Name= NAV Antivirus
Type of Task= Run a program and examine the return code
Command line= c:progra~1avclt-instdosvscand ~X /NC /NB /NM /Z /L=~R
Sentinel File= [Hagyjuk üresen!]
Result File= [Hagyjuk üresen!]
Requires attachment unpacking support= Y
Acts only on message headers= N
Apply only to mail originating locally= N
Apply before any filtering rules= Y
Action to take: Forward message to local user
Parameter: local-username

A következő cikkünkben egy teljesen ingyenes és friss vírusszűrést ismertetünk, mely nem a Policy módot használja a szűréshez.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek