VERIFICATION DU FONCTIONNEMENT DES
TACHES DE PROTECTION EN TEMPS REEL
ET D’ANALYSE A LA DEMANDE
Après avoir installé et effectué la configuration initiale de Kaspersky Anti-Virus, vous pouvez vous assurer que les tâches de protection en temps réel et d’analyse à la demande sont configurées correctement.
D
ANS CETTE SECTION
Vérification du fonctionnement de la tâche de protection en temps réel .........................................................................
38
Vérification du fonctionnement de la tâche d’analyse à la demande ...............................................................................
39
Virus d’essai EICAR et ses modifications........................................................................................................................
39
V
ERIFICATION DU FONCTIONNEMENT DE LA TACHE DE
PROTECTION EN TEMPS REEL
Cette section décrit comment s’assurer qu’à l’aide de la tâche de protection en temps réel, Kaspersky Anti-Virus découvre des objets infectés et suspects lorsqu’il y accède et effectue sur ces objets les actions spécifiées dans la tâche.
Pour vérifier le fonctionnement de la tâche de protection en temps réel, procédez comme suit :
1.
Téléchargez le fichier
eicar.com
eicar.com depuis la page du site EICAR http://www.eicar.org/anti_virus_test_file.htm
. Sauvegardezle sur le serveur protégé.
Si vous voulez vérifier comment Kaspersky Anti-Virus découvre des objets suspects, rajoutez le préfixe SUSP–
à la ligne de texte dans le fichier (pour de plus amples informations, consultez la section "Virus d’essai EICAR et ses modifications").
2.
Si la tâche de protection en temps réel a été arrêtée, lancez-la à l’aide de la commande suivante :
# /opt/kaspersky/kav4fs/bin/kav4fs-control --start-task 8
3. Ouvrez le fichier
eicar.com
en lecture à l’aide de la commande suivante :
# cat <chemin_d’accès_complet_à_eicar.com>
4. Kaspersky Anti-
Virus interceptera l’appel au fichier, l’analysera et bloquera son accès. En faisant cela, le message suivant est affiché sur la console :
"cat: <chemin_d’accès_complet_à_eicar.com>: Permission denied"
5. Effectuez la commande suivante :
# echo $?
La tâche de protection en temps réel traite avec succès la requête au fichier
eicar.com
, si le résultat de l’exécution de cette commande est une valeur qui n’est pas égale à zéro.
38
D
’
A N A L Y S E À L A D E M A N D E
V
É R I F I C A T I O N D U F O N C T I O N N E M E N T D E S T Â C H E S D E P R O T E C T I O N E N T E M P S R É E L E T
V
ERIFICATION DU FONCTIONNEMENT DE LA TACHE
D
’
ANALYSE A LA DEMANDE
Cette section décrit comment s’assurer que Kaspersky Anti-Virus découvre des objets infectés et suspects dans la tâche d’analyse à la demande spécifiée du secteur d’analyse, et effectue des actions sur ceux-ci comme spécifiées dans la tâche.
Vous pouvez vérifier la fonction "Analyse à la demande" lors de l’exécution de la tâche prédéterminée
Analyse complète de l’ordinateur
, ainsi que celle de la tâche d’analyse à la demande d’utilisateur.
Vous devez sauvegarder le fichier
eicar.com
sur le serveur protégé.
Pour vérifier le fonctionnement de la tâche d’analyse à la demande, procédez comme suit :
1.
Arrêtez la tâche de protection en temps réel à l'aide de l'instruction suivante:
# /opt/kaspersky/kav4fs/bin/kav4fs-control --stop-task 8
2.
Téléchargez le fichier
eicar.com
depuis la page du site EICAR http://www.eicar.org/anti_virus_test_file.htm
et enregistrezle sur le serveur protégé.
Lors de l’analyse, Kaspersky Anti-Virus attribuera au fichier le statut
Infecté
, si vous laissez le fichier eicar.com intact. Kaspersky Anti-Virus attribuera au fichier le statut
Suspect
, si vous rajoutez le préfixe SUSP- à la ligne de texte dans le fichier
eicar.com
(pour plus d’informations, consultez la section "Virus de test EICAR et ses
modifications" (voir page 39 )).
3.
Créez la tâche d’analyse à la demande à l’aide de la commande suivante :
# /opt/kaspersky/kav4fs/bin/kav4fs-control \
--create-task <nom_de_la_tâche> --use-task-type=ODS
ID de la tâche créée sera affiché sur la console.
4.
Rajoutez le répertoire qui contient le fichier
eicar.com
dans le secteur d’analyse de la tâche créée à l’aide de la commande suivante :
# /opt/kaspersky/kav4fs/bin/kav4fs-control \
--set-settings <ID_de_la_tâche_créée> \
ScanScope.AreaPath.Path=<chemin_d’accès_au_fichier_ contenant_eicar.com>
5.
Lancez la tâche créée à l’aide de la commande suivante :
# /opt/kaspersky/kav4fs/bin/kav4fs-control \
--start-task <ID_de_la_tâche_créée> -W
6.
Consultez les résultats du fonctionnement de la tâche sur la console.
La tâche d’analyse à la demande est configurée correctement si le fichier
eicar.com
est supprimé du serveur protégé (si dans les paramètres de la tâche, l’action à exécuter sur des objets infectés
Réparer est spécifiée ; si cela n’est pas possible, supprimer
).
V
IRUS D
’
ESSAI
EICAR
ET SES MODIFICATIONS
Le virus d’essai est destiné pour la vérification du fonctionnement des applications antivirus. Il a été créé par l’organisation The European Institute for Computer Antivirus Research (EICAR).
39
M
A N U E L D
’
I N S T A L L A T I O N
Le virus "test" n’est pas une application malveillante. Il ne contient pas de code de programme qui peut endommager votre serveur. En revanche, les applications antivirus de la majorit
é des fabricants identifient une menace en lui.
Le fichier qui contient le virus d’essai est dénommé eicar.com. Vous pouvez le télécharger depuis la page http://www.eicar.org/anti_virus_test_file.htm
du site officiel de l’organisation EICAR.
Avant de sauvegarder le fichier dans le répertoire sur le serveur, assurez-vous que la protection en temps réel des fichiers dans ce répertoire est désactivée.
Le fichier eicar.com contient la ligne de tex te. Lors de la vérification du fichier, Kaspersky Anti-Virus détecte la "menace" dans cette ligne de texte, attribue au fichier le statut
Infecté
et exerce sur ce fichier l’action qui est spécifiée dans la tâche.
De même, vous pouvez utiliser le fichier eicar.com pour vérifier la réaction de Kaspersky Anti-Virus lors de la détection des objets d’autres types. Pour cela, ouvrez le fichier à l’aide du programme de traitement de texte, rajoutez au contenu du fichier un des préfixes énumérés dans le tableau suivant, et enregistrez le fichier sous un autre nom.
Tableau 4.
Préfixes
P
RÉFIXE
Sans préfixe
WARN-
ERRO-
SUSP-
CURE-
S
TATUT DU FICHIER APRES L
’
ANALYSE ET ACTION DE
K
ASPERSKY
A
NTI
-
V
IRUS
Kaspersky Anti-
Virus attribue à l’objet le statut
Infecté
.
Kaspersky Anti-Virus a ttribue à l’objet le statut
Avertissement
(le code de l’objet correspond partiellement au code d’une menace connue).
Une erreur s’est produite lors de l’analyse de l’objet. Kaspersky Anti-Virus ne peut pas accéder à l’objet, car l’intégrité de celui-ci a été violée (par exemple : il n’y a pas de fin à une archive multivolume) ou il n’y a pas de lien vers l’objet
(lorsque l’objet se trouve sur une ressource de réseau).
Kaspersky Anti-
Virus attribue à l’objet le statut
Suspect
(détecté à l’aide de l’analyseur heuristique).
Kaspersky Anti-
Virus attribue à l’objet le statut
Infecté
et essaie de le réparer.
Si la réparation est réussie, le corps du virus est remplacé par le mot "CURE".
Kaspersky Anti-
Virus attribue à l’objet le statut
Corrompus
.
CORR-
40