Eliminação de worm

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2008-01-07

O Forefront Security para Exchange Server permite que você configure o trabalho de verificação de transporte e o trabalho de verificação em tempo real para eliminar mensagens infectadas por worms. A eliminação de worm é um novo e poderoso recurso para contenção de ataques antes que eles prejudiquem a sua rede. O Forefront Security para Exchange Server identifica mensagens de worm, usando uma lista de worms regularmente atualizada denominada WormPrge.dat, que é mantida pela Microsoft e atualizada como os mecanismos de verificação antivírus. O arquivo WormPrge.dat geralmente contém os nomes de worms relatados pelos atuais mecanismos de verificação de terceiros. (Observe que cada mecanismo de verificação pode relatar o nome do worm de maneira diferente.)

ObservaçãoObservação:
Como a lista de eliminação de worms é atualizada conforme a necessidade, ela não é atualizada tão freqüentemente quanto os mecanismos antivírus.

A chave do Registro RealtimePurge é usada pelo trabalho de verificação em tempo real para determinar se a eliminação de worm está ou não habilitada. A nova chave de Registro da Microsoft, HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS \VirusScan\EnableScanDeletion, determina se a eliminação de mensagem VSAPI está habilitada. Se a chave EnableScanDeletion estiver definida, quando um trabalho de verificação em tempo real localizar um corpo de mensagem ou um anexo que deva ser eliminado, ele enviará a mensagem VIRSCAN_DELETE_MESSAGE para o FSEVSAPI e o Exchange excluirá a mensagem inteira.

O acesso à mensagem completa não é fornecido antes que ela seja eliminada. O Forefront Security para Exchange Server não oferece suporte de quarentena para a eliminação de mensagens em tempo real.

Quando o scanner de transporte determina que a mensagem está infectada com um worm, ele limpa a mensagem, excluindo-a completamente. A eliminação é processada para as mensagens de entrada e de saída do Transporte de Borda ou Transporte de Hub. Nenhuma mensagem ou notificação será enviada ao destinatário pretendido da mensagem infectada. As mensagens eliminadas pelo scanner de transporte não são recuperáveis.

O scanner de transporte pode ser configurado para enviar notificações ao administrador e ao remetente pela seleção da caixa Enviar Notificações no painel de trabalho Filtragem de Arquivos. O scanner não pode ser configurado para enviar notificações aos destinatários das mensagens de worm eliminadas, pois isto impediria a remoção de mensagens geradas por worm.

Os vírus worm (mensagens e anexos) eliminados pelo scanner de transporte não serão colocados em quarentena mesmo que a quarentena esteja habilitada. Isto serve para evitar que o arquivo em quarentena receba centenas ou milhares de cópias da mesma mensagem.

O Forefront Security para Exchange Server não oferece suporte para a eliminação de mensagens durante uma verificação manual.

Para evitar que uma nova ameaça de worm se espalhe antes da atualização de um mecanismo de scanner, os nomes de anexos de mensagens geradas por worm podem ser colocados na lista de filtros de arquivos, no painel de trabalho Filtragem de Arquivos. Para isso, acesse o painel Filtragem de Arquivos e adicione uma nova entrada à lista de nomes de arquivos. Depois de adicionada a entrada, selecione Limpar: eliminar mensagem como a ação.

O filtro de arquivo é configurado, por padrão, para enviar notificações ao administrador e ao remetente. Ele não pode ser configurado para enviar notificações aos destinatários das mensagens de worm eliminadas, pois isto impediria a remoção de mensagens geradas por worm.

ObservaçãoObservação:
Quando você seleciona a opção Limpar: eliminar mensagem, a mensagem inteira será excluída e não será recuperável. É recomendável que você só selecione essa ação com a finalidade de eliminar mensagens de worm antes do lançamento de atualizações de scanners de vírus.

Diferentemente do recurso de quarentena de mensagens não-worm, mesmo que você selecione Mensagem em Quarentena, apenas o anexo que acionou o filtro será colocado em quarentena; o corpo da mensagem e qualquer outro anexo serão excluídos. Isto não deve representar nenhum problema à filtragem de mensagens de worm porque o corpo da mensagem não tem nenhum valor e não deve conter qualquer outro anexo.

Os scanners de transporte e em tempo real podem ser configurados para enviar diferentes mensagens de notificação ao administrador de worm quando uma mensagem for eliminada. Além disso, notificações poderão ser enviadas quando uma mensagem for eliminada pelo filtro de arquivo. Todas as notificações podem ser modificadas, conforme o necessário, no painel de trabalho Instalação de Notificação, descrito em Notificações por email.

Ao instalar ou atualizar o Forefront Security para Exchange Server, o recurso de eliminação de worm é habilitado por padrão. O WormPrge.dat é instalado na pasta Wormlist\Bin, que pode ser encontrada no diretório onde foi instalado o Forefront Security para Exchange Server. Para desabilitar o recurso de eliminação de worm do trabalho de verificação de transporte, configure o valor de Registro TransportPurge como 0, na chave do Registro do Forefront Security para Exchange Server. Para desabilitar esse mesmo recurso do trabalho de verificação em tempo real, configure como 0 o valor do Registro RealtimePurge, localizado na chave do Registro do Forefront Security para Exchange Server.

ObservaçãoObservação:
Cada vez que você altera esses valores de Registro, é preciso reciclar o serviço IMC do Exchange para que a alteração produza efeito no trabalho de verificação de transporte; também é preciso reciclar o Armazenamento de Informações do Exchange para que a alteração produza efeito no trabalho de verificação em tempo real.

Quando são identificadas novas ameaças de worm, a lista de identificação de worms é atualizada pela Microsoft. Quando isto ocorre, é enviada uma notificação a todos os clientes do Forefront Security para Exchange Server e a nova atualização é disponibilizada para download pelo Forefront Security para Exchange Server. Este processo é o mesmo usado para atualização de mecanismos de verificação de vírus. As atualizações podem ser realizadas por uma de duas maneiras: manualmente ou via agendamento. Depois de uma atualização bem-sucedida, a pasta Wormlist\Bin conterá a versão mais recente do arquivo WormPrge.dat, e uma pasta LastKnownGood será criada para conter o arquivo WormPrge.dat anterior. Para obter mais informações sobre como fazer atualizações, consulte Atualização de scanner de arquivo.

Os administradores podem criar uma lista personalizada de eliminação de worms (CustPrge.dat) para especificar nomes adicionais de vírus ainda não incluídos no arquivo Wormprge.dat ou para criar uma lista que eliminará todas as mensagens identificadas como infectadas por um vírus. As mensagens e arquivos infectados serão verificados com base na lista de eliminação de worms e na lista personalizada de eliminação.

Para criar uma lista personalizada de eliminação de worms
  1. Crie uma nova pasta denominada CustomList na pasta do mecanismo WormList, localizada na pasta de instalação do Forefront Security para Exchange Server.

  2. Crie um arquivo de texto denominado CustPrge.dat na pasta CustomList.

  3. No arquivo CustPrge.dat, digite os nomes dos vírus que você gostaria de eliminar. Coloque só um nome de vírus em cada linha, seguido por um retorno de carro. Esses nomes podem ser obtidos das notificações de atualização de mecanismo antivírus ou nos sites de fornecedores de mecanismos antivírus. As entradas podem conter o caractere curinga asterisco (*).

    ObservaçãoObservação:
    Se outras empresas de antivírus se referirem ao mesmo vírus por nomes diferentes, inclua cada um dos nomes no arquivo CustPrge.dat para estar totalmente protegido.
  4. Se você quiser que todas as mensagens infectadas por vírus sejam eliminadas, digite uma única linha com apenas um asterisco (*) seguido por um retorno de carro. O resultado dessa ação será a eliminação de todas as mensagens identificadas como infectadas.

    ObservaçãoObservação:
    Como isso faria com que todas as mensagens infectadas fossem eliminadas e ficassem irrecuperáveis, não é recomendável usar esse procedimento. Recomendamos, em vez disso, que você use as opções Eliminar ou Limpar para vírus não-worm, pois essas opções permitem que as mensagens e arquivos infectados sejam colocados em quarentena.
  5. Recicle o serviço de transporte do Microsoft Exchange.

 
Mostrar: