Помимо стандартного эвристического анализа,
экран почты выполняет дополнительные эвристические проверки с целью выявления
потенциальных, но пока неизвестных вредоносных программ, таких как
"черви", используемые для массовой рассылки. Для этого
рассматриваются определенные характеристики, которые могут быть признаком
возможного заражения:
"Проверять последовательности пробелов в имени вложения"
- некоторые вирусы добавляют несколько пробелов (или других не
отображаемых символов) в конец расширения файла, после которого следует
второе, "настоящее" разрешение, которое в обычных условиях было
бы распознано как потенциально опасное. В этом случае из-за большой длины
имени файла человек, получающий письмо, может не увидеть второе расширение
и открыть вложение, считая его безопасным. Эвристический анализ выявляет
такую уловку, обнаруживая последовательности непечатаемых символов в имени
вложения. Количество не отображаемых символов по умолчанию - 20, и если их
число превышает этот порог, программа предупредит пользователя.
"Проверка вложений" - если этот флажок установлен, будет
выполняться анализ вложения на основании его имени и расширения, а также,
по желанию, его содержимого.
Если выбран переключатель "Только имя / расширение", программа
предупредит пользователя, например, в случае, если вложение имеет простое
выполняемое расширение (EXE, COM, BAT и т.п.). Однако далеко не все файлы
таких типов опасны, и использование этого параметра может привести к
частым ложным тревогам - "чистые" файлы будут считаться
потенциально подозрительными.
Если выбран переключатель "Тип содержимого и имя /
расширение", программа дополнительно проверит, соответствует ли
содержимое данному типу файла - то есть действительно ли файл с
расширением ".jpg" содержит картинку и не является ли он
переименованным COM-файлом.
"Локальные iFRAME / Удаленные iFRAME" - некоторые вирусы
способны использовать недостатки определенных почтовых программ,
позволяющие запускать вирус даже при просмотре сообщения в окне предварительного
просмотра. avast проверяет, содержит ли HTML-код сообщения специальный
тег, которые позволяет это делать - и если такой тег обнаружен,
отображается предупреждение.
