Notas de Lançamento do Sophos Anti-Virus para Windows NT/2000/XP/2003 --------------------------------------------------------------------- Versão do produto : 3.88.0 Versão do mecanismo de vírus : 2.26.0 Versão dos dados de vírus : 3.88, Dezembro 2004 www.sophos.com Conteúdo -------- 1 Novidades desta versão 2 Informações importantes para usuários do MailMonitor 3 Observações gerais 4 Informações adicionais 5 Informações de versões anteriores 6 Problemas conhecidos 7 Soluções de problemas 8 Questões de compatibilidade 1 Novidades desta versão ------------------------ * Uma correção foi realizada no Sophos Anti-Virus para que sejam exibidos adequadamente os nomes de arquivos e pastas que possuem Alternate Data Streams - ADS (Fluxos Alternados de Dados) associados com vírus. Isto afeta somente sistemas de arquivo NTFS. Para saber mais sobre o recurso ADS do NTFS, veja: http://support.microsoft.com/kb/105763 Por default, o recurso de rastreamento do ADS está desabilitado no produto. Para habilitá-lo, crie o seguinte valor de registro: Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\ADVANCED Nome do Valor: Scan Streams Tipo: REG_DWORD Dados: 0x00000001 * O programa de instalação do Sophos Anti-Virus foi alterado para excluir qualquer arquivo com o nome DELST??.TXT criado no sistema e pastas TEMP do usuário como parte de uma atualização. Observe que essa correção afeta somente arquivos temporários criados futuramente. Arquivos DELST??.TXT existentes devem ser removidos manualmente. * Uma correção foi realizada para resolver um problema com o rastreamento de pastas contendo caracteres com duplo byte no nome. Isso se aplica somente a tais pastas quando são especificadas para um rastreamento imediato ou agendado. * Novas informações de vírus. 2 Informações importantes para usuários do MailMonitor ------------------------------------------------------ Os usuários do MailMonitor devem realizar os seguintes passos após se atualizarem com a nova versão do Sophos Anti-Virus. a) MailMonitor para SMTP Usuários do MailMonitor para SMTP utilizando a versão 1.2.0 (ou superior) não precisam realizar nenhuma ação após uma atualização para esta versão do Sophos Anti-Virus. Usuários executando versões anteriores do MailMonitor devem se atualizar para a versão atual. O usuários que decidirem pela não atualização do MailMonitor devem reiniciar o MailMonitor para o serviço SMTP após se atualizarem para esta versão do Sophos Anti-Virus. b) MailMonitor para Exchange Usuários do MailMonitor para Exchange 2000 devem certificar-se de que estejam usando a versão 1.0.1 (ou superior) do produto antes de se atualizarem para esta versão do Sophos Anti-Virus. c) MailMonitor para Notes/Domino Na janela Servidor Domino, digite o seguinte tell savdb quit tell savmail quit load savdb load savmail 3 Observações gerais -------------------- a) Tipos de arquivo Os arquivos compactados não são rastreados por default. Para habilitar o rastreamento de arquivos compactados, selecione a opção 'Rastrear dentro de arquivos compactados'. Dependendo do número de arquivos compactados, o tempo de rastreamento pode se alongar. Selecionando o rastreamento de arquivos compactados habilita o rastreamento de arquivos ARJ, CMZ, GZIP, RAR, RAR3, TAR, UUE, ZIP, LHA, LZH, BZip2, Stuffit, arquivos de auto-extração destes tipos, arquivos Zipmail, ajuda compactada e arquivos compactados com MS Compress. Arquivos de auto-extração são rastreados como arquivos compactados somente se o manejo estiver acionado para aquele tipo de arquivo. Caso contrário, serão rastreados somente como executáveis. Se tanto o rastreamento de arquivo compactado quanto o rastreamento de vírus de Macintosh estiverem selecionados, os arquivos BinHex e MacBinary também serão rastreados. Arquivos Unix ELF são rastreados tanto se a sua extensão de arquivo estiver na lista de executáveis, quanto se 'Todos os arquivos' estiver selecionado. b) Lista de extensão As extensões de arquivo a seguir são rastreadas por default em rastreamentos imediatos e agendados. ..., 386, 3GR, ADD, ASP, BAT, CHM, CMD, COM, CPL, DBX, DLL, DMD, DOC, DOT, DRV, EML, EXE, FLT, FON, FOT, HLP, HT?, HTA, HTML, I13, IFS, INI, JS, JSE, LNK, MOD, MPD, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PDR, PIF, PL, POT, PPS, PPT, PRC, RTF, SCR, SH, SHB, SHS, SRC, SWF, SYS, VB?, VXD, WBK, XL?, 4 Informações adicionais ------------------------ As sugestões a seguir talvez requeiram o uso do Editor do Registro (REGEDT32.EXE). A Microsoft divulgou o seguinte aviso sobre o Editor do Registro: "Using Registry Editor incorrectly can cause serious, system-wide problems that may require you to re-install Windows NT to correct them. Microsoft cannot guarantee that any problems resulting from the use of Registry Editor can be solved. Use this tool at your own risk." ("O uso incorreto do Editor do Registro pode causar sérios problemas em todo o sistema e talvez seja preciso reinstalar o Windows NT para corrigi- los. A Microsoft não pode garantir que todos os problemas resultantes do uso do Editor do Registro possam ser resolvidos. O uso desta ferramenta é de seu próprio risco"). a) Requisitos de sistema Esta versão do Sophos Anti-Virus para Windows NT/2000/XP requer Windows NT 4.0 ou superior. Não é executável em Windows NT 3.51. b) Reiniciando após um upgrade do InterCheck Se o driver do InterCheck passou por um upgrade, depois de uma atualização a partir de uma versão anterior do Sophos Anti-Virus para Windows NT/2000/XP, o sistema precisa ser reiniciado antes que o novo driver do InterCheck seja ativado. Não é necessário reiniciar o seu sistema imediatamente após um upgrade. O InterCheck continuará a operar corretamente e os novos recursos serão ativados na próxima vez que o sistema for reiniciado. c) Instalação 'SETUP /UPDATE' tem prioridade sobre as instalações das estações de trabalho, isto é, o 'SETUP /UPDATE' não irá falhar caso a estação de trabalho esteja em processo de estabelecer a necessidade de se atualizar ou em processo de atualização. Vários qualificadores de linha de comandos foram adicionados ao programa de configuração: -a instalação não-interativa -updaccount=domain\username\password informação da conta de atualização -ni configuração não-interativa -in programa de configuração invisível -inl carregador invisível Executando o Programa de Instalação numa sessão cliente terminal: Se você deseja executar o Programa de Instalação numa sessão cliente terminal, certifique-se de que nenhuma outra instância da Instalação esteja em execução em alguma sessão. d) 'Servidor de Terminal' e 'Citrix MetaFrame' Se você estiver executando um Servidor de Terminal ou Citrix MetaFrame, é possível executar a janela Sophos Anti-Virus e o InterCheck Monitor numa janela cliente terminal. Somente um usuário de cada vez pode executar o Sophos Anti-Virus e o logon deve ser feito com direitos de Administrador. Os aplicativos SAV Interface em execução numa sessão cliente terminal são agora corretamente relacionados na guia SAVI da janela Sophos Anti- Virus. e) Subsistema de mensagens É possível inibir a exibição de uma mensagem de área de trabalho emitida pelo Cliente InterCheck ao ser encerrado. Para fazer isto, adicione o seguinte valor ao registro: Chave: HLM\SOFTWARE\Sophos\SweepNT\SMMs\Desktop.smm Nome do Valor: Shutdown Message Action Tipo: REG_DWORD Dados: 0x0000000F É possível forçar o SMTP SMM a enviar seus relatórios como anexos com codificação MIME. Para fazer isto, adicione o seguinte valor ao registro: Chave: HLM\SOFTWARE\Sophos\SweepNT\SMMs\SMTP.smm Nome do Valor: Mime Encode Tipo: REG_DWORD Dados: 0x00000001 Os arquivos em armazenamento off-line são relatados. Para suprimir essas mensagens, adicione o seguinte valor ao registro: Chave: HLM\SOFTWARE\Sophos\ADVANCED Nome do Valor: REPORT_OFF_LINE_FILES Tipo: REG_DWORD Dados: 0x00000000 Arquivos criptografados são relatados. Para suprimir essas mensagens, adicione o seguinte valor ao registro: Chave: HLM\SOFTWARE\Sophos\ADVANCED Nome do Valor: REPORT_PASSWORD_ENCRYPTED Tipo: REG_DWORD Dados: 0x00000000 f) Interação com os arquivos mantidos em armazenamento off-line Por default, durante rastreamentos imediatos e agendados, o Sophos Anti- Virus não irá recuperar arquivos marcados como mantidos em armazenamento off-line para rastreamento. Este comportamento default pode ser cancelado configurando o seguinte valor no registro: Chave: HLM\Software\Sophos\ADVANCED\ Nome do Valor: SCAN_FILES_IN_HSM Tipo: REG_DWORD Dados: 0x00000001 Por default, durante rastreamentos imediatos e agendados, o Sophos Anti- Virus irá redefinir os dados de dia e hora em que o arquivo foi acessado pela última vez. Este comportamento default pode ser cancelado configurando o seguinte valor no registro: Chave: HLM\Software\Sophos\ADVANCED\ Nome do Valor: RESET_LAST_ACCESSED_TIME Tipo: REG_DWORD Dados: 0x00000000 g) Controle de arquivo de registro O arquivo de registro pode se tornar muito grande. Não é possível excluir SWEEP.LOG enquanto o serviço estiver em execução. Entretanto, se a localização do arquivo SWEEP.LOG for alterada, o original poderá ser excluído. h) Notificação SNMP Existe um módulo de mensagem para geração de um trap SNMP. São possíveis quatro tipos de trap. OIDs (identificadores de objeto) são atribuídos aos traps da seguinte maneira: 1.3.6.1.4.1.2604.2.1.1.1.1 Aviso de vírus 1.3.6.1.4.1.2604.2.1.1.1.2 Mensagem de erro 1.3.6.1.4.1.2604.2.1.1.1.3 Mensagem de informação 1.3.6.1.4.1.2604.2.1.1.1.4 Interrupção de teste Cada interrupção contém uma string com a versão do SAV and uma string com informação sobre a natureza do alerta. OIDs são atribuídos aos dados da seguinte maneira: 1.3.6.1.4.1.2604.2.1.1.2.1.1 Texto de aviso de vírus 1.3.6.1.4.1.2604.2.1.1.2.1.2 Texto de mensagem de erro 1.3.6.1.4.1.2604.2.1.1.2.1.3 Texto de mensagem de informação 1.3.6.1.4.1.2604.2.1.1.2.1.4 String de trap de teste 1.3.6.1.4.1.2604.2.1.1.2.2 String da versão Observação: é impossível consultar remotamente o MIB. Os dados estão disponíveis somente a partir do conteúdo do trap. i) Informação de vírus Ao requisitar informação sobre vírus, os usuários são direcionados para o website da Sophos para informações mais atualizadas e precisas. 5 Informações de versões anteriores ----------------------------------- Novembro 2004 (3.87) * Controle aperfeiçoado de arquivo Zip * Um aperfeiçoamento foi realizado para resolver uma situação em que um aplicativo tenta fechar o Windows durante uma atualização do Sophos Anti-Virus. Essa tentativa é agora evitada de forma que a atualização pode ser concluída com sucesso. * Se SAV32CLI estiver em execução quando o programa de instalação do Sophos Anti-Virus for iniciado, o SAV32CLI é agora automaticamente encerrado para evitar que o programa de instalação seja congelado. * Uma correção foi realizada no programa de instalação. Se um diretório de instalação central é criado num servidor, então, quando o Sophos Anti-Virus for instalado numa estação de trabalho, por default, somente o "InterCheck Client" (e não o "InterCheck Server") é selecionado para instalação. * Uma mudança muito pequena foi realizada na caixa de diálogo de configuração. Se for desfeita a seleção de "Rastrear caixas de correio", "Desinfetar caixas de correio" é desativada. * O rastreador no acesso inclui uma correção para um problema ao salvar documentos do Microsoft Office em compartilhamentos NetWare. O problema ocorria quando o rastreado era definido para rastrear arquivos "na gravação". Será preciso reinicializar após atualizar o Sophos Anti-Virus para esta versão, para permitir que esta mudança seja efetivada. Isto se aplica também a atualização automática. Após atualizar o Sophos Anti-Virus, se você observar uma degradação da performance, ou erros forem relatados quando tentar salvar planilhas de Excel em compartilhamentos Windows, siga as instruções detalhadas na seção 6g. Outubro 2004 (3.86) * A extensão de nome de arquivo .MD? foi removida da lista de tipos de arquivos rastreados por default. * Uma correção foi realizada para resolver um problema em que a versão do Sophos Anti-Virus era registrada no registro Windows como 0.0.0, fazendo o SAVAdmin relatar que o computador estava instalado com o Sophos Anti-Virus versão 0.0.0. O registro e o SAVAdmin devem agora relatar corretamente que a versão é 3.87.0. * Numeração da versão Anteriormente, o número da versão dos dados de vírus era usado como o número geral da versão do produto do Sophos Anti-Virus. Por exemplo: Versão do produto: 3.85, setembro 2004 Existe agora um número geral distinto para a versão do produto, de forma que os dados de vírus possam ser atualizados sem alterar o número da versão do produto. Por exemplo: Versão do produto: 3.86.0 Versão dos dados de vírus: 3.86, outubro 2004 * Controle aperfeiçoado de Outlook Express * Correção para alertas de e-mail SMTP Uma correção foi feita para resolver um problema que ocorria ao mudar o nome de um computador Windows que não possuía "Client for Microsoft Networks" instalado. Anteriormente, isto fazia com que um nome errado de computador fosse usado no campo de assunto de alertas de e-mail SMTP. * Uma correção foi feita no programa de instalação de forma que ao ser executado com o qualificador de linha de comandos "config=4" (não reiniciar o serviço no término do programa de instalação), o SAV Interface é registrado de novo corretamente na conclusão. * Se você fizer um rebaixamento do rastreamento no acesso para uma versão anterior, um aperfeiçoamento realizado no programa de instalação minimiza as chances de uma incompatibilidade entre a versão já instalada e a versão do rebaixamento. * Uma correção foi feita no programa de instalação para resolver um problema onde o Windows Security Console no Windows XP ocasionalmente não representava corretamente o status de instalação do Sophos Anti-Virus. * Rastreamento no acesso de mapeamentos de drive cliente do Citrix Se usuários do Citrix Metaframe possuem drives locais mapeados numa sessão, esses drives são agora rastreados pela cópia do Sophos Anti-Virus no servidor. Isto significa que você não precisa ter o Sophos Anti-Virus instalado no computador cliente. * Correção para um possível problema com a interação entre objetos SAV Interface e o programa de instalação, que pode provocar falhas no programa de instalação em raras circunstâncias. * Correção para um problema com DLLs bloqueadas que afastava o programa de instalação Ocasionalmente, o programa de instalação era incapaz de ser executado com êxito por causa de DLLs bloqueadas. Mudanças foram realizadas no programa de instalação e no Sophos Anti-Virus para reduzir as chances de que isso ocorra novamente. Setembro 2004 (3.85) * Controle aperfeiçoado de arquivos PDF, RAR e HTML * Rastreamento aperfeiçoado de banco de dados do Access * Quando o direito de usuário "bypass traverse checking" é removido, o Sophos Anti-Virus continua funcionando corretamente no Windows XP. * A lista de exclusão pode agora conter até 126 itens. * Rastreador no acesso aperfeiçoado O rastreador no acesso inclui uma correção para resolver uma degradação de performance ao rastrear arquivos infectados em toda uma rede. Este problema afeta somente usuários de Windows XP Service Pack 2. O rastreador no acesso também inclui uma correção para um problema que pode ser encontrado durante o logoff, quando perfis roaming são armazenados num filer NetApp. O erro foi visto em (mas talvez não seja a única possibilidade de ocorrência) Data ONTAP versões 6.4.3 e 6.4.4R1 do NetApp. Ele ocorre somente em estações de trabalho Windows XP executando um Microsoft Redirector Hotfix específico (KB321936), e quando o rastreador no acesso estiver configurado para rastrear "na gravação". Você deverá reinicializar após a atualização do Sophos Anti-Virus para esta versão, para que as mudanças sejam efetuadas. Isto se aplica também à atualização automática. 6 Problemas conhecidos ---------------------- a) Servidor NetWare e estação de trabalho Windows 2000 Este problema afeta somente a execução do programa de configuração / atualização em computadores Windows 2000 quando o Diretório de Instalação Central estiver baseado num servidor NetWare. Quando for necessário colocar um novo arquivo de IDE num Diretório de Instalação Central (CID) baseado num Servidor NetWare e executar o programa de configuração /atualização numa estação de trabalho Windows 2000, a seguinte linha de comando deve ser utilizada em vez do comando documentado: setup /update /srcpath=\\netwareserver\cidpath onde \\netwareserver\cidpath é o caminho UNC completo para o CID. b) SAV32CLI e o Programa de instalação Se o SAV32CLI estiver em execução quando o Programa de instalação for iniciado, ocorrerá uma falha. Como alternativa, feche o SAV32CLI antes de executar o Programa de instalação. A mensagem de ajuda em SAV32CLI não menciona no momento as novas opções disponíveis (em particular, -cdr e -oe). c) Servidor InterCheck e Windows 2000 O servidor InterCheck é selecionado por default em instalações Windows 2000. A seleção deve ser desfeita durante a instalação quando não for necessária. d) Se for preciso instalar o Servidor InterCheck no servidor terminal, o Cliente InterCheck também deve ser instalado. Instalações subseqüentes do Servidor InterCheck não vão requisitar que o Cliente InterCheck esteja instalado ao mesmo tempo. e) Atualização do Sophos Anti-Virus no Windows XP Num computador individual Windows XP que não esteja num domínio Windows, se você tentar instalar, ou atualizar, esta versão do Sophos Anti-Virus, a instalação ou atualização não se realizará caso as seguintes condições forem encontradas: * Um usuário está executando a versão (3.73) de setembro de 2003 ou anterior do Sophos Anti-Virus e/ou InterCheck Monitor. * Enquanto este usuário estiver conectado, um segundo usuário faz o logon no computador. * O segundo usuário instala esta versão do Sophos Anti-Virus, ou atualiza o Sophos Anti-Virus com a versão (3.73) de setembro de 2003 ou anterior para esta versão. Neste caso, quando o programa de instalação iniciar a cópia dos arquivos de instalação, a seguinte mensagem será exibida: "Erro ao criar o arquivo C:\Program Files\Sophos SWEEP for NT\SHRDRES.DLL" Clique 'Abortar'. O programa de instalação exibirá a seguinte mensagem: "O Programa de Instalação do Sophos não pôde completar esta instalação." Clique 'Sair'. Para que a instalação ou atualização se realize, faça o seguinte: para todos os usuários no computador que estiver executando a versão (3.73) de setembro de 2003 ou anterior do Sophos Anti-Virus e/ou InterCheck Monitor, feche o Sophos Anti-Virus e/ou InterCheck Monitor. Em seguida, continue com a instalação ou atualização. f) Se uma instalação não-interativa for iniciada no servidor terminal quando a janela Sophos Anti-Virus ou o InterCheck Monitor estiver executando uma sessão cliente terminal, o Programa de Instalação poderá congelar ou falhar em reexecutar a janela Sophos Anti-Virus ou o InterCheck Monitor na finalização da instalação. O Programa de Instalação terá concluído a atualização, então o usuário poderá fechar o Programa de Instalação pelo Gerenciador de Tarefas e/ou manualmente abrir a janela Sophos Anti-Virus ou o InterCheck Monitor. g) Se você estiver usando o Windows 2000 ou superior e configurar o rastreador no acesso para rastrear arquivos "na gravação", talvez perceba uma certa lentidão ao salvar documentos do Microsoft Office em compartilhamentos de rede Windows. Para resolver este problema, você deve desativar o caching client-side no Windows. Isto pode ser feito de duas maneiras: * Desativando o bloqueio oportunista na estação de trabalho. * Desativando o bloqueio oportunista no servidor onde o compartilhamento está localizado. Para detalhes sobre como fazer isto, consulte o artigo 296264 da base de conhecimento da Microsoft: "Configuring Opportunistic Locking in Windows" (http://support.microsoft.com/default.aspx?scid=kb;en-us;296264). Você terá que reinicializar o seu computador para que essas mudanças sejam efetivadas. 7 Soluções de problemas ----------------------- a) Erros ao acessar compartilhamentos de rede a partir de computadores remotos Depois de instalar o Sophos Anti-Virus para Windows NT/2000/XP, você poderá encontrar dificuldades em acessar compartilhamentos de rede a partir de computadores remotos. Você também poderá receber uma das seguintes mensagens de erro: "Not enough server storage is available to process this command." ("Não há espaço de armazenamento suficiente no servidor para processar este comando.") "Not enough memory to complete transaction. Close some applications and retry." ("Não há memória suficiente para completar esta operação. Feche alguns aplicativos e tente novamente.") Além disso, o servidor Windows NT poderá registrar uma, ou ambas, das seguintes mensagens de evento no registro de sistema: Id. do evento : 2011 Origem : Srv Descrição : The server's configuration parameter "IRPStackSize" is too small for the server to use a local device. Please increase the value of this parameter. Id. do evento : 0 Origem : Srv Descrição : Description for Event ID 0 could not be found. It contains the insertion string \device\LanManServer. Esta é uma restrição imposta pela configuração default do servidor Windows NT. Os seguintes dados de registros são necessários para resolver o problema: Chave: HLM\SYSTEM\CurrentControlSet\Services\LanmanServer\ Parameters\ Nome do valor: IrpStackSize Tipo: REG_DWORD Dados: 0x6 Você pode usar o REGEDT32 para modificar ou criar estes dados no registro. Será preciso reiniciar o sistema antes que as mudanças se tornem efetivas. Caso continue a ter problemas, um valor maior poderá ser selecionado. A variação válida para este parâmetro é de 0x1 a 0xC (1 a 12). Para informações adicionais, consulte o artigo de conhecimento básico ID Q198386 da Microsoft. b) Serviço de atualização do SWEEP para Windows NT Para funcionar corretamente, o serviço de auto-atualização deve ser instalado como uma conta 'LocalSystem' e a opção 'Allow Service to Interact with Desktop' precisa estar selecionada. c) Registro do InterCheck Para que o Registro do InterCheck funcione corretamente, o Serviço de Rede do SWEEP para Windows NT precisa estar usando uma conta que permita visualizar o compartilhamento do Servidor InterCheck. Este talvez não seja o caso se a opção auto-atualização não tiver sido selecionada durante a instalação. Caso o Registro do InterCheck não funcione corretamente, uma conta apropriada deve ser selecionada da seguinte maneira: * Siga para o Painel de controle|Serviços. * Selecione o Serviço de Rede do SWEEP para Windows NT. * Clique no botão 'Partida...'. * Em 'Fazer o log on como:', selecione o campo 'Este conta'. * Digite uma conta no formato DOMÍNIO\Usuário com acesso ao relevante compartilhamento do Servidor InterCheck. * Preencha o campo de senha. * Clique 'OK' para confirmar a mudança. * Pare e, em seguida, reinicie o serviço. d) Serviços de terminal Para funcionar corretamente, o usuário deve estar executando a janela Sophos Anti-Virus e o InterCheck Monitor como clientes terminais ou no console, com direitos de administrador. 8 Questões de compatibilidade ----------------------------- a) Compatibilidade Banyan VINES Observe que o InterCheck não verificará arquivos em drives Banyan VINES remotos a não ser que a compatibilidade de rede Banyan VINES tenha sido iniciada na partida. b) Servidor PATHWORKS versão 4 Clientes Windows NT que utilizam um servidor PATHWORKS 4 para o diretório de instalação central podem sem auto-atualizar repetidas vezes. Este problema ocorre somente no PATHWORKS 4 e não em versões mais recentes do PATHWORKS. c) Instant Internet da Bay Networks (Tecnologias de Desempenho) Um conflito entre a versão cliente WinSock instalada pelo aplicativo Instant Internet e o módulo SMTP.SMM da Sophos pode fazer com que o serviço Sophos Anti-Virus não se inicie ou se encerre corretamente Como solução alternativa, adicione o seguinte valor ao registro. Chave: HLM\Software\Sophos\SweepNT\SMMS\SMTP\ Nome do Valor: No Startup Check Tipo: REG_DWORD Dados: 0x1 Esta solução alternativa evitará que o módulo SMTP verifique os apropriados protocolos de transporte de rede durante a inicialização.