[StartPagina] [IndexVanTitels] [IndexVanWoorden

ClamAV

ClamAV is geen standaard onderdeel van Ubuntu. Dit artikel stelt niet dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV moet gebruiken maar geeft objectieve informatie over gebruik van ClamAV. Het is een eigen beslissing van een gebruiker ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware.

ClamAV installeren

ClamTK, een grafische schil voor ClamAV, is aanwezig in Ubuntu software:

clamtksoftware.png

Of installeren ClamAV in een Terminalvenster:

sudo apt install clamav

ClamTK

Wijzig eventueel de instellingen van ClamTK (14.04: Geavanceerd → Voorkeuren)

Voer een scan uit door een bestand of een map te scanner. Na de scan worden de resultaten getoond:

ClamAV virusdatabase

ClamAV zal de virusdefinities regelmatig bijwerken.

Handmatig bijwerken van de virusdefinities kan in een Terminalvenster:

sudo freshclam

Optioneel kunnen extra definities kunnen van derde partijen worden gedownload door pakket clamav-unofficial-sigs te installeren:

sudo apt install clamav-unofficial-sigs

clamscan

Gebruik voor het uitvoeren van een scan ClamTK of de terminalopdracht clamscan

Voorbeelden:

Na het scannen van de bestanden sluit clamscan af met een samenvatting:

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 122
Scanned files: 443
Infected files: 0
Data scanned: 40.79 MB
Data read: 25.25 MB (ratio 1.62:1)
Time: 19.345 sec (0 m 19 s)

ClamAV server

Op een server kan ClamAV als achtergrondproces (deamon) worden geïnstalleerd:

sudo apt install clamav-daemon

Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd geladen is. Gebruik hiervoor de opdracht clamdscan in plaats van clamscan

Voorbeeld om een bepaald bestanden te scannen met clamdscan:

naam@Ubuntu:~$ clamdscan /home/naam/Downloads/eicar.com
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.066 sec (0 m 0 s)

Dit kan bij uitstek worden gebruikt voor een mailserver (sendmail) of opslag-oplossing (bijvoorbeeld ProFTPd, ownCloud) of Thunderbird

Om werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.

Thunderbird

Bijvoorbeeld: Om clamav server automatisch te gebruiken in het Thunderbird e-mail programma is er een plugin clamdrib LIN

Om deze plugin te laten werken:

[code] TCPSocket 3310 TCPAddr 127.0.0.1 [/code]

[code] ListenStream=127.0.0.1:3310 [/code]

Installeer de plug-in in Thunderbird.

Herstart clamav-daemon (of de computer)

Ieder e-mail die Thunderbird opent wordt eerst door clamav gescaned en er komt een kleine statusregel boven iedere e-mail of deze “schoon” is.

ClamAV testen

eicar.com

Gebruik bijvoorbeeld het eicar.com testvirus:

naam@Ubuntu:~$ cd Downloads
naam@Ubuntu:~/Downloads$ wget http://www.eicar.org/download/eicar.com
--2016-03-19 10:25:05--  http://www.eicar.org/download/eicar.com
Herleiden van www.eicar.org (www.eicar.org)... 188.40.238.250
Verbinding maken met www.eicar.org (www.eicar.org)|188.40.238.250|:80... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
Lengte: 68 [application/octet-stream]
Wordt opgeslagen als: ‘eicar.com’

eicar.com           100%[===================>]      68  --.-KB/s    in 0s      

2016-03-19 10:25:06 (9,73 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~/Downloads$ clamscan -r -i /home
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 83
Scanned files: 108
Infected files: 1
Data scanned: 1.20 MB
Data read: 1.13 MB (ratio 1.06:1)
Time: 14.562 sec (0 m 14 s)

clamav-testfiles

Installeer eventueel de ClamAV testfiles

sudo apt install clamav-testfiles

En scan de testfiles:

clamscan /usr/share/clamav-testfiles/

Het resultaat is dat alle (46) bestanden als "infected" worden aangemerkt:

----------- SCAN SUMMARY -----------
Known viruses: 4462368
Engine version: 0.99
Scanned directories: 1
Scanned files: 46
Infected files: 41
Data scanned: 13.77 MB
Data read: 6.21 MB (ratio 2.22:1)
Time: 20.606 sec (0 m 20 s)

PUA

ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste toepassingen. Dit is niet per definitie malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA werkelijk malware is.

Een paar voorbeelden:

naam@Ubuntu:~$ clamscan -i --detect-pua --block-encrypted=yes Downloads/
Downloads/ib2013_win_setup.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
Downloads/coupon1.pdf: PUA.Pdf.Trojan.EmbeddedJavaScript-1 FOUND
Downloads/ticket_140223_14781_1.pdf: Heuristics.Encrypted.PDF FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467757
Engine version: 0.99
Scanned directories: 1
Scanned files: 3
Infected files: 3
Data scanned: 0.21 MB
Data read: 3.00 MB (ratio 0.07:1)
Time: 17.390 sec (0 m 17 s)

Zelfs het installeren van Wine (sudo apt install wine uit de 16.04 pakketbron) kan (onterechte) PUA meldingen geven:

naam@Ubuntu:~$ clamscan -r -i --detect-pua /usr
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110-1 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86_64.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467733
Engine version: 0.99
Scanned directories: 19805
Scanned files: 103675
Infected files: 9
Total errors: 1
Data scanned: 3296.47 MB
Data read: 3409.82 MB (ratio 0.97:1)
Time: 1115.542 sec (18 m 35 s)

Warning /!\ Een PUA scan uitvoeren op een (dualboot) windows partitie kan (lees:zal) tientallen (of honderden) meldingen van PUA's geven!!!

Meer informatie

Nederlandstalig

Engelstalig


CC-BY-SA

CategoryVeiligheid

Attached Files

 All files | Selected Files: delete move to page copy to page

2022-09-08 16:55