• Vastliggende pagina
  • Info
  • Bijlages
Verschillen tussen versies 1 en 4 (omvat 3 versies)
Versie 1 sinds 2015-11-11 16:23:15
Grootte: 9299
Auteur: testcees
Commentaar:
Versie 4 sinds 2018-05-15 19:27:24
Grootte: 10376
Auteur: testcees
Commentaar: bionic
Verwijderingen worden op deze manier gemarkeerd. Toevoegingen worden op deze manier gemarkeerd.
Regel 3: Regel 3:
 . <<GeschiktVoor("Ubuntu, Kubuntu, Xubuntu","14.04 LTS", "")>>  . <<GeschiktVoor("Ubuntu, Kubuntu, Xubuntu","14.04 LTS, 16.04 LTS, 18.04 LTS")>>
Regel 9: Regel 9:
 * ClamAV scant alleen bestanden op verzoek ("on demand").  * ClamAV scant bestanden op verzoek ("on demand").
Regel 13: Regel 13:
ClamAV is ''geen'' standaard onderdeel van Ubuntu. Dit artikel stelt niet dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV moet gebruiken maar geeft objectieve informatie over gebruik van ClamAV. Het is een eigen beslissing van gebruikers ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware. ClamAV is ''geen'' standaard onderdeel van Ubuntu. Dit artikel stelt ''niet'' dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV ''moet'' gebruiken maar geeft objectieve informatie over gebruik van ClamAV.
Het is een eigen beslissing van een gebruiker ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware.
Regel 16: Regel 17:
ClamAV is aanwezig in het Ubuntu softwarecentrum:

 . {{attachment:clamavsoftwarecentrum.png}}

Of installeren met een terminalopdracht:

{{{
sudo apt-get install clamav
''ClamTK'', een grafische schil voor ClamAV, is aanwezig in Ubuntu software:

{{attachment:clamtksoftware.png}}

Of installeren ClamAV in een Terminalvenster:

{{{
sudo apt install clamav
Regel 27: Regel 28:
ClamTK is een grafische interface om ClamAV eenvoudig te gebruiken op een desktop of laptop.

ClamTK kan worden geïnstalleerd via het Ubuntu softwarecentrum of met een terminalopdracht:

{{{
sudo apt-get install clamtk
}}}
Wijzig eventueel de voorkeuren van ClamTK (Geavanceerd → Voorkeuren)

 . {{attachment:clamtk_voorkeuren.png}}


 . {{attachment:clamtk_in_actie.png}}
Wijzig eventueel de instellingen van ClamTK ('''14.04: '''Geavanceerd → Voorkeuren)

 . {{attachment:clamtk_instellingen.png}}

Voer een scan uit door een bestand of een map te scanner.
Na de scan worden de resultaten getoond:
Regel 44: Regel 37:
 . /!\ Pas op met het verwijderen van bestanden! Controleer of het werkelijk malware betreft! Zeker bij potentieel ongewenste programma's ([[community/ClamAV#PUA|PUA]]) gaat het ''niet'' altijd om malware.
 . /!\ '''Pas op''' met het verwijderen van bestanden!
 *
Controleer of het werkelijk malware betreft!
 * In bovenstaand voorbeeld bevat het eerste bestand (Heuristics.Encrypted.PDF) ''geen malware'' maar is een beveiligd e-ticket voor een theaterbezoek!
 *
Zeker bij ''potentieel'' ongewenste toepassingen ([[community/ClamAV#PUA|PUA]]) gaat het ''niet'' altijd om malware.
Regel 48: Regel 43:
 . (!) Upload een verdacht programmabestand eventueel naar [[https://www.virustotal.com|www.virustotal.com]] om door meerdere scanners te laten controleren.  . (!) Upload een verdacht bestand eventueel naar [[https://www.virustotal.com|www.virustotal.com]] om door meerdere scanners te laten controleren.
Regel 51: Regel 46:
ClamAV zal de virusdatabase regelmatig bijwerken met nieuwe definities. Het bijwerken van de virusdatabase kan handmatig met een terminalopdracht: ClamAV zal de virusdefinities regelmatig bijwerken.

 * Direct na installeren zal ClamTK de melding geven dat de virusdefinities zijn verouderd. Dit is op te lossen door de definities handmatig bij te werken of automatisch door een herstart van de computer.

 . {{attachment:virusdefinities_verouderd.png}}

Handmatig bijwerken van de virusdefinities kan in een Terminalvenster:
Regel 57: Regel 58:
Extra definities kunnen van derde partijen worden gedownload door pakket [[http://manpages.ubuntu.com/manpages/trusty/man8/clamav-unofficial-sigs.8.html|clamav-unofficial-sigs]] te installeren:
{{{
sudo apt-get install clamav-unofficial-sigs
}}}

== ClamAV scannen ==
Gebruik hiervoor ClamTK of de terminalopdracht [[http://manpages.ubuntu.com/manpages/trusty/man1/clamscan.1.html|clamscan]]
Optioneel kunnen extra definities kunnen van derde partijen worden gedownload door pakket [[http://manpages.ubuntu.com/manpages/xenial/man8/clamav-unofficial-sigs.8.html|clamav-unofficial-sigs]] te installeren:
{{{
sudo apt install clamav-unofficial-sigs
}}}

== clamscan ==
Gebruik voor het uitvoeren van een scan ClamTK of de terminalopdracht [[http://manpages.ubuntu.com/manpages/xenial/man1/clamscan.1.html|clamscan]]
Regel 73: Regel 74:
Na het scannen van de bestanden sluit ClamAV af met een samenvatting:

{{{
----------- SCAN SUMMARY -----------
Known viruses: 4078888
Engine version: 0.98.7
Scanned directories: 25634
Scanned files: 117859
Na het scannen van de bestanden sluit clamscan af met een samenvatting:

{{{
----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 122
Scanned files: 44
3
Regel 82: Regel 83:
Total errors: 13326
Data scanned: 3649.58 MB
Data read: 4807.32 MB (ratio 0.76:1)
Time: 884.571 sec (14 m 44 s)
}}}
 . /!\ ClamAV kan alleen bestanden lezen die de gebruiker die clamscan uitvoert ook mag lezen. Gebruik eventueel sudo om ''alle'' bestanden te scannen.
Data scanned: 40.79 MB
Data read: 25.25 MB (ratio 1.62:1)
Time: 19.345 sec (0 m 19 s)
}}}
 . /!\ ClamAV kan alleen bestanden scannen die de gebruiker mag lezen. Gebruik eventueel {{{sudo clamscan}}} om ''alle'' bestanden te kunnen scannen.
Regel 93: Regel 93:
sudo apt-get install clamav-daemon
}}}
Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd is geladen. Gebruik hiervoor de opdracht ''clam'''d'''scan'' in plaats van ''clamscan''

Bijvoorbeeld om een bepaald bestanden te scannen:

{{{
naam@Ubuntu:~$ clamdscan /home/naam/eicar.com 
/home/naam/eicar.com: Eicar-Test-Signature FOUND
sudo apt install clamav-daemon
}}}
Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd geladen is. Gebruik hiervoor de opdracht ''clam'''d'''scan'' in plaats van ''clamscan''

Voorbeeld om een bepaald bestanden te scannen met clamdscan:

{{{
naam@Ubuntu:~$ clamdscan /home/naam/Downloads/eicar.com
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND
Regel 105: Regel 105:
Time: 0.000 sec (0 m 0 s)
}}}

Dit kan bij uitstek worden gebruikt voor een mailserver ([[http://manpages.ubuntu.com/manpages/trusty/man8/clamav-milter.8.html|sendmail]]) of opslag-oplossing (bijvoorbeeld ProFTPd of [[https://doc.owncloud.org/server/7.0/admin_manual/configuration/antivirus_configuration.html|ownCloud]]).

Om de werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.
Time: 0.066 sec (0 m 0 s)
}}}

Dit kan bij uitstek worden gebruikt voor een mailserver ([[http://manpages.ubuntu.com/manpages/xenial/man8/clamav-milter.8.html|sendmail]]) of opslag-oplossing (bijvoorbeeld ProFTPd, [[https://doc.owncloud.com/server/8.0/admin_manual/configuration_server/antivirus_configuration.html|ownCloud]]) of [[#Thunderbird|Thunderbird]]

Om werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.

=== Thunderbird ===
'''Bijvoorbeeld:''' Om [[#ClamAV_server|clamav server]] automatisch te gebruiken in het Thunderbird e-mail programma is er een plugin [[https://addons.mozilla.org/en-US/thunderbird/addon/clamdrib-lin/|clamdrib LIN]]

Om deze plugin te laten werken:

 * Voeg de volgende 2 regels toe aan bestand /etc/clamav/clamd.conf
[code]
TCPSocket 3310
TCPAddr 127.0.0.1
[/code]

 * Pas bestand /etc/systemd/system/clamav-daemon.socket.d/extend.conf aan:
[code]
ListenStream=127.0.0.1:3310
[/code]

Installeer de plug-in in Thunderbird.

Herstart clamav-daemon (of de computer)

Ieder e-mail die Thunderbird opent wordt eerst door clamav gescaned en er komt een kleine statusregel boven iedere e-mail of deze “schoon” is.
Regel 118: Regel 141:
naam@Ubuntu:~$ wget http://www.eicar.org/download/eicar.com
--2015-11-03 20:36:41-- http://www.eicar.org/download/eicar.com
naam@Ubuntu:~$ cd Downloads
naam@Ubuntu:~/Downloads
$ wget http://www.eicar.org/download/eicar.com
--2016-03-19 10:25:05-- http://www.eicar.org/download/eicar.com
Regel 126: Regel 150:
100%[======================================>] 68 --.-K/s in 0s

2015-11-03 20:36:41 (8,42 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~$ clamscan -r -i /home
/home/naam/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4078888
Engine version: 0.98.7
Scanned directories: 93
Scanned files: 179
eicar.com 100%[===================>]      68 --.-KB/s in 0s

2016-03-19 10:25:06 (9,73 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~/Downloads$ clamscan -r -i /home
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 83
Scanned files: 108
Regel 139: Regel 163:
Data scanned: 1.78 MB
Data read: 1.72 MB (ratio 1.03:1)
Time: 7.781 sec (0 m 7 s)
}}}
Data scanned: 1.20 MB
Data read: 1.13 MB (ratio 1.06:1)
Time: 14.562 sec (0 m 14 s)}}}
Regel 147: Regel 170:
sudo apt-get install clamav-testfiles sudo apt install clamav-testfiles
Regel 153: Regel 176:
Het resultaat is dat alle (44) bestanden als infected worden aangemerkt:
{{{
----------- SCAN SUMMARY -----------
Known viruses: 4234846
Engine version: 0.98.7
Het resultaat is dat alle (46) bestanden als "infected" worden aangemerkt:
{{{
----------- SCAN SUMMARY -----------
Known viruses: 4462368
Engine version: 0.99
Regel 159: Regel 182:
Scanned files: 44
Infected files: 44
Data scanned: 13.19 MB
Data read: 6.21 MB (ratio 2.12:1)
Time: 9.859 sec (0 m 9 s)
Scanned files: 46
Infected files: 41
Data scanned: 13.77 MB
Data read: 6.21 MB (ratio 2.22:1)
Time: 20.606 sec (0 m 20 s)
Regel 167: Regel 190:
ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste programma's. Dit is niet per definite malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA ook werkelijk malware is.
ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste toepassingen. Dit is niet per definitie malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA werkelijk malware is.
Regel 176: Regel 199:
naam@Ubuntu-lts:~$ clamscan -r -i --detect-pua --block-encrypted=yes Downloads/ naam@Ubuntu:~$ clamscan -i --detect-pua --block-encrypted=yes Downloads/
Downloads/ib2013_win_setup.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
Downloads/coupon1.pdf: PUA.Pdf.Trojan.EmbeddedJavaScript-1 FOUND
Regel 178: Regel 203:
Downloads/ib2013_win_setup.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
Downloads/coupon1.pdf: PUA.Script.PDF.EmbeddedJavaScript FOUND
Downloads/FileZilla_3.exe: PUA.Spyware.XPCSpyPro FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4097940
Engine version: 0.98.7

----------- SCAN SUMMARY -----------
Known viruses: 4467757
Engine version: 0.99
Regel 186: Regel 208:
Scanned files: 5
Infected files: 5
Data scanned: 0.46 MB
Data read: 7.54 MB (ratio 0.06:1)
Time: 7.870 sec (0 m 7 s)
}}}
 * ''ticket_140223_14781_1.pdf'' is een e-ticket voor een theaterbezoek. Het pdf bestand is beveiligd (Encrypted) zodat het minder makkelijk te bewerken is maar bevat (zeer waarschijnlijk) ''geen malware''.
Scanned files: 3
Infected files: 3
Data scanned: 0.21 MB
Data read: 3.00 MB (ratio 0.07:1)
Time: 17.390 sec (0 m 17 s)
}}}
Regel 195: Regel 216:
 * ''!FileZilla_3.exe'' is een Windows installatieprogramma voor !FileZilla, gedownload bij Sourceforge. Sourceforge voorziet !FileZilla van extra programma's wat ClamAV mogelijk als ongewenst aanmerkt.

Zelfs het installeren van Wine (''sudo apt-get install wine'' uit de 14.04 LTS pakketbron) kan een aantal PUA meldingen geven:
 * ''ticket_140223_14781_1.pdf'' is een e-ticket voor een theaterbezoek. Het pdf bestand is beveiligd (Encrypted) zodat het minder makkelijk te bewerken is maar bevat (zeer waarschijnlijk) ''geen malware''.


Zelfs het installeren van [[community/Wine|Wine]] (''sudo apt install wine'' uit de 16.04 pakketbron) kan (onterechte) PUA meldingen geven:
Regel 201: Regel 223:
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4097940
Engine version: 0.98.7
Scanned directories: 18373
Scanned files: 101755
Infected files: 7
Total errors: 2
Data scanned: 3104.30 MB
Data read: 3054.00 MB (ratio 1.02:1)
Time: 497.608 sec (8 m 17 s)
}}}
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110-1 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86_64.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467733
Engine version: 0.99
Scanned directories: 19805
Scanned files: 103675
Infected files: 9
Total errors: 1
Data scanned: 3296.47 MB
Data read: 3409.82 MB (ratio 0.97:1)
Time: 1115.542 sec (18 m 35 s)}}}
Regel 224: Regel 248:
== Nederlanstalig == == Nederlandstalig ==
Regel 231: Regel 255:
 * http://manpages.ubuntu.com/manpages/trusty/man1/clamscan.1.html  * http://manpages.ubuntu.com/manpages/bionic/man1/clamscan.1.html

ClamAV

  • clamavicon.png

  • ClamAV is een opensource en cross-platform anti-virusengine.
  • ClamAV scant bestanden op verzoek ("on demand").
  • ClamAV kan malware detecteren en verdachte bestanden in een quarantaine map plaatsen.
  • ClamAV kan malware van verschillende platformen detecteren maar is vooral bruikbaar tegen Windows malware.

ClamAV is geen standaard onderdeel van Ubuntu. Dit artikel stelt niet dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV moet gebruiken maar geeft objectieve informatie over gebruik van ClamAV. Het is een eigen beslissing van een gebruiker ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware.

ClamAV installeren

ClamTK, een grafische schil voor ClamAV, is aanwezig in Ubuntu software:

clamtksoftware.png

Of installeren ClamAV in een Terminalvenster:

sudo apt install clamav

ClamTK

Wijzig eventueel de instellingen van ClamTK (14.04: Geavanceerd → Voorkeuren)

  • clamtk_instellingen.png

Voer een scan uit door een bestand of een map te scanner. Na de scan worden de resultaten getoond:

  • scanresultaten.png

  • Warning /!\ Pas op met het verwijderen van bestanden!

  • Controleer of het werkelijk malware betreft!
  • In bovenstaand voorbeeld bevat het eerste bestand (Heuristics.Encrypted.PDF) geen malware maar is een beveiligd e-ticket voor een theaterbezoek!

  • Zeker bij potentieel ongewenste toepassingen (PUA) gaat het niet altijd om malware.

  • Bestanden in quarantaine komen in de map ~/.clamtk/viruses

  • Info (!) Upload een verdacht bestand eventueel naar www.virustotal.com om door meerdere scanners te laten controleren.

ClamAV virusdatabase

ClamAV zal de virusdefinities regelmatig bijwerken.

  • Direct na installeren zal ClamTK de melding geven dat de virusdefinities zijn verouderd. Dit is op te lossen door de definities handmatig bij te werken of automatisch door een herstart van de computer.
  • virusdefinities_verouderd.png

Handmatig bijwerken van de virusdefinities kan in een Terminalvenster:

sudo freshclam

Optioneel kunnen extra definities kunnen van derde partijen worden gedownload door pakket clamav-unofficial-sigs te installeren:

sudo apt install clamav-unofficial-sigs

clamscan

Gebruik voor het uitvoeren van een scan ClamTK of de terminalopdracht clamscan

Voorbeelden:

  • Om alle bestanden in de persoonlijke map te scannen:
  • clamscan -r /home

  • Om alle bestanden te scannen maar alleen verdachte bestanden te tonen en dan een waarschuwingsgeluidje te geven:
  • clamscan -r --bell -i /

Na het scannen van de bestanden sluit clamscan af met een samenvatting:

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 122
Scanned files: 443
Infected files: 0
Data scanned: 40.79 MB
Data read: 25.25 MB (ratio 1.62:1)
Time: 19.345 sec (0 m 19 s)
  • Warning /!\ ClamAV kan alleen bestanden scannen die de gebruiker mag lezen. Gebruik eventueel sudo clamscan om alle bestanden te kunnen scannen.

ClamAV server

Op een server kan ClamAV als achtergrondproces (deamon) worden geïnstalleerd:

sudo apt install clamav-daemon

Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd geladen is. Gebruik hiervoor de opdracht clamdscan in plaats van clamscan

Voorbeeld om een bepaald bestanden te scannen met clamdscan:

naam@Ubuntu:~$ clamdscan /home/naam/Downloads/eicar.com
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.066 sec (0 m 0 s)

Dit kan bij uitstek worden gebruikt voor een mailserver (sendmail) of opslag-oplossing (bijvoorbeeld ProFTPd, ownCloud) of Thunderbird

Om werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.

Thunderbird

Bijvoorbeeld: Om clamav server automatisch te gebruiken in het Thunderbird e-mail programma is er een plugin clamdrib LIN

Om deze plugin te laten werken:

  • Voeg de volgende 2 regels toe aan bestand /etc/clamav/clamd.conf

[code] TCPSocket 3310 TCPAddr 127.0.0.1 [/code]

  • Pas bestand /etc/systemd/system/clamav-daemon.socket.d/extend.conf aan:

[code] ListenStream=127.0.0.1:3310 [/code]

Installeer de plug-in in Thunderbird.

Herstart clamav-daemon (of de computer)

Ieder e-mail die Thunderbird opent wordt eerst door clamav gescaned en er komt een kleine statusregel boven iedere e-mail of deze “schoon” is.

ClamAV testen

eicar.com

Gebruik bijvoorbeeld het eicar.com testvirus:

naam@Ubuntu:~$ cd Downloads
naam@Ubuntu:~/Downloads$ wget http://www.eicar.org/download/eicar.com
--2016-03-19 10:25:05--  http://www.eicar.org/download/eicar.com
Herleiden van www.eicar.org (www.eicar.org)... 188.40.238.250
Verbinding maken met www.eicar.org (www.eicar.org)|188.40.238.250|:80... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
Lengte: 68 [application/octet-stream]
Wordt opgeslagen als: ‘eicar.com’

eicar.com           100%[===================>]      68  --.-KB/s    in 0s      

2016-03-19 10:25:06 (9,73 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~/Downloads$ clamscan -r -i /home
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 83
Scanned files: 108
Infected files: 1
Data scanned: 1.20 MB
Data read: 1.13 MB (ratio 1.06:1)
Time: 14.562 sec (0 m 14 s)

clamav-testfiles

Installeer eventueel de ClamAV testfiles

sudo apt install clamav-testfiles

En scan de testfiles:

clamscan /usr/share/clamav-testfiles/

Het resultaat is dat alle (46) bestanden als "infected" worden aangemerkt:

----------- SCAN SUMMARY -----------
Known viruses: 4462368
Engine version: 0.99
Scanned directories: 1
Scanned files: 46
Infected files: 41
Data scanned: 13.77 MB
Data read: 6.21 MB (ratio 2.22:1)
Time: 20.606 sec (0 m 20 s)

PUA

ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste toepassingen. Dit is niet per definitie malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA werkelijk malware is.

Een paar voorbeelden:

naam@Ubuntu:~$ clamscan -i --detect-pua --block-encrypted=yes Downloads/
Downloads/ib2013_win_setup.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
Downloads/coupon1.pdf: PUA.Pdf.Trojan.EmbeddedJavaScript-1 FOUND
Downloads/ticket_140223_14781_1.pdf: Heuristics.Encrypted.PDF FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467757
Engine version: 0.99
Scanned directories: 1
Scanned files: 3
Infected files: 3
Data scanned: 0.21 MB
Data read: 3.00 MB (ratio 0.07:1)
Time: 17.390 sec (0 m 17 s)
  • ib2013_win_setup.exe is een Windows programma met een ingebouwd compressieprogramma (Win32.Packer) en komt van de website van de (Nederlandse) belastingdienst dus is (zeer waarschijnlijk) geen malware.

  • coupon1.pdf is een pdf-invulformulier voor een bestelling bij een bekende winkel en bevat (zeer waarschijnlijk) geen malware.

  • ticket_140223_14781_1.pdf is een e-ticket voor een theaterbezoek. Het pdf bestand is beveiligd (Encrypted) zodat het minder makkelijk te bewerken is maar bevat (zeer waarschijnlijk) geen malware.

Zelfs het installeren van Wine (sudo apt install wine uit de 16.04 pakketbron) kan (onterechte) PUA meldingen geven:

naam@Ubuntu:~$ clamscan -r -i --detect-pua /usr
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110-1 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86_64.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467733
Engine version: 0.99
Scanned directories: 19805
Scanned files: 103675
Infected files: 9
Total errors: 1
Data scanned: 3296.47 MB
Data read: 3409.82 MB (ratio 0.97:1)
Time: 1115.542 sec (18 m 35 s)

Warning /!\ Een PUA scan uitvoeren op een (dualboot) windows partitie kan (lees:zal) tientallen (of honderden) meldingen van PUA's geven!!!

Meer informatie

Nederlandstalig

Engelstalig


CC-BY-SA

CategoryVeiligheid

community/ClamAV (laatst bewerkt op 2018-05-15 19:27:24 door testcees)