• Vastliggende pagina
  • Info
  • Bijlages

Versie 1 sinds 2015-11-11 16:23:15

Bericht wissen

ClamAV

  • clamavicon.png

  • ClamAV is een opensource en cross-platform anti-virusengine.
  • ClamAV scant alleen bestanden op verzoek ("on demand").
  • ClamAV kan malware detecteren en verdachte bestanden in een quarantaine map plaatsen.
  • ClamAV kan malware van verschillende platformen detecteren maar is vooral bruikbaar tegen Windows malware.

ClamAV is geen standaard onderdeel van Ubuntu. Dit artikel stelt niet dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV moet gebruiken maar geeft objectieve informatie over gebruik van ClamAV. Het is een eigen beslissing van gebruikers ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware.

ClamAV installeren

ClamAV is aanwezig in het Ubuntu softwarecentrum:

  • clamavsoftwarecentrum.png

Of installeren met een terminalopdracht:

sudo apt-get install clamav

ClamTK

ClamTK is een grafische interface om ClamAV eenvoudig te gebruiken op een desktop of laptop.

ClamTK kan worden geïnstalleerd via het Ubuntu softwarecentrum of met een terminalopdracht:

sudo apt-get install clamtk

Wijzig eventueel de voorkeuren van ClamTK (Geavanceerd → Voorkeuren)

  • clamtk_voorkeuren.png

  • clamtk_in_actie.png

  • scanresultaten.png

  • Warning /!\ Pas op met het verwijderen van bestanden! Controleer of het werkelijk malware betreft! Zeker bij potentieel ongewenste programma's (PUA) gaat het niet altijd om malware.

  • Bestanden in quarantaine komen in de map ~/.clamtk/viruses

  • Info (!) Upload een verdacht programmabestand eventueel naar www.virustotal.com om door meerdere scanners te laten controleren.

ClamAV virusdatabase

ClamAV zal de virusdatabase regelmatig bijwerken met nieuwe definities. Het bijwerken van de virusdatabase kan handmatig met een terminalopdracht:

sudo freshclam

Extra definities kunnen van derde partijen worden gedownload door pakket clamav-unofficial-sigs te installeren:

sudo apt-get install clamav-unofficial-sigs

ClamAV scannen

Gebruik hiervoor ClamTK of de terminalopdracht clamscan

Voorbeelden:

  • Om alle bestanden in de persoonlijke map te scannen:
  • clamscan -r /home

  • Om alle bestanden te scannen maar alleen verdachte bestanden te tonen en dan een waarschuwingsgeluidje te geven:
  • clamscan -r --bell -i /

Na het scannen van de bestanden sluit ClamAV af met een samenvatting:

----------- SCAN SUMMARY -----------
Known viruses: 4078888
Engine version: 0.98.7
Scanned directories: 25634
Scanned files: 117859
Infected files: 0
Total errors: 13326
Data scanned: 3649.58 MB
Data read: 4807.32 MB (ratio 0.76:1)
Time: 884.571 sec (14 m 44 s)
  • Warning /!\ ClamAV kan alleen bestanden lezen die de gebruiker die clamscan uitvoert ook mag lezen. Gebruik eventueel sudo om alle bestanden te scannen.

ClamAV server

Op een server kan ClamAV als achtergrondproces (deamon) worden geïnstalleerd:

sudo apt-get install clamav-daemon

Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd is geladen. Gebruik hiervoor de opdracht clamdscan in plaats van clamscan

Bijvoorbeeld om een bepaald bestanden te scannen:

naam@Ubuntu:~$ clamdscan /home/naam/eicar.com 
/home/naam/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.000 sec (0 m 0 s)

Dit kan bij uitstek worden gebruikt voor een mailserver (sendmail) of opslag-oplossing (bijvoorbeeld ProFTPd of ownCloud).

Om de werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.

ClamAV testen

eicar.com

Gebruik bijvoorbeeld het eicar.com testvirus:

naam@Ubuntu:~$ wget http://www.eicar.org/download/eicar.com
--2015-11-03 20:36:41--  http://www.eicar.org/download/eicar.com
Herleiden van www.eicar.org (www.eicar.org)... 188.40.238.250
Verbinding maken met www.eicar.org (www.eicar.org)|188.40.238.250|:80... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
Lengte: 68 [application/octet-stream]
Wordt opgeslagen als: ‘eicar.com’

100%[======================================>] 68          --.-K/s   in 0s

2015-11-03 20:36:41 (8,42 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~$ clamscan -r -i /home
/home/naam/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4078888
Engine version: 0.98.7
Scanned directories: 93
Scanned files: 179
Infected files: 1
Data scanned: 1.78 MB
Data read: 1.72 MB (ratio 1.03:1)
Time: 7.781 sec (0 m 7 s)

clamav-testfiles

Installeer eventueel de ClamAV testfiles

sudo apt-get install clamav-testfiles

En scan de testfiles:

clamscan /usr/share/clamav-testfiles/

Het resultaat is dat alle (44) bestanden als infected worden aangemerkt:

----------- SCAN SUMMARY -----------
Known viruses: 4234846
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 44
Infected files: 44
Data scanned: 13.19 MB
Data read: 6.21 MB (ratio 2.12:1)
Time: 9.859 sec (0 m 9 s)

PUA

ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste programma's. Dit is niet per definite malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA ook werkelijk malware is.

Een paar voorbeelden:

naam@Ubuntu-lts:~$ clamscan -r -i --detect-pua --block-encrypted=yes Downloads/
Downloads/ticket_140223_14781_1.pdf: Heuristics.Encrypted.PDF FOUND
Downloads/ib2013_win_setup.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
Downloads/coupon1.pdf: PUA.Script.PDF.EmbeddedJavaScript FOUND
Downloads/FileZilla_3.exe: PUA.Spyware.XPCSpyPro FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4097940
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 5
Infected files: 5
Data scanned: 0.46 MB
Data read: 7.54 MB (ratio 0.06:1)
Time: 7.870 sec (0 m 7 s)
  • ticket_140223_14781_1.pdf is een e-ticket voor een theaterbezoek. Het pdf bestand is beveiligd (Encrypted) zodat het minder makkelijk te bewerken is maar bevat (zeer waarschijnlijk) geen malware.

  • ib2013_win_setup.exe is een Windows programma met een ingebouwd compressieprogramma (Win32.Packer) en komt van de website van de (Nederlandse) belastingdienst dus is (zeer waarschijnlijk) geen malware.

  • coupon1.pdf is een pdf-invulformulier voor een bestelling bij een bekende winkel en bevat (zeer waarschijnlijk) geen malware.

  • FileZilla_3.exe is een Windows installatieprogramma voor FileZilla, gedownload bij Sourceforge. Sourceforge voorziet FileZilla van extra programma's wat ClamAV mogelijk als ongewenst aanmerkt.

Zelfs het installeren van Wine (sudo apt-get install wine uit de 14.04 LTS pakketbron) kan een aantal PUA meldingen geven:

naam@Ubuntu:~$ clamscan -r -i --detect-pua /usr
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win32.Packer.PrivateExeProte-7 FOUND
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4097940
Engine version: 0.98.7
Scanned directories: 18373
Scanned files: 101755
Infected files: 7
Total errors: 2
Data scanned: 3104.30 MB
Data read: 3054.00 MB (ratio 1.02:1)
Time: 497.608 sec (8 m 17 s)

Warning /!\ Een PUA scan uitvoeren op een (dualboot) windows partitie kan (lees:zal) tientallen (of honderden) meldingen van PUA's geven!!!

Meer informatie

Nederlanstalig

Engelstalig


CC-BY-SA

CategoryVeiligheid