Ubuntu 18.04, clamav 0.100.2, clamtk 5.25.
1. Демон freshclam
После установки clamav зачем-то появляется демон freshclam. Как его выключить? Я и сам в состоянии набрать freshclam перед сканированием (которое будет раз в полгода), зачем электричество жечь понапрасну? В /etc/clamav/freshclam.conf параметра «не запускать» не нашёл.
2. Глючный clamtk
Только у меня clamtk не работает или так и задумано?
Сначала он долго и упорно ищет, затем (только полностью завершив сканирование, очень удобно) выдаёт список «найденного» с кнопками Quarantine, Delete и Analysis. И далее надо по одному (т.к. выделение нескольких строк не работает) тыкать, что делать с файлами. Если вирусом А заражено 500 библиотек — надо будет 500 раз нажать Delete и 500 раз выделить следующий файл.
Но это мелочи. Веселее то, что эти кнопки не работают. Т.е. я прокликал кучу файлов (кого «удалить», кого «в карантин»), clamtk нарисовала, что они «удалены», а файлы где были, там и остались.
3. Описания PUA
Где-то существуют описания всех этих «PUA.Win.Shmin.Ololo»? Непонятно же: то ли действительно что-то найдено, то паранойя разыгралась. У них в списке PUA (potentially unwanted applications) и IRC есть.
Я бы вырубил вообще эти PUA, но там встречаются PUA.Win.Malware.* и PUA.Win.Trojan.*, а это уже звучит угрожающе.
Вот найдена куча PUA.Win.Downloader.Soft32downloader-6691270-0. Поиск такой строки в гугле не даёт ничего, поиск PUA.Win.Downloader.Soft32downloader тоже. Увидел только это:
PUA:Win32/Downloader
This application was stopped from running on your network because it has a poor reputation. This application can also affect the quality of your computing experience.
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description...
Ну теперь-то всё понятно, «application has a poor reputation». Что за «reputation», чего именно это «downloader»? Может, эта программа/библиотека и должна качать из интернета?
Правда, для PUA.Win.Dropper.Ghokswa-6651618-0 написано уже получше:
Win32/Ghokswa
Windows Defender detects and removes this unwanted software.
This threat installs a modified version of Chrome and/or Firefox browsers, replacing any existing copy of these that were already installed on the system.
These modified copies have different search and home page settings that the user may be unable to change, and update components that may download additional unwanted software.
This threat is usually installed by Trojan:Win32/Xadupi.
This threat is part of a suite of malware and unwanted software families that is also called «Fireball». Read about this threat group in the Windows Security blog:
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description...
Как бы я по названию понял, что это надо удалять?
Спасибо майкрософт, благодаря им хоть как-то линуксовым антивирусом clamav пользоваться могу.
4. Список PUA для clamscan
Раз clamtk не работает, запускаю в консоли clamscan. Но тут-то интерактивной обработки результатов не предусмотрено. Решай сразу, что будешь делать со всеми найденными файлами. И что именно надо найти.
Т.е. теперь мне надо составить список интересующих меня категорий PUA, потому что иначе в карантин улетит пол-диска, т.к. PUA включают страшные PUA.Packer, которые clamav находит прям везде. А восстановление из карантина, как я понял, только руками.
man clamscan отправляет на эту страницу: https://www.clamav.net/documents/potentially-unwanted-applications-pua
И там список категорий PUA: Packed, PwTool, NetTool, P2P, IRC, RAT, Tool, Spy, Server, Script.
Рассказывать, в какую категорию входит конкретное PUA, clamscan, конечно, не собирается. Ну да ничего, категорий немного, можно и подобрать. Начинаю перебирать их... и обнаруживаю, что либо --include-pua и --exclude-pua не работают, либо найденные у меня «вредители» не входят ни в одну из этих категорий! Т.к. эти файлы не получается ни включить в список, ни исключить их списка. Шикарно.
И как мне теперь запускать clamscan, если файлы с «PUA.Win.Downloader» я хочу оставить (а исключить их из списка не получается), а с PUA.Win.Trojan удалить (а их, наоборот, нельзя влючить в список)?
5. --infected
Ещё почему-то частично игнорируется опция "--infected", «Only print infected files.» Пишет и про не инфицированные тоже. Но это мелочь на фоне того, что выше.
6. Замена
Может, есть какой-то более адекватный антивирус для проверки дисков с виндоусом из-под линукса?
