LINUX.ORG.RU
ФорумSecurity

ClamAV не определяет вирус.

 


0

2

ClamAV не определяет вирус.
Проверяю с помощью команды: clamscan myfile
В ответ возвращается следующая информация: 

----------- SCAN SUMMARY -----------
Known viruses: 4025183
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.67 MB
Data read: 0.66 MB (ratio 1.01:1)
Time: 23.782 sec (0 m 23 s)
На сервисе https://www.virustotal.com/ файл который я проверяю на вирусы определяется как вирус, в том числе и антивирусом ClamAV.
А мой ClamAV не находит в нём вируса.

Ответ на: комментарий от anonymous

Обновление делаю командой
freshclam
В ответ возвращается: 

ClamAV update process started at Mon Oct 12 16:15:38 2015
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
daily.cld is up to date (version: 20959, sigs: 1606478, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 268, sigs: 47, f-level: 63, builder: anvilleg)
Вирус с этими базами не находится.

twinconst
() автор топика

У кламава ныне вообще несколько худо с актуальностью баз, увы... Лучше смотреть в другую сторону.

зы В качестве затычки - для клама можно сделать свою базу сигнатур. Ручками выдергиваешь файл с заразой из письма и sigtool"ом, идущим с кламавом делаешь сигнатуру. Я сигнатурную базу на одной машинке пополняю таким вот скриптом:

=add.pl========= #!/usr/bin/perl @ARGV;

$a=`cat @ARGV[0] | /var/clamav/bin/sigtool --hex-dump | head -c 2048`; $a=«CustomAddedVirusSig.Win32.Emold1.A:0:*:$a»; `echo $a >>/var/clamav/base/customsig.ndb`; ==============

hungry_ewok
()
Ответ на: комментарий от hungry_ewok

Если у Clamav проблемы с базами, то вопрос, как он с этими «проблемными» базами определяет вирус на сервисе: https://www.virustotal.com/
То что базы можно генерировать самому - это конечно хорошо. Но этот вариант не подходит.
Интересует вопрос почему на сервисе https://www.virustotal.com/ файл который я проверяю на вирусы определяется как вирус, в том числе и антивирусом ClamAV.А мой ClamAV не находит в нём вируса.

twinconst
() автор топика
Ответ на: комментарий от hungry_ewok

Подтверждаю. Пара свежих вирусов от вечера 07 и утра 08 октября не отлавливалась с базами с 7 по 11 октября. За сб, вс 10,11 октября свежих баз кламава не было вообще. Только в понедельник 12го они соизволили добавить сигнатуру в свои базы...

Кто-то может подсказать альтернативный консольный антивирусный сканер который заводится на gentoo и имеет более-менее регулярно обновляемые базы?

Уже протестировал kaspersky fs linux 8.0.2.256 (есть лицензия на версию под офтопик, как выяснилось подошла и к онтопику) - не устраивает невозможность задать для сканирования набор файлов списком из пары тысяч штук и более (давится конфигом для ODS), низкой скоростью сканирования при многопоточном запуске и натравливании на файлы по одному и тем что для установки на gentoo требуется долго плясать с бубном.

NightOperator ★★★
()
Ответ на: комментарий от twinconst

/пожав плечами/ Не заглянувши в потроха - нельзя быть уверенным в том что и с какими базами крутится на том сервисе, так что не показатель это.

hungry_ewok
()
Ответ на: комментарий от twinconst

Я к тому что нельзя быть уверенным что на том сервисе действительно проверяется кламом, и что проверяется именно с его родными базами.

Я на грабли с неопределяемым кламом вирусами тоже наступал. И базы при этом обновлял, и настройки крутил - но особого толку от того не было. Так что либо вести свою базу, либо смотреть в сторону того же дрвеба.

hungry_ewok
()
7 декабря 2015 г.
Ответ на: комментарий от twinconst

А как отсечь например все файлы просто по имени/расширению, особенно когда расширения двойные и пробелами вот типа так: имя.xlxs_[пробел][пробел].js

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security