Tabela de Conteúdos

Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.

3.6.1 ClamAV

Objectivo

Instalação do pacote anti-vírus ClamAV. Este pode posteriormente ser integrado num sistema de filtragem de emails ou ficheiros.

Instalação

server:~# aptitude install clamav clamav-docs clamav-daemon clamav-freshclam

Para que o ClamAV possa verificar ficheiros compactados, devem ser também instalados alguns pacotes para descompactar ficheiros:

server:~# aptitude install arc arj bzip2 cabextract lzop nomarch p7zip pax tnef unzip zoo

Se tiver acesso aos repositórios “non-free”, é possível instalar mais alguns pacotes:

server:~# aptitude install lha unrar 

Configuração

A actualização da base de dados de assinaturas de vírus é descarregada da Internet pelo daemon clamav-freshclam 24 vezes ao dia. No entanto, essa periodicidade pode ser alterada no ficheiro /etc/clamav/freshclam.conf:

# [...]
# Check for new database 24 times a day
Checks 24

# [...]

Caso se pretenda utilizar um servidor proxy para aceder à Internet, deve-se alterar a configuração também em /etc/clamav/freshclam.conf:

# [...]
# 
HTTPProxyServer proxy.home.lan
HTTPProxyPort 3128

Reiniciar o serviço, para ter em conta as alterações de configuração:

server:~# /etc/init.d/clamav-freshclam restart

Após a instalação, deve ser feita a actualização da base de dados de assinaturas de vírus.

server:~# freshclam
ClamAV update process started at Mon Dec 22 15:24:37 2008
main.cvd is up to date (version: 49, sigs: 437972, f-level: 35, builder: sven)
daily.cvd is up to date (version: 8792, sigs: 40698, f-level: 38, builder: mcichosz)

As futuras actualizações serão feitas automaticamente, várias vezes por dia.

Verificação

O instituto EICAR (European Institute for Computer Antivirus Research) tem uma série de ficheiros para testar software anti-vírus. Um dos ficheiros ([*https://secure.eicar.org/eicar.com.txt eicar.com.txt]) contém apenas uma inofensiva cadeia de caracteres, mas que deve ser reconhecida como um “vírus”:

fribeiro@server:~$ echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com.txt

Testar o funcionamento do ClamAV:

fribeiro@server:~$ clamscan eicar.com.txt
eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 478291
Engine version: 0.94.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 3.294 sec (0 m 3 s)

A primeira parte do resultado indica que foi detectado a assinatura do “vírus” de teste “Eicar”. Na segunda parte, o sumário indica que foi encontrado um ficheiro “infectado”.

Testar também o daemon clamdscan:

fribeiro@server:~$ clamdscan eicar.com.txt
/home/fribeiro/eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.011 sec (0 m 0 s)
Para detecção de vírus, podem ser utilizados os comandos clamscan e clandscan. No entanto, a segunda forma clandscan é muito mais rápida, uma vez que sendo um daemon, está já carregada em memória, ao contrário do comando clamscan, que deve ser lido do disco para a memória cada vez que é invocado. (Ver os tempos de execução de um e de outro nos exemplos acima).

Finalmente, o clamAV também disponibiliza um pacote de testes que pode ser utilizado após instalação:

server:~# aptitude install clamav-testfiles
server:~# clamdscan /usr/share/clamav-testfiles/
/usr/share/clamav-testfiles//clam.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.cab: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.exe.bz2: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles//clam.zip: ClamAV-Test-File FOUND

----------- SCAN SUMMARY -----------
Infected files: 4
Time: 0.007 sec (0 m 0 s)

Referências