Instalação do pacote anti-vírus ClamAV. Este pode posteriormente ser integrado num sistema de filtragem de emails ou ficheiros.

server:~# apt-get install clamav clamav-docs clamav-daemon clamav-freshclam

Para que o ClamAV possa verificar ficheiros compactados, devem ser também instalados alguns pacotes para descompactar ficheiros:

server:~# apt-get install arc arj bzip2 cabextract lzop nomarch pax unzip unzoo zoo

Se tiver acesso aos repositórios “non-free”, é possível instalar mais alguns pacotes:

server:~# apt-get install lha unrar 

A actualização da base de dados de assinaturas de vírus é descarregada da Internet pelo daemon clamav-freshclam. Caso se pretenda utilizar um servidor proxy para aceder à Internet, deve-se alterar a configuração em /etc/clamav/freshclam.conf:

# [...]
HTTPProxyServer proxy.home.lan
HTTPProxyPort 3128

Reiniciar o serviço, para ter em conta as alterações de configuração:

server:~# /etc/init.d/clamav-freshclam restart

Após a instalação, deve ser feita a actualização da base de dados de assinaturas de vírus.

server:~# freshclam
ClamAV update process started at Wed May  2 19:11:25 2007
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.90.1 Recommended version: 0.90.2
DON'T PANIC! Read http://www.clamav.net/support/faq
main.inc is up to date (version: 43, sigs: 104500, f-level: 14, builder: sven)
daily.cvd is up to date (version: 3199, sigs: 9461, f-level: 15, builder: ccordes)

As futuras actualizações serão feitas automaticamente, várias vezes por dia.

O instituto EICAR (European Institute for Computer Antivirus Research) tem uma série de ficheiros para testar software anti-vírus. Um dos ficheiros ([*https://secure.eicar.org/eicar.com.txt eicar.com.txt]) contém apenas uma inofensiva cadeia de caracteres, mas que deve ser reconhecida como um “vírus”:

fribeiro@server:~$ echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com.txt

Testar o funcionamento do ClamAV:

fribeiro@server:~$ clamscan eicar.com.txt
LibClamAV Warning: **************************************************
LibClamAV Warning: ***  The virus database is older than 7 days.  ***
LibClamAV Warning: ***        Please update it IMMEDIATELY!       ***
LibClamAV Warning: **************************************************
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 113933
Engine version: 0.90.1
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Time: 2.663 sec (0 m 2 s)

A primeira parte do resultado indica que não está instalada a versão mais recente do ClamAV. Isto não é um problema, é a filosofia da distribuição debian, que prefere versões mais antigas, mas bem testadas. Na segunda parte, o sumário indica que foi encontrado um ficheiro “infectado”.

Testar também o daemon clamdscan:

fribeiro@server:~$ clamdscan eicar.com.txt
/home/fribeiro/eicar.com.txt: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.011 sec (0 m 0 s)

• ClamAV (*http://www.clamav.net/)
• EICAR (*http://www.eicar.org/)