Антивирус ClamAV

Антивирус ClamAV

Сегодня никого не нужно убеждать в необходимости использования антивируса для защиты компьютера. Антивирусные решения, предлагаемые для Linux, в основном ориентированы на серверы. Имея свою операционную систему, мир OpenSource не мог оставить незамеченной отсутствие такого необходимого продукта, как антивирус, который можно было бы включать в состав дистрибутивов, использовать на серверах и рабочих станциях и развивать в нужном направлении.

Проект, который занимается разработкой свободного антивируса, распространяющегося под лицензией GPL, называется Clam AntiVirus, или ClamAV (http://www.clamav.net/). Первоначальной целью разработчиков этого продукта была интеграция с почтовыми серверами для проверки вложений на предмет вирусов, но на сегодня он широко применяется и в настольных системах. Антивирус работает на многих операционных системах: Linux, Solaris, FreeBSD, OpenBSD, NetBSD, AIX, Mac OS X, BeOS, HPUX, SCO UNIX, есть порты под Windows, работает и на нескольких архитектурах Intel, Alpha, Sparc, Cobalt MIPS boxes, PowerPC, RISC 6000, что уже вызывает уважение. POSIX-интерфейс и общедоступные библиотеки позволяют быстро адаптировать его к другим приложениям. Работает с архивами и сжатыми файлами, в настоящее время встроена поддержка RAR, Zip, Gzip, Bzip2 и некоторых других.

На сегодня в базу данных антивируса ClamAV занесено 170 036 сигнатур вирусов, червей и троянов. Конечно, по сравнению с другими подобными продуктами это немного, но количество записей в антивирусной базе можно считать по-разному.

Это открытый продукт, поэтому в его развитие может сделать вклад любой пользователь: например, если вам удалось обнаружить вирус, на который ClamAV не реагирует, то, заполнив форму по адресу http://www.clamav.net/sendvirus.html или отправив архив zip с паролем virus по адресу virus@clamav.net, можно помочь в добавлении его в базу данных.

В репозитариях пакетов ClamAV есть, поэтому с установкой проблем возникнуть не должно. Антивирус состоит из нескольких консольных утилит:

• clamscan – утилита командной строки, предназначенная для проверки файлов и каталогов на наличие вирусов;

• clamd – антивирусный демон, прослушивающий подключения к сокетам UNIX или TCP и сканирующий каталоги по требованию;

• clamdscan – простой интерфейс к демону clamd; позволяет также сканировать файлы и каталоги, при этом используются те же параметры, что и в clamscan, поэтому может полностью заменить его;

• clamav-milter (при конфигурировании с параметром –enable-milter) – представляет собой антивирусный интерфейс к sendmail, использует для просмотра почты clamd;

• freshclam – утилита автоматического обновления через Интернет вирусной базы данных, позволяющая поддерживать ее в самом современном состоянии;

• sigtool – генерирует вирусную сигнатуру, используя внешний антивирусный сканер, который способен обнаружить неизвестный ClamAV вирус; может создавать шестнадцатеричный дамп и формировать и распаковывать базу данных CVD (ClamAV Virus Database).

Обеспечена возможность проверки файлов при доступе с применением дополнительного модуля dazuko. Здесь использован традиционный подход, применяемый в UNIX при написании приложений. Так, ClamAV используется для простой проверки файлов при сканировании, если же необходимо, чтобы антивирус постоянно находился в оперативной памяти в качестве монитора и проверял файлы при каждой попытке обращения, применяется дополнительный модуль Dazuko (http://dazuko.org/).

Проверить текущий каталог на наличие вирусов можно, набрав clamscan без каких-либо параметров. В результате вы получите список проверенных файлов и отчет. Список просканированых файлов позволяет проверить работу утилиты с различными типами файлов на начальном этапе, но в большинстве случаев лучше добавить параметр -i для вывода только зараженных файлов. Указать файлы, находящиеся в другом каталоге, можно, перечислив их в строке запуска или, если проверяется каталог, указав путь к нему (не забудьте параметр -r для рекурсивного обхода (для проверки работы антивируса с пакетом поставляется несколько тестовых файлов)).

$ clamscan -r -i /mnt/hda5

Утилита автоматического обновления антивирусных баз может запускаться в двух режимах: интерактивном (из командной строки) и как демон. Утилита использует базу http://database.clamav.net/ для автоматического выбора зеркала. В комплекте имеется также список таких баз, занесенный в файл mirror.txt, утилита пробует по порядку соединиться с первым и, в случае неудачи, следует далее по списку. Можно подобрать оптимальный вариант и поставить его первым. Для начала следует запустить утилиту без параметров; если все нормально, то далее следует создать лог-файлы, необходимые для работы.

Данный текст является ознакомительным фрагментом.