The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз свободного антивирусного пакета ClamAV 0.96

05.04.2010 10:21

Представлен релиз свободного антивирусного пакета ClamAV 0.96 в котором представлен новый механизм выявления вредоносного ПО и отмечены значительные улучшения в системе сканирования файлов.

Пользователям старых версий ClamAV необходимо запланировать проведение обновления, так как начиная с 15 апреля будет полностью заблокирована работа всех версий младше 0.95. Подобная блокировка производится с целью оптимизации формата базы сигнатур, а именно для обеспечения поддержки вирусных сигнатур размером превышающим 980 байт, которые принципиально невозможно реализовать без нарушения совместимости со старыми версиями. Отключение старых версий будет инициировано передачей специальной сигнатуры в последнем обновлении CVD базы для версий 0.94.x.

Ключевые улучшения ClamAV 0.96:

  • В библиотеку LibClamAV встроен интерпретатор байткода, который позволяет разработчикам сигнатур создавать и распространять очень сложные механизмы определения наличия вирусов, а также удаленно поставлять расширяющие функциональность сканера модули;
  • Улучшен движок для эвристического анализа исполняемых PE-файлов, добавлена поддержка поддельных пиктограмм и ложной информации в PE-заголовке. ClamAV теперь может определять вредоносное ПО, которое пытается замаскировать себя под видом безобидного приложения, через использование пиктограмм от типичных Windows-программ;
  • Улучшения в поддержке комплексных сигнатур (логических сигнатур), дающие возможность более глубокого сопоставления данных и организации ссылок на группы сигнатур. Дополнительно улучшены механизмы сопоставления по маскам с учетом границы слов и начала новой строки;
  • Поддержка проверки файлов внутри архивов 7zip, InstallShield и CPIO;
  • Поддержка новых форматов исполняемых файлов: 64-bit ELF и OS X Universal Binaries с расширениями Mach-O. Дополнительно сообщается, что PE-модуль теперь поддерживает распаковку и проверку файлов, упакованных при помощи приложения UPX 3.0;
  • В clamd добавлена поддержка DazukoFS, позволяющего организовать антивирусную проверку на лету, путем отслеживания фактов создания или модификации файлов;
  • Проведена работа по увеличению производительности различных подсистем и оптимизация потребления памяти;
  • Поддержка нативной сборки ClamAV для платформы Windows с использованием компилятора Visual Studio, что дает возможность интеграции сторонних приложений с LibClamAV;
  • Введен в строй online-сервис stats.clamav.net для генерации отчетов о типе блокированного на заданной системе контента. Настройка отправки статистики производится через добавление "DetectionStatsHostID XXX" в freshclam.conf.


  1. Главная ссылка к новости (http://lurker.clamav.net/messa...)
Лицензия: CC-BY
Тип: Интересно / Программы
Короткая ссылка: https://opennet.ru/26090-virus
Ключевые слова: virus, clamav
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Viliar (ok), 10:59, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К сожалению, еще больше памяти стал жрать. Похоже, это у них постоянная тенденция :-(
     
  • 1.2, Аноним (-), 11:47, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    К сожалению это не только у них. Видимо надо где-то хранить постоянно увеличивающуюся базу сигнатур.
     
     
  • 2.6, Viliar (ok), 12:48, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с той же базой.
     
     
  • 3.7, tux2002 (ok), 13:24, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с
    >той же базой.

    Там написано <0.95. 0.95 должна работать.

     

  • 1.3, NicK (?), 12:00, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда у них монитор появится, интересно
     
     
  • 2.4, Victor (??), 12:08, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В clamd добавлена поддержка DazukoFS, позволяющего организовать антивирусную проверку на лету, путем отслеживания фактов создания или модификации файлов;

    Файловый монитор по сути.

     
  • 2.5, tux2002 (ok), 12:26, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >когда у них монитор появится, интересно

    Можно использовать clamfs.

     
  • 2.9, AlanMakoev (ok), 14:57, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Дык вроде есть - через dazuko (подробностей не скажу - не щюпал :))
     

  • 1.8, User294 (ok), 14:39, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > полностью заблокирована работа всех версий младше 0.95.

    Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно, а дебианщики уже одели каски и пристегнули ремни? А то там 0.94... :)

    > будет инициировано передачей специальной сигнатуры

    Хм... я все понимаю, антивирус для отлова вирусов, должен быть актуален, блаблабла. Но кто будет проверять проверяющего?!

    > а также удаленно поставлять расширяющие функциональность сканера модули;

    Все круто, кроме того что похоже, враг уже внутри :). С такими свойствами скоро впору будет от самого антивируса защищаться.

     
     
  • 2.11, Greignar (?), 15:24, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно,
    >а дебианщики уже одели каски и пристегнули ремни? А то там
    >0.94... :)

    А это какая версия - 0.95.3+dfsg-1~volatile1

    Для такого рода пакетов в Дебиане есть специальный репозиторий - volatile.debian.org/debian-volatile

     

  • 1.10, AlanMakoev (ok), 15:12, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если честно, в кламе я разочаровался после случая, когда сам отловил файлег на виндовой машинке, который на тот момент не детектил ни установленный nod32 (куплен организацией), ни drwebwcl с clamwinportable (в BartPE).
    В PE-среде оффлайново просмотрел системный реестр заражённой машины и нашел в HKLM\SW\MS\WinNT\CurVer\Win\AppInit_DLLs ссылку на файл.
    Перетащил его в другой каталог, загрузился, а потом отправил в ClamAV - так тот и через две недели его не детектил.


     
     
  • 2.13, NNIIL (?), 15:32, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нет чтобы помочь разработчикам и отправить им файл. Ведь они не боги, и не могут вовремя находить всех вирусов (представьте сколько для этого нужно тратить времени!). И это касается всех антивирусов
     
     
  • 3.26, AlanMakoev (ok), 00:56, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.
     
     
  • 4.28, Аноним (-), 09:18, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.

    А через что вы отправляли им файл? Через http://www.clamav.net/lang/ru/sendvirus/ ? А разработчики Вам ответили? Где ссылка на добавленную сигнатуру? Я отправлял три штуки, все были добавлены достаточно быстро (в течении нескольких дней)

     
  • 2.21, User294 (ok), 22:24, 05/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А знаете, я натыкался на ситуации когда каспер, веб, нортон и кто там еще не детектили файлик. Предлагаю тоже записать их в отстой. Может быть дело в том что сперва появляется вирус а только потом о нем узнают по репортам от юзеров? :)
     
     
  • 3.27, AlanMakoev (ok), 01:07, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я могу судить, они чаще автоматом получают подозрительные файлы, на которые обратил внимание эвристический анализатор. Плюс сведения об успешных эксплойтах от спецов по выявлению уязвимостей, доложенные на разного рода тусовках типа Дефкона. Впрочем, я в этой отрасли не варился, наверняка судить не могу.
    Как бы то ни было, на virusscan.jotti.org вирус, который ещё вчера был новым, на следующий день детектят почти все.
    И, знаете, если антивирь, которым я пользуюсь, что-то не ловит, я не ленюсь поделиться с разработчиками найденным файлом.
     
     
  • 4.29, User294 (ok), 16:48, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ни разу не видел чтобы эвристик поймал что-то кроме забористых глюков Зато виде... большой текст свёрнут, показать
     
  • 3.30, Аноним (-), 22:36, 06/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    юзер, колись где у тебя венда стоит?
     

  • 1.18, Аноним (-), 17:56, 05/04/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть у него санер памяти? что бы по сигнатурам искал в памяти?
     
     
  • 2.31, АП (?), 05:08, 09/04/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Под виндой (у ClamWin) -- есть.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру