The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск свободного антивирусного пакета ClamAV 0.99

02.12.2015 12:04

Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.99, в котором представлено несколько существенных новшеств. В частности, переработан код сканирования файлов на лету, добавлена поддержка правил блокировки YARA и совместимых с perl регулярных выражений.

Ключевые улучшения ClamAV 0.99:

  • Возможность использования коллекции правил YARA, предоставляющей сигнатуры для выявления различных категорий вредоносного ПО. Правила YARA сочетают строковые маски с логическими выражениями, описывающими условия применения масок. Для подключения правил, созданных сообществом YARA, достаточно скопировать их в штатную директорию с вирусными базами ClamAV. Из достоинств применения ClamAV вместе с YARA отмечается возможность задействования средств декомпозиции, т.е. автоматического сопоставления, независимо от применения сжатия данных и типа файлов (документы, архивы и т.п.);
  • Расширение возможностей по составлению логических сигнатур, которые теперь могут включать многие средства, присутствующие в сигнатурах YARA. Например, можно использовать регулярные выражения PCRE (Perl Compatible Regular Expressions), задавать альтернативные строковые маски и применять атрибуты YARA;
  • Новая реализация системы прозрачной проверки открываемых файлов (on-access scanning) для платформы Linux. Новая реализация основана на использовании механизма fanotify и позволяет организовать проверку не только в момент начала чтения данных из файла, но и при открытии файла. Из новшеств отмечается также возможность рекурсивного и динамического отслеживания директорий (автоматически добавляются новые директории) и поддержка блокирования доступа к файлу при обнаружении в нём вируса.
  • Добавлен API для организации callback-вызовов в случае обнаружения вирусов, позволяющий в приложениях, работающих в режиме all-match, подключать собственные обработчики для формирования отчёта или записи в лог;
  • Поддержка подключения базы типовых паролей, которые будут использованы для попытки раскрытия зашифрованных zip-файлов;
  • Поддержка файлов в формате TIFF;
  • Поддержка файлов Adobe Flash, сжатых с использованием LZMA;
  • Поддержка документов Microsoft Office 2003 XML с вложениями MSO;
  • Новый вид сигнатур для применения с файлами неизвестного типа;
  • Улучшен эвристический алгоритм предотвращения потери данных;
  • В утилиту sigtool добавлена опция "--ascii-normalize", позволяющая генерировать нормализованные версии ASCII-файлов;
  • Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".


  1. Главная ссылка к новости (http://blog.clamav.net/2015/12...)
  2. OpenNews: Выпуск свободного антивирусного пакета ClamAV 0.98.7
  3. OpenNews: Выпуск свободного антивирусного пакета ClamAV 0.98.6
  4. OpenNews: Увидел свет свободный антивирусный пакет ClamAV 0.98
  5. OpenNews: Основатели ClamAV представили LibreS3, открытую реализацию хранилища Amazon S3
  6. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/43432-clamav
Ключевые слова: clamav, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.7, eRIC (ok), 13:11, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Да неужели, а то я начал думать что после того как Cisco купила ClamAV забросила его разработку и все постепенно затормозилось...
     
  • 1.10, Аноним (-), 13:29, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Изменён путь установки на платформе Windows, вместо "/Program Files/Sourcefire/ClamAV" ClamAV теперь устанавливается в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64".
    >в директорию "/Program Files/ClamAV" или /Program Files/ClamAV-x64"

    Вообще-то 32-битный софт на Windows ставится в специально для него предназначенный каталог "C:\Program Files (x86)", а 64-битный софт ставится в каталог "C:\Program Files".

     
     
  • 2.13, Аноним (-), 13:54, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Имеется в виду установка на x86 и x86_64 системы. В 32-разрядной Винде будет каталог "/Program Files/ClamAV", а в 64-разрядной "/Program Files/ClamAV-x64" (в это случае "C:\Program Files (x86)" не будет содержать каталог с ClamAV).
     
     
  • 3.14, клоун (?), 14:06, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Он имеет в виду, что в ОС Windows есть функция получения каталога установки ПО. А ClamAV переизобретает велосипед и нарушает правила разработки ПО для Windows.
     
     
  • 4.45, НяшМяш (?), 18:24, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Windows уже давно нарушила все возможные правила разработки ПО. Так что пофиг.
     
  • 4.48, тоже Аноним (ok), 20:06, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И чем же это, интересно, нарушает?
    Программа ставится в папку для программ, определенную той самой функцией. По всем правилам.
    То, что сама программа называется по-разному - так тут никаких правил и нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.
     
     
  • 5.60, Аноним (-), 10:47, 04/12/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И чем же это, интересно, нарушает?
    > Программа ставится в папку для программ, определенную той самой функцией. По всем
    > правилам.
    > То, что сама программа называется по-разному - так тут никаких правил и
    > нет: хочешь позиционировать 64-битную версию как отдельный продукт - твое дело.

    Ставится - то он ставится. Но служба, например, не регистрируется. И, тем более, не запускается. Так что это недоделок.

     

  • 1.32, Комедиант (?), 16:26, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Отличный антивирус, всем любителям опенсорса рекомендую.
     
     
  • 2.35, Комедиант (?), 16:40, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такой же отличный продукт...
     
     
  • 3.50, Анончег (?), 23:37, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почём Циська платит за пост прославляющий ХламAV?
     
     
  • 4.51, Анончег (?), 23:38, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почём Циська платит за пост прославляющий ХламAV?

    Не для себя, друг интересуется.

     
  • 2.52, botman (ok), 23:38, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да, прогнал я тут ClamAV по всему хомяку. В основном проблемы были около Wine и защиты(упаковки) проприетарного софта в Linux. Незначительно есть эксплойтов, заразы и сбора данных у старого содержимого кэша браузеров беток Chrome, Opera и на текущей бете яндекс-браузнра есть такая фигня. На давно удалённый из Firefox но оставшемся на диске AdBlockPlus выругалось за сбор данных(на uBlock Origin нигде не ругается). Всё что можно подчистил, но вообще ничего серьёзного не нашло.

    Отсюда сделал для себя выводы что обычно вирусы в Linux лезут через проприетарные бетки браузеров, устанощики для Windows и всевозможные носители типа облаков и флешек.

     
     
  • 3.57, Аноним (-), 17:14, 03/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Лезут оттуда же откуда и в винде: через браузер и стремный софт.
     

  • 1.37, Аноним (-), 16:49, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Народу бы им побольше, сандбокс разгребать. Регулярно засылаю туда выловленное в почте, но процент добавленых-в-базу к отосланным пока не радует.
     
  • 1.40, Аноним (-), 17:24, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как он для использование в связке с почтой?
     
     
  • 2.42, Аноним (-), 17:30, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Как он для использование в связке с почтой?

    В связке, без вязки - тишь да гладь, ничего никогда не находит.


     
     
  • 3.43, Иванов Иван (?), 18:05, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ничего никогда не находит.

    У меня нашёл много всего при первом сканировании.
    После этого уже больше месяца тихо


     
     
  • 4.44, Аноним (-), 18:09, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > У меня нашёл много всего при первом сканировании.
    > После этого уже больше месяца тихо

    Проверь штатным виндовым антивирусом - найдёт ещё столько же. А Доктор Веб тебя тогда вообще завалит. Если даже Клямавь чего-то у тебя находит, значит ты рассадник ботнета в четвёртом поколении уже :)

     

  • 1.46, Аноним (-), 19:54, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил баз... большой текст свёрнут, показать
     
     
  • 2.49, Михрютка (ok), 21:45, 02/12/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил
    > базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или
    > как там его и 127.0.0.1 localhost то бишь, ибо чето с
    > # Path to a local socket file the daemon will listen on.
    > # Default: disabled (must be specified by a user)
    > #LocalSocket /tmp/clamd.socket
    > раскоментированным не работает. пишет что нигде не слушает и выходит.

    вот здесь следует указать

    LocalSocket %TEMP%\clamd.socket

    если не работает предварительно выполните команду

    echo off > %TEMP%\clamd.socket

    и проверьте наличие сокета командой

    dir %TEMP%\clamd.socket

    также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права на запись и чтение в этот сокет, щелкнув правой кнопкой мыши по файлу и выбрав пункт "Свойства"

     
     
  • 3.55, Аноним (-), 14:08, 03/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо!
     
  • 3.56, Аноним (-), 14:13, 03/12/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> раскоментированным не работает. пишет что нигде не слушает и выходит.
    > вот здесь следует указать
    > LocalSocket %TEMP%\clamd.socket
    > если не работает предварительно выполните команду
    > echo off > %TEMP%\clamd.socket
    > и проверьте наличие сокета командой
    > dir %TEMP%\clamd.socket
    > также убедитесь что пользователю под аккаунтом которого работает clamd предоставлены права
    > на запись и чтение в этот сокет, щелкнув правой кнопкой мыши
    > по файлу и выбрав пункт "Свойства"

    c:\Program Files\ClamAV-x64>clamd
    ERROR: Not listening on any interfaces

    это если написать так как Вы сказали, но закомментировать TCPSocket'ы ч.я.д.н.к?

     
  • 2.53, Аноним (-), 13:07, 03/12/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > я не понял под винду как clamd запускать, конфиги поместил, фрешклам обновил базы все создал что надо, в конфиге раскоментировал TCPSocket 3310 или как там его и 127.0.0.1 localhost то бишь, ибо чето с

    Процедура запуска спо-антивуруса под виндой инициирована...
    Error: Нигроконшоль не обнаружена
    Error: Не удаётся инициировать устройство "Автоген"
    Error: Точка входа "Жо^" не была создана
    Error: Целевое устройство "Гланды" недоступно
    До взрыва осталось 3.. 2.. 1..

     

  • 1.47, Аноним (-), 19:59, 02/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    запускал под админом, но он висит в консоли....как бы его детачнуть оттуда или проще автораном О_О? подскажите доки на эту версию прожки под виндовые бинарники, не нашел официальных доков типа how to где бы разжевали все от и до ;).....манов нет особо....ну те влом ставить cygwin, virtualbox (linux), или как его msys...

    есть инет, в принципе я могу почитать ман по кламд, но хотелось бы от опытного человека услышать как можно юзать этот локалхостовский тср сокет ;) или его можно оставить запущенным так и забыть и он сам будет работать?

     
  • 1.58, Аноним (-), 21:36, 03/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    поругалось на пдфки с курсеровыми дипломами
     
  • 1.62, Онаним (?), 21:37, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > "/Program Files/ClamAV" или /Program Files/ClamAV-x64"

    А смысл, если на 64-битных виндах и так две раздельные директории Program Files?

     
  • 1.63, DeepForest (ok), 22:43, 05/12/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поправте если не прав.
    ClamAV это движок.
    Где его используют? Сервера в Линукс? Ладно.
    Едиственный рабочий десктопный продукт на этом движке Immunet.
    Даже то же ClamWin не имеет риалтаймового антивирусного монитора.
    Что у нас есть, антивирусный движок для серверов и все?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру