ClamAV

Антивирусное программное обеспечение с открытым исходным кодом

ClamAV (антивирус) — это бесплатный программный кроссплатформенный антивирусный инструментарий, способный обнаруживать множество типов вредоносных программ, включая вирусы . Он был разработан для Unix и имеет сторонние версии для AIX , BSD , HP-UX , Linux , macOS , OpenVMS , OSF (Tru64), Solaris и Haiku . Начиная с версии 0.97.5, ClamAV собирается и работает на Microsoft Windows . ^{[2] [3]} ClamAV и его обновления доступны бесплатно. Одним из его основных применений является использование на почтовых серверах в качестве серверного сканера вирусов электронной почты .

История

ClamAV был первоначально выпущен с версией 0.10 8 мая 2002 года польским студентом университета Томашем Коймом. ^[4] В 2007 году он был приобретен Sourcefire , ^[5] которая, в свою очередь, была приобретена Cisco в 2013 году ^[6] и теперь работает под управлением ее подразделения кибербезопасности Talos .

Патентный иск

В 2008 году компания Barracuda Networks подала в суд на компанию Trend Micro за распространение ClamAV в составе пакета безопасности. ^[7] Trend Micro заявила, что использование компанией Barracuda ClamAV нарушает патент на программное обеспечение для фильтрации вирусов на интернет-шлюзе . Сообщество свободного программного обеспечения отреагировало частично призывом к бойкоту компании Trend Micro. Бойкот также был поддержан Free Software Foundation . ^[8] В июле 2008 года компания Barracuda Networks подала встречный иск с патентами, полученными IBM. ^[9] 19 мая 2011 года Бюро по патентам и товарным знакам США вынесло окончательное решение об отклонении ^[10] в ходе повторной экспертизы патента США 5 623 600 компании Trend Micro. ^[11]

Функции

ClamAV включает в себя сканер командной строки, автоматическое обновление базы данных и масштабируемый многопоточный демон, работающий на антивирусном движке из общей библиотеки. ^[2] Приложение имеет интерфейс Milter для отправки почты и сканирования по требованию. Оно распознает:

• Форматы ZIP , RAR , Tar , Gzip , Bzip2 , OLE2 , Cabinet , CHM , BinHex и SIS
• Большинство форматов почтовых файлов
• Файлы ELF и Portable Executable (PE), сжатые с помощью UPX , FSG, Petite, NsPack, wwpack32, MEW и Upack, или зашифрованные с помощью SUE, Y0da Cryptor.
• Форматы файлов Office Open XML , HTML , Rich Text Format (RTF) и Portable Document Format (PDF). ^[2]

База данных вирусов ClamAV обновляется не реже одного раза в четыре часа и по состоянию на 10 февраля 2017 года содержала более 5 760 000 вирусных сигнатур ^[12] с ежедневным обновлением номера базы данных вирусов 23040. ^{[13] [14]}

Сканирование файлов в реальном времени

В более старых версиях приложений Linux ClamAV поддерживал защиту в реальном времени через надстройку Fanotify для ядра Linux (версии 3.8 и более поздние версии) ^[15] . В качестве альтернативы можно было использовать ClamFS (для любой Unix-подобной операционной системы, поддерживающей FUSE ).

В настоящее время защита в реальном времени в системах Linux обеспечивается с помощью приложения ClamOnAcc от ClamAV (под названием « Сканирование при доступе »), которое использует Clamd для обеспечения защиты в реальном времени путем сканирования файлов при доступе к ним. ^[16]

Другими словами, сканер On-Access может обнаруживать и предотвращать доступ к вредоносным файлам на основе вердикта, полученного от Clamd . ^[16] По умолчанию он работает в « режиме только уведомления », предупреждая пользователей о любых обнаруженных угрозах без активной блокировки доступа к файлам. ^[16]

Включение « режима профилактики » может существенно повлиять на производительность, особенно в часто используемых каталогах, поэтому рекомендуется использовать его благоразумно. ^[16]

Чтобы использовать ClamOnAcc, пользователям необходимо сначала запустить clamd, а затем запустить On-Access Scanner как root (чтобы использовать его возможности обнаружения событий ядра и вмешательства). ^[16]

Конфигурация сканирования при доступе в первую очередь выполняется через clamd.conf, дополнительные параметры доступны в Руководстве пользователя сканирования при доступе. ^[16]

Пользователи могут запускать несколько экземпляров ClamOnAcc одновременно с различными конфигурациями, что позволяет настраивать индивидуальные параметры защиты для различных каталогов. ^[16]

ClamOnAcc (v0.102+) — клиентское приложение, работающее вместе с clamd (демон ClamAV) для выполнения сканирования при доступе. ^[16]

Что касается предыдущих версий, которые были предназначены для Microsoft Windows , бесплатное приложение с открытым исходным кодом под названием Clam Sentinel использовалось для обнаружения изменений файлов и сканирования измененных файлов с помощью ClamWin. ^[17] Оно работало с Windows 98 и более поздними версиями. В дополнение к сканированию при доступе, оно использовало дополнительные сообщения об изменении системы и проактивную эвристическую защиту. ^[18]

Эффективность

В сравнении антивирусных инструментов AV-TEST 2008 года ClamAV показал низкие результаты по обнаружению по требованию, избеганию ложных срабатываний и обнаружению руткитов. ^[19]

В шестимесячном тесте Shadowserver с июня по декабрь 2011 года ClamAV обнаружил более 75,45% всех протестированных вирусов, что поставило его на пятое место после AhnLab, Avira, BitDefender и Avast. AhnLab, ведущий антивирус, обнаружил 80,28%. ^[20]

В 2022 году Splunk провел исследование эффективности с использованием 416 561 образца вредоносного ПО, полученных с MalwareBazaar, которые были сгруппированы следующим образом: 106 135 банковских троянов (троянов, нацеленных на кражу финансовой информации); 26 875 ботнетов (вредоносное ПО, делающее жертву частью ботнета); 190 371 похитителей информации (программ, предназначенных для кражи клиентской информации, например, кейлоггеров); 52 422 загрузчика (программа, которая загружает одну или несколько других вредоносных программ, то есть стейджер, который извлекает вредоносные вещи непосредственно в память); 1321 майнеров (майнеров криптовалюты); 30 251 RAT (инструментов удаленного доступа, например, бэкдоров); и 8 273 троянов (универсальное многоцелевое вредоносное ПО, которое наносит вред пользователю различными способами — как правило, маскируется и доставляется путем обмана пользователя). Исследование Splunk пришло к выводу, что ClamAV в целом эффективен на 59,94% при обнаружении вредоносного ПО массового производства, обнаружив 249 696/416 561 образцов. ^[21]

В том же исследовании ClamAV показал себя относительно хорошо при обнаружении определенных типов вредоносных программ в определенных типах файлов (например, файлы DOCX, файлы DIL, файлы ELF, файлы DOC и файлы EXE), но был менее эффективен при обнаружении вредоносных программ в файлах JAR, JS, VBS, Z, RAR и XLSB. Кроме того, ClamAV показал себя хорошо при обнаружении нескольких категорий вредоносных программ верхнего уровня, таких как трояны и ботнеты, но плохо справился с другими типами вредоносных программ, такими как криптомайнеры, RAT и похитители информации. ^[22]

Неофициальные базы данных

Движок ClamAV можно надежно использовать для обнаружения нескольких видов файлов. В частности, некоторые фишинговые письма можно обнаружить с помощью антивирусных технологий. Однако ложноположительные показатели изначально выше, чем при традиционном обнаружении вредоносных программ. ^[23]

Существует несколько неофициальных баз данных для ClamAV:

• Sanesecurity — это организация, которая поддерживает ряд таких баз данных; кроме того, они распространяют и классифицируют ряд аналогичных баз данных других сторон, таких как Porcupine, Julian Field, MalwarePatrol. ^[24]
• SecuriteInfo.com также предоставляет дополнительные сигнатуры для ClamAV. ^[25]

Неофициальные сигнатуры ClamAV в основном используются системными администраторами для фильтрации сообщений электронной почты. ^[26] Обнаружения этих групп следует оценивать, а не вызывать прямую блокировку «зараженного» сообщения. ^[24]

Платформы

Linux, BSD

ClamAV доступен для операционных систем на базе Linux и BSD . ^[2] В большинстве случаев он доступен для установки через репозитории дистрибутива.

На серверах Linux ClamAV может работать в режиме демона, обслуживая запросы на сканирование файлов, отправленных другими процессами. К ним могут относиться программы обмена почтой, файлы на общих ресурсах Samba или пакеты данных, проходящие через прокси-сервер.

На настольных компьютерах Linux и BSD ClamAV обеспечивает сканирование по требованию отдельных файлов, каталогов или всего ПК. ^[2]

macOS

macOS Server включает ClamAV с версии 10.4. Он используется в почтовой службе операционной системы. Платный графический пользовательский интерфейс доступен от Canimaan Software Ltd ^[27] в форме ClamXav . ^[28] Кроме того, Fink , Homebrew и MacPorts портировали ClamAV.

Другая программа, которая использует движок ClamAV на macOS, — Counteragent. Работая вместе с программой Eudora Internet Mail Server , Counteragent сканирует электронные письма на наличие вирусов с помощью ClamAV, а также опционально обеспечивает фильтрацию спама через SpamAssassin .

OpenVMS

ClamAV для OpenVMS доступен для платформ DEC Alpha и Itanium . Процесс сборки прост и обеспечивает базовую функциональность, включая библиотеку, утилиту clamscan, clamd демон и freshclamобновление. ^[29]

Окна

Существуют версии ClamAV для Windows IA-32 и x64 ; кроме того, Immunet от Cisco использует ClamAV в качестве своего движка. ^[30]

ОС/2

Порт ClamAV доступен для OS/2 (включая eComStation и ArcaOS ) с собственным пользовательским интерфейсом, написанным на REXX . ^{[31] [32]}

Графические интерфейсы

Поскольку ClamAV не имеет графического пользовательского интерфейса (GUI), а запускается из командной строки, ряд сторонних разработчиков написали графические интерфейсы пользователя для приложения для различных платформ и вариантов использования.

К ним относятся:

ClamTk 5.27 работает на Lubuntu 19.04

• Линукс
  • ClamTk с использованием gtk2-perl; проект назван в честь библиотек Tk , которые использовались в начале ^{[33] [34] [35]}
  • KlamAV для TDE (разработка оригинальной версии KDE была прекращена в 2009 году ^[36] )
  • wbmclamav — это модуль webmin для управления Clam AntiVirus ^[37]
• macOS
  • ClamXav — это порт, который включает графический пользовательский интерфейс и имеет службу «сторожа», которая может следить за изменениями или новыми файлами во многих случаях. Также есть планировщик обновлений и сканирования через задание cron , облегчаемое графическим интерфейсом. ClamXav может обнаруживать вредоносное ПО, специфичное для macOS, Unix или Windows. Приложение ClamXav и движок ClamAV регулярно обновляются. ^[38] ClamXav написан и продается компанией Canimaan Software Ltd. ^[27]
  • Tiger Cache Cleaner — это условно-бесплатное программное обеспечение, которое устанавливает и представляет графический интерфейс для использования ClamAV для сканирования на наличие вирусов, а также предоставляет другие, не связанные с этим функции.
• Майкрософт Виндоус
  • Иммунет
  • ClamWin
  • Антивирус CS ^[39]
  • Антивирус Graugon ^[39]
  • Моллюск Сентинел
• ОС/2
  • ClamAV-GUI ^[31]

ClamWin

ClamWin работает на Windows XP

ClamWin — это графический пользовательский интерфейс ClamWin Pty Ltd., разработанный для ClamAV на Microsoft Windows . Функции включают в себя сканирование по требованию (запускаемое пользователем), автоматические обновления, запланированное сканирование и интеграцию с File Explorer и Microsoft Outlook . ClamWin не обеспечивает сканирование при доступе . Дополнение Firefox позволяет ClamWin сканировать загруженные файлы. ^{[40] [41]} Несколько других расширений позволяют пользователям обрабатывать загруженные файлы с помощью любого программного обеспечения и сканировать файлы с помощью ClamWin. ^{[42] [43] [44] [45]}

Смотрите также

• Портал бесплатного и открытого программного обеспечения

• Список антивирусного ПО
• Список бесплатных и открытых пакетов программного обеспечения
• Патенты на программное обеспечение и свободное программное обеспечение

Ссылки

1. Мика Снайдер (4 сентября 2024 г.). «Опубликованы версии исправлений безопасности ClamAV 1.4.1, 1.3.2, 1.0.7 и 0.103.12» . Получено 4 сентября 2024 г. .
2. ClamAV (2007). "О ClamAV" . Получено 25.12.2008 .
3. ClamAV (2007). "Пакеты и порты ClamAV". Архивировано из оригинала 2008-07-20 . Получено 31-12-2008 .
4. Празднование 20-летия ClamAV
5. Sourcefire приобретает ClamAV
6. Cisco приобретает компанию Sourcefire, занимающуюся кибербезопасностью, за 2,7 млрд долларов
7. "Патентное заявление Trend Micro провоцирует сообщество FOSS, приводит к бойкоту". Linux.com. 2008-02-11 . Получено 2008-02-12 .
8. "Бойкот Trend Micro". Free Software Foundation . 2008-02-11 . Получено 2008-02-12 .
9. Пол, Райан (2008-07-02). «Barracuda наносит ответный удар Trend Micro в патентном иске ClamAV». Arstechnica.com . Получено 14 февраля 2012 г.
10. "Ex Parte Reexamination" (PDF) . Патентное и товарное ведомство США. 2011-05-19 . Получено 2015-10-04 .
11. «Анатомия умирающего патента – Пересмотр патента Trend Micro '600». Groklaw.net. 2011-06-13 . Получено 2015-10-04 .
12. "Введение – Документация ClamAV". docs.clamav.net . Получено 2024-03-09 .
13. "О ClamAV". Архивировано из оригинала 2008-11-20 . Получено 25-12-2008 .
14. "Latest Stable Release". Архивировано из оригинала 2010-09-18 . Получено 2010-08-21 .
15. Сола, Микки. «Настройка сканирования при доступе в ClamAV».
16. "Сканирование – Документация ClamAV". docs.clamav.net . Получено 2024-05-02 .
17. Cyber ​​Pillar. "Clam Sentinel – Making ClamWin Be Used In Real-Time". Архивировано из оригинала 2014-08-19 . Получено 2014-09-01 .
18. "Clam Sentinel" . Получено 2014-06-19 .
19. "Сравнительный тест антивирусов текущих продуктов для борьбы с вредоносным ПО, Q1/2008". AV-Test GmbH. 22 января 2008 г. Архивировано из оригинала 15 июля 2011 г. Получено 12 февраля 2008 г.
20. "ShadowServer 180 Day Stats". shadowserver.org. 2011-08-16. Архивировано из оригинала 2011-11-27 . Получено 2011-12-16 .
21. «Насколько хорош ClamAV в обнаружении вредоносного ПО массового назначения?». Splunk-Blogs .
22. «Насколько хорош ClamAV в обнаружении вредоносного ПО массового назначения?». Splunk-Blogs .
23. Брэд Уордман; Томми Столлингс; Гэри Уорнер; Энтони Скьеллум (5 августа 2011 г.). «Высокопроизводительное обнаружение фишинговых атак на основе контента» (PDF) . uab.edu . Получено 19 марта 2018 г. .
24. Sanesecurity Фишинговые, мошеннические и вредоносные сигнатуры для ClamAV Архивировано 10 сентября 2015 г. на Wayback Machine
25. SecuriteInfo.com Добавить 4.000.000 сигнатур к ClamAV Antivirus
26. "ClamAV Unofficial Signatures Updater". sourceforge.net . 24 мая 2009 г. Получено 2 сентября 2014 г.
27. "О нас". ClamXAV . Получено 2017-07-15 .
28. ClamXav.com (nd). "ClamXAV.com" . Получено 24.01.2009 .{{cite web}}: CS1 maint: год ( ссылка )
29. Чупахин, Алексей (декабрь 2008 г.). "Clam AntiVirus OpenVMS Project News". Архивировано из оригинала 2011-10-06 . Получено 2008-12-25 .
30. "Альтернативные версии ClamAV". clamav.net . Cisco Systems . Архивировано из оригинала 22 ноября 2021 г. . Получено 26 ноября 2021 г. Immunet, работающий на базе ClamAV, представляет собой [...] антивирусное (AV) решение для настольных компьютеров Windows
31. "Мой графический пользовательский интерфейс для "ClamAV"" . Получено 2020-09-03 .
32. "Clamav, ClamAV-GUI (Rexx и QT4) и eCSClamav" . Получено 2020-09-03 .
33. Маурони, Дэйв (декабрь 2008 г.). «Сканер вирусов ClamTk» . Проверено 25 декабря 2008 г.
34. "используйте clamav с nodejs". manjeet.info. 4 апреля 2023 г. Получено 01.07.2024 г.
35. Mauroni, Dave (октябрь 2008 г.). "ClamTk README". Архивировано из оригинала 2011-09-14 . Получено 2008-12-26 .
36. KlamAV F. (Май 2006). "KlamAV – Главная страница" . Получено 2013-03-04 .
37. Саракко, Эммануэль. "wbmclamav – Менеджер антивирусов Webmin ClamAV". wbmclamav.esaracco.fr .
38. ClamXav.com (ноябрь 2008 г.). "ClamXav.com" . Получено 25.12.2008 .
39. "Описание CS Anti-Virus". Softpedia.com. 2009-03-23 . Получено 2010-11-09 .
40. "FireClam: Используйте ClamAV для сканирования загрузок Firefox на наличие вирусов". Firefox Addons . Получено 2009-11-02 .
41. "ClamWin Antivirus Glue for Firefox". Firefox Addons. Архивировано из оригинала 2012-12-20 . Получено 15-04-2008 .
42. "Скачать сканирование". Downloadstatusbar.mozdev.org. 2005-08-19 . Получено 2010-11-09 .
43. "Загрузить строку состояния".
44. "Безопасная загрузка". Extensions.geckozone.org . Получено 2010-11-09 .
45. ClamWin Pty Ltd (2009). "О ClamWin Free Antivirus". Архивировано из оригинала 2010-01-25 . Получено 2009-03-13 .

Дальнейшее чтение

• Интервью с основателем ClamAV Томашем Коймом, архивная версия

Внешние ссылки

• Официальный сайт