• Geschikt voor:
  Versie:	14.04 LTS, 16.04 LTS, 18.04 LTS
  Inhoud ClamAV ClamAV installeren ClamTK ClamAV virusdatabase clamscan ClamAV server Thunderbird ClamAV testen eicar.com clamav-testfiles PUA Meer informatie Nederlandstalig Engelstalig

ClamAV

• 

• ClamAV is een opensource en cross-platform anti-virusengine.
• ClamAV scant bestanden op verzoek ("on demand").
• ClamAV kan malware detecteren en verdachte bestanden in een quarantaine map plaatsen.
• ClamAV kan malware van verschillende platformen detecteren maar is vooral bruikbaar tegen Windows malware.

ClamAV is geen standaard onderdeel van Ubuntu. Dit artikel stelt niet dat Ubuntu gebruikers een antivirus-oplossing zoals ClamAV moet gebruiken maar geeft objectieve informatie over gebruik van ClamAV. Het is een eigen beslissing van een gebruiker ClamAV te gebruiken tegen (voornamelijk op Windows gerichte) malware.

ClamAV installeren

ClamTK, een grafische schil voor ClamAV, is aanwezig in Ubuntu software:

Of installeren ClamAV in een Terminalvenster:

sudo apt install clamav

ClamTK

Wijzig eventueel de instellingen van ClamTK (14.04: Geavanceerd → Voorkeuren)

• 

Voer een scan uit door een bestand of een map te scanner. Na de scan worden de resultaten getoond:

• 

• Pas op met het verwijderen van bestanden!

• Controleer of het werkelijk malware betreft!

• In bovenstaand voorbeeld bevat het eerste bestand (Heuristics.Encrypted.PDF) geen malware maar is een beveiligd e-ticket voor een theaterbezoek!

• Zeker bij potentieel ongewenste toepassingen (PUA) gaat het niet altijd om malware.

• Bestanden in quarantaine komen in de map ~/.clamtk/viruses

• Upload een verdacht bestand eventueel naar www.virustotal.com om door meerdere scanners te laten controleren.

ClamAV virusdatabase

ClamAV zal de virusdefinities regelmatig bijwerken.

• Direct na installeren zal ClamTK de melding geven dat de virusdefinities zijn verouderd. Dit is op te lossen door de definities handmatig bij te werken of automatisch door een herstart van de computer.

• 

Handmatig bijwerken van de virusdefinities kan in een Terminalvenster:

sudo freshclam

Optioneel kunnen extra definities kunnen van derde partijen worden gedownload door pakket clamav-unofficial-sigs te installeren:

sudo apt install clamav-unofficial-sigs

clamscan

Gebruik voor het uitvoeren van een scan ClamTK of de terminalopdracht clamscan

Voorbeelden:

• Om alle bestanden in de persoonlijke map te scannen:

• clamscan -r /home

• Om alle bestanden te scannen maar alleen verdachte bestanden te tonen en dan een waarschuwingsgeluidje te geven:

• clamscan -r --bell -i /

Na het scannen van de bestanden sluit clamscan af met een samenvatting:

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 122
Scanned files: 443
Infected files: 0
Data scanned: 40.79 MB
Data read: 25.25 MB (ratio 1.62:1)
Time: 19.345 sec (0 m 19 s)

• ClamAV kan alleen bestanden scannen die de gebruiker mag lezen. Gebruik eventueel sudo clamscan om alle bestanden te kunnen scannen.

ClamAV server

Op een server kan ClamAV als achtergrondproces (deamon) worden geïnstalleerd:

sudo apt install clamav-daemon

Hierdoor kunnen bestanden sneller worden gecontroleerd omdat ClamAV altijd geladen is. Gebruik hiervoor de opdracht clamdscan in plaats van clamscan

Voorbeeld om een bepaald bestanden te scannen met clamdscan:

naam@Ubuntu:~$ clamdscan /home/naam/Downloads/eicar.com
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 0.066 sec (0 m 0 s)

Dit kan bij uitstek worden gebruikt voor een mailserver (sendmail) of opslag-oplossing (bijvoorbeeld ProFTPd, ownCloud) of Thunderbird

Om werklast te verdelen kan de ClamAV scan eventueel op een andere server worden uitgevoerd.

Thunderbird

Bijvoorbeeld: Om clamav server automatisch te gebruiken in het Thunderbird e-mail programma is er een plugin clamdrib LIN

Om deze plugin te laten werken:

• Voeg de volgende 2 regels toe aan bestand /etc/clamav/clamd.conf

[code] TCPSocket 3310 TCPAddr 127.0.0.1 [/code]

• Pas bestand /etc/systemd/system/clamav-daemon.socket.d/extend.conf aan:

[code] ListenStream=127.0.0.1:3310 [/code]

Installeer de plug-in in Thunderbird.

Herstart clamav-daemon (of de computer)

Ieder e-mail die Thunderbird opent wordt eerst door clamav gescaned en er komt een kleine statusregel boven iedere e-mail of deze “schoon” is.

ClamAV testen

eicar.com

Gebruik bijvoorbeeld het eicar.com testvirus:

naam@Ubuntu:~$ cd Downloads
naam@Ubuntu:~/Downloads$ wget http://www.eicar.org/download/eicar.com
--2016-03-19 10:25:05--  http://www.eicar.org/download/eicar.com
Herleiden van www.eicar.org (www.eicar.org)... 188.40.238.250
Verbinding maken met www.eicar.org (www.eicar.org)|188.40.238.250|:80... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
Lengte: 68 [application/octet-stream]
Wordt opgeslagen als: ‘eicar.com’

eicar.com           100%[===================>]      68  --.-KB/s    in 0s      

2016-03-19 10:25:06 (9,73 MB/s) - '‘eicar.com’' opgeslagen [68/68]

naam@Ubuntu:~/Downloads$ clamscan -r -i /home
/home/naam/Downloads/eicar.com: Eicar-Test-Signature FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4297364
Engine version: 0.99
Scanned directories: 83
Scanned files: 108
Infected files: 1
Data scanned: 1.20 MB
Data read: 1.13 MB (ratio 1.06:1)
Time: 14.562 sec (0 m 14 s)

clamav-testfiles

Installeer eventueel de ClamAV testfiles

sudo apt install clamav-testfiles

En scan de testfiles:

clamscan /usr/share/clamav-testfiles/

Het resultaat is dat alle (46) bestanden als "infected" worden aangemerkt:

----------- SCAN SUMMARY -----------
Known viruses: 4462368
Engine version: 0.99
Scanned directories: 1
Scanned files: 46
Infected files: 41
Data scanned: 13.77 MB
Data read: 6.21 MB (ratio 2.22:1)
Time: 20.606 sec (0 m 20 s)

PUA

ClamAV kan ook scannen op PUA's (Possible Unwanted Applications) ofwel potentieel ongewenste toepassingen. Dit is niet per definitie malware!

Er zijn veel soorten PUA's en het vraagt inzicht om te kunnen beoordelen of een PUA werkelijk malware is.

• (Engelstalig) overzicht van PUA categorieën: http://www.clamav.net/documents/potentially-unwanted-applications-pua

Een paar voorbeelden:

naam@Ubuntu:~$ clamscan -i --detect-pua --block-encrypted=yes Downloads/
Downloads/ib2013_win_setup.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
Downloads/coupon1.pdf: PUA.Pdf.Trojan.EmbeddedJavaScript-1 FOUND
Downloads/ticket_140223_14781_1.pdf: Heuristics.Encrypted.PDF FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467757
Engine version: 0.99
Scanned directories: 1
Scanned files: 3
Infected files: 3
Data scanned: 0.21 MB
Data read: 3.00 MB (ratio 0.07:1)
Time: 17.390 sec (0 m 17 s)

• ib2013_win_setup.exe is een Windows programma met een ingebouwd compressieprogramma (Win32.Packer) en komt van de website van de (Nederlandse) belastingdienst dus is (zeer waarschijnlijk) geen malware.

• coupon1.pdf is een pdf-invulformulier voor een bestelling bij een bekende winkel en bevat (zeer waarschijnlijk) geen malware.

• ticket_140223_14781_1.pdf is een e-ticket voor een theaterbezoek. Het pdf bestand is beveiligd (Encrypted) zodat het minder makkelijk te bewerken is maar bevat (zeer waarschijnlijk) geen malware.

Zelfs het installeren van Wine (sudo apt install wine uit de 16.04 pakketbron) kan (onterechte) PUA meldingen geven:

naam@Ubuntu:~$ clamscan -r -i --detect-pua /usr
/usr/share/mime/mime.cache: PUA.Win.Exploit.CVE_2012_0110-1 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/share/wine/gecko/wine_gecko-2.21-x86_64.msi: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/x86_64-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/user32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/comctl32.dll: PUA.Win.Packer.PrivateExeProte-8 FOUND
/usr/lib/i386-linux-gnu/wine/fakedlls/clock.exe: PUA.Win.Packer.PrivateExeProte-8 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4467733
Engine version: 0.99
Scanned directories: 19805
Scanned files: 103675
Infected files: 9
Total errors: 1
Data scanned: 3296.47 MB
Data read: 3409.82 MB (ratio 0.97:1)
Time: 1115.542 sec (18 m 35 s)

Een PUA scan uitvoeren op een (dualboot) windows partitie kan (lees:zal) tientallen (of honderden) meldingen van PUA's geven!!!

Meer informatie

Nederlandstalig

• Veiligheid in Ubuntu

• Virussen

• Wikipedia: nl.wikipedia.org/wiki/ClamAV

Engelstalig

• https://help.ubuntu.com/community/ClamAV

• http://manpages.ubuntu.com/manpages/bionic/man1/clamscan.1.html

• projectpagina: www.clamav.net

---

CategoryVeiligheid