Состоялся (http://blog.clamav.net/2016/03/clamav-0991-has-been-released...) релиз свободного антивирусного пакета ClamAV 0.99.1, в котором добавлена возможность извлечения и сканирования объектов, встроенных в офисные файлы пакета Hancom Office (HWP). Добавлены дополнительные опции для сканирования форматов на основе XML (MSXML, OOXML, HWPML, HWP3), улучшена логика определения формата OOXML. Кроме того, сообщается, что ClamAV 0.99.1 будет последним релизом, доступным для загрузки через SourceForge.net, в дальнейшем новые выпуски будут распространяться только напрямую с сайта ClamAV.net (http://www.clamav.net/downloads).URL: http://blog.clamav.net/2016/03/clamav-0991-has-been-released...
Новость: http://www.opennet.me/opennews/art.shtml?num=43976
>последним релизом, доступным для загрузки через SourceForge.netХе-хе. "Больше никогда!" -- кричали SF! Последний выкрик был, кажется, третьим.
Докричались до того, что у меня блокировщик рекламы режет вообще все ссылки на SF. И меня это устраивает.
>0.99.1Wine 1.0 не обеспечил виндец, может хоть ClamAV 1.0.0 обеспечит касперопец?
>Wine 1.0 не обеспечил виндец, может хоть ClamAV 1.0.0 обеспечит касперопец?Ну эт вряд ли, особенно после выпуска бесплатного варианта касперского для России (правда для домашнего использования только). Без фанатизма, действительно так - для винды теперь не задумываюсь даже какой антивирус ставить.
Да тысячи их, бесплатных антивирусов под винду. На подконтрольных мне виндовых машинах стоит Avast. Поводов жаловаться не было.
Мне одному кажется, что уже упомнинанием Avast-а в отношении "подконтрольных" машин Вы полностью отбили желание Вам что-то отвечать?Это не лучший антивирус. Но - и не самый лезущий.
Другое дело, что виндовый штатный нынче обладает теми же свойствами :)
>Вы полностью отбили желание Вам что-то отвечать?А разве я что-то спрашивал?
>Это не лучший антивируста в общем-то антивирусу совсем и не обязательно быть лучшим
Я как-то сделал глупость и купил апдейт для аваста в котором брандмауэр был. После того как эта скотина не дала мне скачать cureit (просто 404 выдавала), я удалил нафиг аваст.
это тот "антивирус", что подменяет ssl-сертификаты своим? ну-ну
вы про ESET NOD 32?
и про avast тоже
> подконтрольных мне
> AvastКакая тонкая толстота.
Для винды ( современных версий 7-8+ ) вообще в них смысла большого нет, преимущества над встроенными средствами весьма сомнительны
> Для винды ( современных версий 7-8+ ) вообще в них смысла большого
> нет, преимущества над встроенными средствами весьма сомнительныМайкрософт пожрёт Касперского? Правда?!!
Не пожрет так понадкусывает, раздав security essentials бесплатно.
была инфа (пруф искать лень) что движок MSE был разработан кошмарскими
>> Майкрософт пожрёт Касперского?Поставить себе касперского может только конченый идиот.
Лучше ставить аваст с авирой, которые определяет заражен файл или нет по срабатыванию вирустотал
А они есть, встроенные средства?
Да. Для пользователей лицензионной версии.
> Да. Для пользователей лицензионной версии.Давеча видел, как малолетний сопливый дрищ стоял по щиколотку в грязной луже, а мать с ленцой его уговаривала выйти из лужи: там же грязно и мокро, мол. Нет, отвечал отпрыск, не грязно и не мокро.
Анон, выйди из лужи. Хотя... я ж тебе не папа, второй раз просить не буду — стой, изображай вселенскую глупость.
Ну эффективность встроенных где-то на уровне 10-20%, если поверить, что каспер ловит 90%.
> если поверить, что каспер ловит
> 90%.Верьте, верьте – плацебо ведь тоже иногда помогает )
Тем более, считать проценты можно очень по разному.
А тех "10%" вполне хватает всяким локирам, ботоводам и даже части из "продвинутых" школьников за глаза.И да, чуть не забыл: очень нежелательно смотреть что-то типа http://mincore.c9x.org/breaking_av_software.pdf – а то
> "Multiple remote vulnerabilities"у каждого третьего "борца с вирусами" или
>" +1500 crashes. 7 different bugs. 2 of them seems to be exploitable."или
> Libraries avzkrnl.dll and ... are not ASLR enabled.
> One can write a reliable exploit for Kaspersky AV without any real effort.у особо "отличившихся" наводят скорее на мысли, что там беспокоятся в первую очередь о безопасности собственного кошелька, а на безопасность пользователя давно забили.
И вообще, есть некоторые подозрения, что во многих парсерах/распаковщиках АВ скорее всего упорно используется легаси-код из начала 2000ных, т.к. типичные дыры находят регулярно и давно. Однако переписать с нуля стоит денежку, так что, видимо "нафиг, нафиг – ведь и так кушают!"
И да, особенно прикольно, что как раз сабж (ClamAV) на фоне остальных "китов" выглядит как раз очень даже хорошо:
> Only 1 non reproducible crash :(
> Only 1 DOS (found manually)
> Honestly, I was very surprised.
> It seems they use fuzzing.
> Well done guys!
Если настроить венду нормально (с правами пользователей и политикой ограниченного запуска программ), то встроенный антивирь — штука вполне сносная.
В версиях для дома нет политики ограничения программ. Точнее гуи. Или через реестр настраивай или лапу соси.
Или убогий родительский контроль.
> каспер ловит 90%.Чушь.
Каспер пропускает таких троянов, что диву даёшься.
Я бы сказал, что от них больше вреда, чем пользы.
Ибо антивирусы внедряются весьма глубоко, потом только лови несовместимости по драйверам и с обновлениями.
встроенные средства от граждан, допускавших автозапуск с внешней файлухи? не осиливших noexec? отличная шутка!
Можно NanoAV ставить поддержать ребят
В памяти висит, внимания не требует. А он работает? :)Поддержим, чего уж!
>касперского1. бывших гэбистов не бывает
2. софт без исходников - это троян, особенно связаный с безопасностью
>>касперского
> 1. бывших гэбистов не бываетвы так говорите, как будто это что-то плохое
> 2. софт без исходников - это троян, особенно связаный с безопасностьюдля операционки без исходников это не проблема
>вы так говорите, как будто это что-то плохоене путай свою безопасность с государственной
Любой разумный горожанин скорее отдаст все свои данные гуглу, мс, рекламным компаниям и анб чем поставит антивирус от бывшего чекиста
А потом "разумный горожанин отдавшийся гуглу, мс и анб" будет волосы на опе рвать, когда ему откажут в американской и европейской визах - никогда не знаешь, что по ту сторону Атлантики посчитают угрозой нацбезопасности. И опротестовать такой отказ в отличие от действий "кговавой гэбни" невозможно, в принципе ;)
> А потом "разумный горожанин отдавшийся гуглу, мс и анб" будет волосы на
> опе рвать, когда ему откажут в американской и европейской визах -
> никогда не знаешь, что по ту сторону Атлантики посчитают угрозой нацбезопасности.
> И опротестовать такой отказ в отличие от действий "кговавой гэбни" невозможно,
> в принципе ;)Вы так это пишете, как будто это плохо.
> Wine 1.0 не обеспечил виндецWine уже обеспечил вендекапец на большом числе машин :)
А с SF как-то нехорошо получается. С другой стороны ребята пытаются не работать себе в убыток. Но получается как обычно, через %s.
Вайновцы или кламовцы опещали обеспечить какой-то пец?
> Вайновцы или кламовцы опещали обеспечить какой-то пец?речь не об обещаниях, а об ожиданиях
> Вайновцы или кламовцы опещали обеспечить какой-то пец?нет. но адепты культа вендекапца почему-то верят, что именно оттуда он придёт
бред несете, уход одного проекта от сурсфоржа вовсе не означает смерть самого сурсфоржа, там еще полно годных проектов хостится.
Использую совместно с HAVP. Начинает ловить "вирусы" после добавления https://github.com/extremeshok/clamav-unofficial-sigs
Добавлю, большинство файлов сигнатур в формате YARA не подгружаются, (модулей необходимых по умолчанию нет)
Обновлялка подгружаемых YARA сигнатур: http://pastie.org/10753632
Сколько нынче за пост платят?
Не путайте профессионалов с идиотами.
Чего ты так разволновался? Тебе мой пост вири мешает раздавать? Или каспер с дрвебом боятся конкуренции?Официальные базы ClamAV очень медленно пополняются новыми сгнатурами. Многие фирмы, занимающиеся ИТ безопасностью поддерживают свои собственные базы вирей для сабжа: Sanesecurity, FOXHOLE, OITC, Scamnailer, BOFHLAND, CRDF, Porcupine, Securiteinfo, MalwarePatrol, Google... Только MalwarePatrol и SecuriteInfo дерут деньги за использования баз в коммерческих целях, для домашнего использования бесплатны все...
Так он на простынь любви к продукции Кошмарского отвечал. Зачем его модеры сюда подклеили - тайна великая сие есть.
Нет! Мой ответ именно к сабжу...Чего вас так дополнительные базы к ClamAV бесят?!!
А размер базы сигнатур Securiteinfo впечатляет:
-rw-r--r-- 1 clamav clamav 138720143 мар 3 01:38 /var/lib/clamav/securiteinfo.hdb
Решил ещё потратить чуть свободного времени и привести список известных мне дополнительных баз сигнатур для ClamAV cо ссылками:### http://www.sanesecurity.com/clamav/databases.htm
### SANESECURITY http://sanesecurity.com/usage/signatures/
sanesecurity.ftm #REQUIRED Message file types, for best performance
sigwhitelist.ign2 #REQUIRED Fast update file to whitelist any problem signatures
junk.ndb #LOW General high hitting junk, containing spam/phishing/lottery/jobs/419s etc
jurlbl.ndb #LOW Junk Url based
phish.ndb #LOW Phishing
rogue.hdb #LOW Malware, Rogue anti-virus software and Fake codecs etc. Updated hourly to cover the latest malware threats
scam.ndb #LOW Spam/scams
spamimg.hdb #LOW Spam images
spamattach.hdb #LOW Spam Spammed attachments such as pdf/doc/rtf/zip
blurl.ndb #LOW Blacklisted full urls over the last 7 days, covering malware/spam/phishing. URLs added only when main signatures have failed to detect but are known to be "bad"
spear.ndb #MED Spear phishing email addresses (autogenerated from data here)
lott.ndb #MED Lottery
spam.ldb #MED Spam detected using the new Logical Signature type
spearl.ndb #MED Spear phishing urls (autogenerated from data here)
jurlbla.ndb #MED Junk Url based autogenerated from various feeds
badmacro.ndb #MED Detect dangerous macros
Sanesecurity_sigtest.yara #LOW Sanesecurity test signatures
Sanesecurity_spam.yara #LOW detect spam### FOXHOLE http://sanesecurity.com/foxhole-databases/
malwarehash.hsb #LOW Malware hashes without known Size
foxhole_generic.cdb #MED See Foxhole page for more details
foxhole_filename.cdb #MED See Foxhole page for more details
foxhole_all.cdb #HIGH See Foxhole page for more details### OITC http://www.oitc.com/winnow/clamsigs/index.html
winnow.attachments.hdb #LOW Spammed attachments such as pdf/doc/rtf/zip
winnow_malware.hdb #LOW Current virus, trojan and other malware not yet detected by ClamAV.
winnow_malware_links.ndb #LOW Links to malware
winnow_extended_malware.hdb #LOW contain hand generated signatures for malware
winnow_bad_cw.hdb #LOW md5 hashes of malware attachments acquired directly from a group of botnets
winnow_phish_complete_url.ndb #Med Similar to winnow_phish_complete.ndb except that entire urls are used
winnow.complex.patterns.ldb #MED contain hand generated signatures for malware and some egregious fraud
winnow_extended_malware_links.ndb #MED contain hand generated signatures for malware links
winnow_spam_complete.ndb #MED Signatures to detect fraud and other malicious spam
#winnow_phish_complete.ndb #HIGH Phishing and other malicious urls and compromised hosts **DO NOT USE WITH winnow_phish_complete_url**### SCAMNAILER http://www.scamnailer.info/
scamnailer.ndb #MED Spear phishing and other phishing emails### BOFHLAND http://clamav.bofhland.org/
bofhland_cracked_URL.ndb #LOW Spam URLs
bofhland_malware_URL.ndb #LOW Malware URLs
bofhland_phishing_URL.ndb #LOW Phishing URLs
bofhland_malware_attach.hdb #LOW Malware Hashes### RockSecurity http://rooksecurity.com/
hackingteam.hsb #LOW Hacking Team hashes### CRDF https://threatcenter.crdf.fr/
crdfam.clamav.hdb #LOW List of new threats detected by CRDF Anti Malware### Porcupine
porcupine.ndb #LOW Brazilian e-mail phishing and malware signatures
phishtank.ndb #LOW Online and valid phishing urls from phishtank.com data feed### Securiteinfo https://www.securiteinfo.com/services/improve-detection-rate...
securiteinfo.ign2
securiteinfo.hdb #LOW Malwares in the Wild
javascript.ndb #LOW Malwares Javascript
securiteinfohtml.hdb #LOW Malwares HTML
securiteinfoascii.hdb #LOW Text file malwares (Perl or shell scripts, bat files, exploits, ...)
securiteinfopdf.hdb #LOW Malwares PDF
#spam_marketing.ndb #HIGH Spam Marketing / spammer blacklist### Linux Malware Detect https://www.rfxn.com/projects/linux-malware-detect/
rfxn.ndb #LOW HEX Malware detection signatures
rfxn.hdb #LOW MD5 malware detection signatures# MalwarePatrol Database
malwarepatrol_db="malwarepatrol.db" #LOW URLs containing of Viruses, Trojans, Worms, or Malware### Yara Rules https://github.com/Yara-Rules/rules
antidebug.yar #LOW anti debug and anti virtualization techniques used by malware
malicious_document.yar #LOW documents with malicious code
packer.yar #MED well-known sofware packers
#crypto.yar #HIGH detect the existence of cryptographic algoritms### http://www.google.com/transparencyreport/safebrowsing
### http://www.clamav.net/documentation.html#safebrowsingЕсли не желаете запускать скрипт https://github.com/extremeshok/clamav-unofficial-sigs можно прямо в /etc/freshclam.conf добавить:
SafeBrowsing yes
# Download an additional 3rd party signature database distributed through
# the ClamAV mirrors.
# This option can be used multiple times.
#ExtraDatabase dbname1
#ExtraDatabase dbname2
К ссылкам для загрузки добавит имя файла с соответствующего раздела приведенного выше:
sanesecurity_url="rsync.sanesecurity.net"
sanesecurity_gpg_url="http://www.sanesecurity.net/publickey.gpg"
securiteinfo_url="https://www.securiteinfo.com/get/signatures/"
linuxmalwaredetect_url="http://cdn.rfxn.com/downloads/"
malwarepatrol_free_url="https://lists.malwarepatrol.net/cgi/getfile?product=8&list=c...
malwarepatrol_subscription_url="https://lists.malwarepatrol.net/cgi/getfile?product=15&list=...
yararules_url="https://raw.githubusercontent.com/Yara-Rules/rules/master/&q...
пасиб тебе добрый аноним,
на досуге^W работе потыкаю палочкой
авось что-то для почтовиков интересное зацеплю
потом расскажи, чем дело кончилось, добрый человек.
Для поддержки баз Google (safebrowsing.cvd) достаточно в /etc/freshclam.conf добавить:
SafeBrowsing yesДля поддержки неофициальных баз надо в /etc/clamd.conf добавить:
ExtendedDetectionInfo yes
OfficialDatabaseOnly noБазы приведённые выше помеченые как "HIGH" использовать только в ручном режиме. Те что помечены "MED" не рекомендуется использовать в продакшин, возможны ложные сработки.
Также надо учитывать разную частоту обновлений, базы гугла рекомендуют обновлять часто, каждые 30 минут. Базы Securiteinfo, MalwarePatrol обновлять не чаще 4 и 6 часов соответственно, иначе ваш IP забанят и обновлений больше не получите...
При желании использовать Yara-Rules: https://github.com/Yara-Rules/rules
необходимо установить >=Yara-3.0: https://github.com/plusvic/yara/
в дебиане есть возможность использовать актуальную версию моллюска?ранее был репо volatile, но потом его убрали:
https://lists.debian.org/debian-volatile-announce/2012/msg00...сейчас у визи 0.98.1 или что-то в таком духе.
Да есть. Самому собрать.