Представлен (http://lurker.clamav.net/message/20100331.203901.0d247020.en...) релиз свободного антивирусного пакета ClamAV 0.96 (http://www.clamav.net) в котором представлен новый механизм выявления вредоносного ПО и отмечены значительные улучшения в системе сканирования файлов.
Пользователям старых версий ClamAV необходимо запланировать проведение обновления, так как начиная с 15 апреля будет полностью заблокирована (http://www.opennet.me/opennews/art.shtml?num=23751) работа всех версий младше 0.95. Подобная блокировка производится с целью оптимизации формата базы сигнатур, а именно для обеспечения поддержки вирусных сигнатур размером превышающим 980 байт, которые принципиально невозможно реализовать без нарушения совместимости со старыми версиями. Отключение старых версий будет инициировано передачей специальной сигнатуры в последнем обновлении CVD базы для версий 0.94.x.Ключевые улучшения ClamAV 0.96:
- В библиотеку LibClamAV встроен интерпретатор байткода, ...URL: http://lurker.clamav.net/message/20100331.203901.0d247020.en...
Новость: http://www.opennet.me/opennews/art.shtml?num=26090
К сожалению, еще больше памяти стал жрать. Похоже, это у них постоянная тенденция :-(
К сожалению это не только у них. Видимо надо где-то хранить постоянно увеличивающуюся базу сигнатур.
Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с той же базой.
>Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с
>той же базой.Там написано <0.95. 0.95 должна работать.
когда у них монитор появится, интересно
> В clamd добавлена поддержка DazukoFS, позволяющего организовать антивирусную проверку на лету, путем отслеживания фактов создания или модификации файлов;Файловый монитор по сути.
>когда у них монитор появится, интересноМожно использовать clamfs.
Дык вроде есть - через dazuko (подробностей не скажу - не щюпал :))
> полностью заблокирована работа всех версий младше 0.95.Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно, а дебианщики уже одели каски и пристегнули ремни? А то там 0.94... :)
> будет инициировано передачей специальной сигнатуры
Хм... я все понимаю, антивирус для отлова вирусов, должен быть актуален, блаблабла. Но кто будет проверять проверяющего?!
> а также удаленно поставлять расширяющие функциональность сканера модули;
Все круто, кроме того что похоже, враг уже внутри :). С такими свойствами скоро впору будет от самого антивируса защищаться.
>Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно,
>а дебианщики уже одели каски и пристегнули ремни? А то там
>0.94... :)А это какая версия - 0.95.3+dfsg-1~volatile1
Для такого рода пакетов в Дебиане есть специальный репозиторий - volatile.debian.org/debian-volatile
Если честно, в кламе я разочаровался после случая, когда сам отловил файлег на виндовой машинке, который на тот момент не детектил ни установленный nod32 (куплен организацией), ни drwebwcl с clamwinportable (в BartPE).
В PE-среде оффлайново просмотрел системный реестр заражённой машины и нашел в HKLM\SW\MS\WinNT\CurVer\Win\AppInit_DLLs ссылку на файл.
Перетащил его в другой каталог, загрузился, а потом отправил в ClamAV - так тот и через две недели его не детектил.
нет чтобы помочь разработчикам и отправить им файл. Ведь они не боги, и не могут вовремя находить всех вирусов (представьте сколько для этого нужно тратить времени!). И это касается всех антивирусов
Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.
> Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.А через что вы отправляли им файл? Через http://www.clamav.net/lang/ru/sendvirus/ ? А разработчики Вам ответили? Где ссылка на добавленную сигнатуру? Я отправлял три штуки, все были добавлены достаточно быстро (в течении нескольких дней)
А знаете, я натыкался на ситуации когда каспер, веб, нортон и кто там еще не детектили файлик. Предлагаю тоже записать их в отстой. Может быть дело в том что сперва появляется вирус а только потом о нем узнают по репортам от юзеров? :)
Насколько я могу судить, они чаще автоматом получают подозрительные файлы, на которые обратил внимание эвристический анализатор. Плюс сведения об успешных эксплойтах от спецов по выявлению уязвимостей, доложенные на разного рода тусовках типа Дефкона. Впрочем, я в этой отрасли не варился, наверняка судить не могу.
Как бы то ни было, на virusscan.jotti.org вирус, который ещё вчера был новым, на следующий день детектят почти все.
И, знаете, если антивирь, которым я пользуюсь, что-то не ловит, я не ленюсь поделиться с разработчиками найденным файлом.
>Насколько я могу судить, они чаще автоматом получают подозрительные файлы, на которые
>обратил внимание эвристический анализатор.Ни разу не видел чтобы эвристик поймал что-то кроме забористых глюков. Зато видел как эвристики давили ... сетап мылруагента :) (ату его!), рар (варез-зло!), официальную аську(действительно, маздай!), пару заведомо безобидных прог (за что?!) и прочая(юзерам дестрой прог на диске по рандому-доставляет!). А вот например почти стандартный вариант пинча упакованный известным FSG (в clamav для него есть модуль распаковки даже) - ни один из чудо-эвристиков ни в 1 антивирилке почему-то проблем не узрел. И узревать стали только после рассылки сэмплов. Хотя условия теплиные - простой в распаковке пакер, почти стадартный и дико популярный у юных сракеров троянец который почти не модифицирован. Ессно отсылал сэмплы вручную. В гробу я видел автоматические отсылки, это само по себе троянство. И что-то не помню чтобы хоть 1 антивирь автоматически куда-то что-то слал кроме корпоративного симантека (который сливает наловленное зверье админам, IIRC). Только он тоже такую связку "ниасилил". У меня возникло ощущение что от эвристиков часто вреда больше чем пользы.
>Плюс сведения об успешных эксплойтах от спецов
>по выявлению уязвимостей, доложенные на разного рода тусовках типа Дефкона.Да что там эксплойты, половина дерьма в интернете всего лишь обычные трояны. Которые длб, особенно качающие варез сами же и запускают. Вместе с кряками и варезом. Или выкачивают под видом безобидных программ, "кульных фоток" и прочая.
>на следующий день детектят почти все.
Как повезет. Я например видел вопли нортона через две недели :) после ручного смотрения глазами общедоступного эксплойта, убирания его в постороннюю папочку и прочая. Орлы, однако.
>И, знаете, если антивирь, которым я пользуюсь, что-то не ловит, я не
>ленюсь поделиться с разработчиками найденным файлом.Я тоже, только это уже несколько лет малоактуально, под линухами вирье как-то не донимает. Так, иногда по старой памяти выношу всякую срань в виндах, но имхо лучше всего - когда геморрой не у меня :)
юзер, колись где у тебя венда стоит?
А есть у него санер памяти? что бы по сигнатурам искал в памяти?
Под виндой (у ClamWin) -- есть.