Компания Cisco представила (https://blog.clamav.net/2018/12/clamav-01010-has-been-releas...) новый значительный выпуск свободного антивирусного пакета ClamAV 0.101.0 (http://www.clamav.net/). Напомним, что проект перешёл в руки Cisco в 2013 году после покупки (https://www.opennet.me/opennews/art.shtml?num=37498) компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется (https://github.com/Cisco-Talos/clamav-devel) под лицензией GPLv2.
Ключевые улучшения:- Добавлена поддержка извлечения данных из архивов, созданных в пятой версии утилиты RAR. Вместо ранее используемого распаковщика unrar задействована распространяемая компанией RarLabs библиотека UnRAR 5.6.5. Лицензия на связующую библиотеку libclamunrar_iface изменена с LGPL на BSD;
- Проведена реструктуризация опций и директив в утилите clamscan и файле конфигурации clamd.conf. Опции, связанные с выводом предупреждений на основе эвристического анализа теперь снабжены префиксами "Alert*" и "--alert-*". Настройка AlgorithmicDetection переименована в HeuristicAlerts. Поддержка старых опций пока сохранена, но может исчезнуть в одном из будущих выпусков;
- В clamd.conf и интерфейсе командной строки временно отключена опция OnAccessExtraScanning из-за наличия пока не решённых проблем (https://bugzilla.clamav.net/show_bug.cgi?id=12048) со стабильностью и утечкой ресурсов;- Добавлены новые опции AlertEncryptedArchive и AlertEncryptedDoc для вывода предупреждении о выявлении зашифрованных архивов или документов;
- В логических сигнатурах реализована поддержка операций сравнения последовательностей байт, позволяющих по аналогии с похожей возможностью в Snort извлечь и сравнить определённое число байт на основании указанного размера и смещения;
- Библиотека libmspack обновлена до версии 0.7.1alpha (ранее использовался выпуск 0.5alpha) и расширена средствами для парсинга повреждённых или нестандартных CAB-файлов;- Улучшена поддержка разбора файлов PDF и Aspack PE;
- В сборках для Windows предложен новый установщик, построенный с использованием InnoSetup 5;
- В сигнатуры Authenticode добавлена поддержка свойств, специфичных для системных файлов Windows, и обеспечено их использование при разборе исполняемых файлов в формате PE;
- Реализован корректный разбор сигнатур на системах с порядком следования байт "big endian";
- Упрощён код для управления зеркалами в утилите freshclam, уменьшено время игнорирования зеркал после ошибок, учтены задержки в появлении новых сигнатур при загрузке через сети доставки контента;- В код разбора MIME блоков в письмах добавлена обработка несбалансированных кавычек и улучшено выявление вложений в некорректно оформленных письмах;
- В libfreshclam удалена ранее объявленная устаревшей опция AllowSupplementaryGroups, которая уже исключена из freshclam;
- Внесены изменения в API библиотеки libclamav:
- В функции cl_scandesc, cl_scandesc_callback и cl_scanmap_callback добавлен аргумент для передачи имени файла (используется для вывода более информативных ошибок и предупреждений, а также для более осмысленного создания временных файлов);- Опции сканирования из набора битовых полей выделены в структуру с отдельными флагами, что позволит упростить добавление новых опций при возникновении необходимости;
- Объявлена устаревшей функция cl_cleanup_crypto(), которая потеряла смысл после повышения требований к версии OpenSSL (выше 1.0.1), так как процедура очистки вызывается автоматически;
- Опция CL_SCAN_HEURISTIC_ENCRYPTED разделена на две отдельных опции
CL_SCAN_HEURISTIC_ENCRYPTED_ARCHIVE и
CL_SCAN_HEURISTIC_ENCRYPTED_DOC;
- Руководство пользователя сконвертировано из Latex в Markdown и теперь ведётся в данном формате.URL: https://blog.clamav.net/2018/12/clamav-01010-has-been-releas...
Новость: https://www.opennet.me/opennews/art.shtml?num=49714
Никогда не понимал смысла этого антивиря. Понятно что открытые исходники это хорошо. Понятно что он не для линукса, а для проверки почтовых серверов. Но этот антивирь не найдет 99% зловредов (по сравнению с антивирусами от ФСБ/АНБ/ЦРУ), а значит его деятельность по обезвреживанию зловредов на тех же почтовых серверах более чем сомнительна. Так в чем его истинный смысл?
> Но этот антивирь не найдет 99% зловредов от ФСБ/АНБ/ЦРУ
Но ведь не найдет. Так в чем его фишка?
Антивирус от ФСБ/ЦРУ/АНБ не найдет 100% вирусов от ФСБ/ЦРУ/АНБ.
Перевел всех друзей и родственников на линукс - избавил от угрозы.
ахахахх, наивный
Вся фишка "правильных" юникс-подобных систем заключается в том - что, система обслуживает извне пространство юзера, а он сидит в "своей" песочнице и не имеет "root" доступ к основной системе! И эта аксиома ВСЕГДА БЫЛА И БУДЕТ ПАНАЦЕЕЙ -- ПРАВИЛЬНЫХ ОС!
Да, вот только вся беда в том, что вся критичная и важная информация как раз находится в юзерспейсе. И стоит пользователю запустить какой-нить шифровальщик от своего имени и с своими правами и вся ваша хваленая рут- защита- коту под хвост. А если у него еще и вайн стоит- то ваще изи.
Только этот шифровальщик надо еще скомпилить под запущенное ядро ))))
> Только этот шифровальщик надо еще скомпилить под запущенное ядро ))))Что мешает отправить вам бинарник?
Что мешает установить ноекзек на хомяк?
> Что мешает установить ноекзек на хомяк?echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" | sh
> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" | shА клево оно у меня завалится, не найдя вайн...
>> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
>> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" | sh
> А клево оно у меня завалится, не найдя вайн...Это потому что вайн был установлен в хомяк и его первой строкой удалили?
Кстати, какое именно слово в "А если у него еще и вайн стоит - то ваще изи." вам не понятно?Чуть не забыл: для педантов: "rm -rf" отлично заменяестя на "openssl aes-256-ecb ...". Или "zip -e". Или "ccrypt что-то там". Или "вставить еще полдюжины утилит" -- скрипту все едино, перебрать и проверить на наличие может и пару тысяч вариантов.
>> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
>> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" | sh
> А клево оно у меня завалится, не найдя вайн...Это все решается обычной бакулой или rsyncом. Не вижу проблем.
>>> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
>>> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" | sh
>> А клево оно у меня завалится, не найдя вайн...
> Это все решается обычной бакулой или rsyncом. Не вижу проблем.Как это решается бакулой. Насколько я знаю, бакула- это система для бэкапов. Как она спасает от шифровальщика, как от причины, а не от следствия?
>> Что мешает установить ноекзек на хомяк?
> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" |
> shWine??? )))) Зачем он нужен? )))
>>> Что мешает установить ноекзек на хомяк?
>> echo 'basename $0; echo "poor mans ransomware-encrypter"'; rm -rf ~/*'|sh
>> echo "wine ~/svhost.dll.so/wine_ignores_noexec_ElusiveJoe_protection.exe" |
>> sh
> Wine??? )))) Зачем он нужен? )))Ну вас, простите, на гугле забанили. Вы посмотрите что это и для чего его люди используют.
>> Только этот шифровальщик надо еще скомпилить под запущенное ядро ))))
> Что мешает отправить вам бинарник?А что с ним делать? Он 99.999% упадет в сегментфол.
>>> Только этот шифровальщик надо еще скомпилить под запущенное ядро ))))
>> Что мешает отправить вам бинарник?
> А что с ним делать? Он 99.999% упадет в сегментфол.Почему он должен упасть в сегфол?
Не надо! Сам из Snap-овских пакетов себе установишь :)
Если пользователь не думая запускает что ни попадя, то он и под линем, и под виндой, и на маках систему заразит и сломает. От глупости никакой антивирус не поможет.
>Перевел всех друзей и родственников на линукс - избавил от угрозы.Есть у Шнурова песня одна хорошая, ЗОЖ называетя! Послушай, понравится!
За что вы так друзей и родственников ненавидите? %)
А что, на ReactOS будет лучше?
Вы так говорите, словно террорист какой или диверсант. Я, например, не могу даже и представить, чем таким могу заинтересовать вышеупомянутые службы.
> Вы так говорите, словно террорист какой или диверсант. Я, например, не могу
> даже и представить, чем таким могу заинтересовать вышеупомянутые службы.Ну раз так, может выложите тут какую-нить вашу персональную информацию?
Палитесь, майор
Вот пусть Cisco, если такая добрая, сигнатуры к clamav&snort выдаёт тогда да, смысл есть.
У них другая болезнь - пресловутые false positives. В сабже ты можешь выбрать какие сигнатуры использовать, чтобы избежать их по-максимуму.
фолс позитив тока на PUA (ака эвристика на коленке), сигнатурный работает как часики, но даже отсылая им семплы и ссылку на "вирус тотал" они не удосуживаются оперативно добавлять сигнатуры.
как это неудосуживаемся, мы во всю добавляем, присылайте еще.
Правда, добавляем-то мы в коммерческие подписки, но принимаем - от всех, бесплатно.
Спасибо хоть на этом, лучше куплю подписку "вирус тотала", всё в одном.
> Но этот антивирь не найдет 99% зловредовПравда? Откуда такие данные?
Блин, антивирус есть, а вирусов как кот наплакал.
Надо будет написать. Я в своё время баловался в ДОСе примитивщиной для *.com
Только зачем? Денег с этого не получить, а юмора безопасники-истeрички не поймут.
> Блин, антивирус есть, а вирусов как кот наплакал.
> Надо будет написать. Я в своё время баловался в ДОСе примитивщиной для
> *.com Только зачем? Денег с этого не получить, а юмора безопасники-истeрички не поймут.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Дарю. Универсальный, не устаревающий, заставляющий любого уважающего себя антивиря пронзительно и возбужденно хрюкать при обнаружении …
Ха-ха-ха!
C:\src\virus\virus.com: Eicar-Test-Signature FOUND
----------- SCAN SUMMARY -----------
Known viruses: 6425142
Engine version: 0.99.4
Scanned directories: 0
Scanned files: 1
Infected files: 1
Однозначно респект! :)
)))))) это тест на антивирус, если он икар не ловит, значить не стоит его покупать)))))))))))))
> Дарю. Универсальный, не устаревающий, заставляющий любого уважающего себя антивиря пронзительно
> и возбужденно хрюкать при обнаружении …У скольких посетителей опеннета сайт в малварные попал, интересно? :)
> вирусов как кот наплакалА вы браузерный кеш посканируйте :)
Вирусов под винду кот наплакал? Серьёзно? Оно же для почтовых серверов и анализа транзитного траффика, идущего на виндомашины, по идее, а не твоего линуксового компа.
Я говорю про Линукс. Это должно быть вполне понятно из контекста. На виндотрафик мне плевать.
> Я говорю про Линукс. Это должно быть вполне понятно из контекста. На
> виндотрафик мне плевать.Очень опасное заблуждение- под Линуксом я 146% защищен.
там не представлена продукция близких медиа-холдингов, vb/wsh, невянущий Админ, софт и драйверы не устанавливается спонтанно отовсюду, шалить во вреднокод под линукс все так же невыгодно по сравнению с легальным применением знаний
> там не представлена продукция близких медиа-холдингов, vb/wsh, невянущий Админ, софт и
> драйверы не устанавливается спонтанно отовсюду, шалить во вреднокод под линукс все
> так же невыгодно по сравнению с легальным применением знанийНевыгодно потому что процент пользователей низкий, это сейчас сдерживает атаку на десктопный линукс. Вырастет популярность и вредокод станет выгодным, будет как с ведроидом.
win-legacy еще долго протянут, потом еще потянут поддержку портов софта, потом или ишак или.
> Вырастет популярность и вредокод станет выгодным, будет как с ведроидом."Вредокода" под "ведроид" нет. Это штатный функционал еще одного гламурного плеера/будильника/агрегатора/добавьсвое. Зачем юзер это собственноручно поставил из маркета или уж тем более скачал apk-шку - только ему ведомо. По крайней мере, к вирусам все это не имеет никакого отношения.
>> Вырастет популярность и вредокод станет выгодным, будет как с ведроидом.
> "Вредокода" под "ведроид" нет. Это штатный функционал еще одного гламурного плеера/будильника/агрегатора/добавьсвое.
> Зачем юзер это собственноручно поставил из маркета или уж тем более
> скачал apk-шку - только ему ведомо. По крайней мере, к вирусам
> все это не имеет никакого отношения.Дык так можно и про винду сказать. Там вирусов, нет, это просто пользователь открыл письмо/скачал троян и т.д.
Только андроид обычно пишет, какие разрешения требуются для работы приложения. Если пользователь не задумался, зачем фонарику какая-нибудь геолокация и доступ к кошельку - это больше его проблемы. И уж тем более, если пользователь не читает отзывы о приложении.
> Только андроид обычно пишет, какие разрешения требуются для работы приложения. Если пользователь
> не задумался, зачем фонарику какая-нибудь геолокация и доступ к кошельку -
> это больше его проблемы. И уж тем более, если пользователь не
> читает отзывы о приложении.В Android 6 и старше ещё и разрешения можно выборочно отключать, что весьма удобно.
>Лицензия на связующую библиотеку libclamunrar_iface изменена с LGPL на BSD;ну пошло-поехало старое, доброе, вечное опроприетаривание под видом освобождения.
лгпл итак позволяет использование в проприетарщине.
Я вообще про что-то от Rarlabs, анонимус. Зачем в rar пакуют всякие там totolink.ru, когда у материнской totolink.net вобще zip'ы лежат. Сами себе проблемы ищут, потом героически решают распаковывая их для проверки на изначально свободных антивирусах.
А есть ли смысл в антивирусниках в 21м веке? Вот я поставил Linux, и где эти ваши вирусы? Шатай меня полностью, как говорится!
офк их же придумали антивирусные компании
Когда чего-то не видишь, совершенно не означает, что его нет ;)
Хорошая попытка, но нет.
A Wi-Fi есть? ))
Как минимум, для венды и всяких там почтовых серверов и т.п - есть. Главное, не ограничиваться стандартными сигнатурами для сабжа.
Стив Балмер, ты ли это?)
все тот же смысл. дыра в браузере - экспоит- троян и пачка бекдоров. под линь на яве работают, а под юзером вообще лафа и в автозапуск можно прописать. В сторонних репах майнеры и т д попадаются.
Только не пишите что вы там ве у себя закрыли, и к вам это не относится в отличии от всех остальных пользователй, мне плевать.
Не ставь Яву и не используй левые репы.
Смотря какой ты еще "линукс" себе поставил... )
> А есть ли смысл в антивирусниках в 21м веке? Вот я поставил Linux, и где эти ваши вирусы? Шатай меня полностью, как говорится!Есть. Вирусы как вирусы уже давно перестали быть актуальными.
А вот малваря, шеллов, червей, хитроJопых криптомайнеров, троянов и прочей гадости видной в процессах под фейковыми именами (гугли gcc.sh) - хватает и ты даже не представляешь СКОЛЬКО их бегает по среднестатистическим сервакам.
Скажите, у кого-нибудь этот clamav хоть что-то поймал?..
Не знаю хорошо это или плохо, но нет...
Да, ловил, но мало. Лучше, чем ничего, впрочем.
Тебе логи с почтовика запостить? Удивишься
запости
Дважды помогал выловить то, что не ловил ни KAV, ни Dr. Web, ни (в одном случае) ещё какой-то антивирусник.
> ClamAV 0.101Первый выпуск - 2001... через 180 лет ждет релиз? :D
уж лучше так, чем как у firefox'а
Да ЛАДНО! У "мозиллы" не так уж и плохи на сегодняшний день дела... Учитывая той факт, что по сути они уже практически одни остались один на один с "гооглом" и стандарты "вэба" делятся практически /2... Да!.. Есть доминирующее положения "электрона"!. НО! Есть много новшеств и факторов, что даёт надежды на будущее - о достойном соперничестве и конкуренции на рынке "вэба" -- иначе на ВСЕХ ждет полная деградация в этом направлении...
"Деградация" уже давно здесь, если кто не заметил. Огромные "уеб-фреймворки", неконтролируемые репозитории с модулями к ним, бесконечные баннеры на 50% экрана, тотальное отслеживание пользователей и повсеместная "телеметрия", браузеры жрущие по 200-300Мб на вкладку, ничего не забыл?
А то, что внутри у Фокса уже енжин он Хрома ты не учитываешь? ;)
Не надо передергивать.
То что есть отдельные версии для всяких мобилок, которые по сути обертка, не изменяет факта собственного движка в десктопной версии.
А потом как отбросят резко незначащее первое число номера версии.
Его бы раз в 20 убыстрить, тогда он может и больше вирусов находил, а так мне кажется никто не дожидается конца проверки Кламавом :)