Marcadores
Postado por

44. Mais poder para o ClamAV

Se você leu nossa postagem anterior sobre o ClamAV (38. ClamAV - O Melhor Antivírus para Linux!), o melhor — e provavelmente único — antivírus para Linux, então vai gostar dessa aqui. Vamos aprender a incluir bancos de dados (assinaturas) de vírus adicionais para nosso ClamAV, ampliando a gama de viroses digitais que ele consegue identificar e excluir.

Esse artigo foi inspirado, neste vídeo do canal Drops Tech Linux: Transforme o Clamav no melhor antivirus para Linux! (Melhor que pago!). Inclusive a lista de bancos de dados de viroses foi tirado da comunidade do canal lá no Telegram. Recomendo!

ALERTA: essas listas podem resultar no aumento de falsos positivos!!!

Para minimizar esse efeito eu retirei da lista a seguir aqueles com incidência Média e Alta de Falsos Positivos. Ou seja, ficaram apenas os bancos de dados com incidência Baixa.

Se seguir este guia pode ser útil sempre criar um arquivo de log, e mover os arquivos para uma quarentena em vez de apagá-los:

$ clamscan -i -r --bell --move=/pasta/de/quarentena --log=/pasta/do/arquivo.log /pasta/de/varredura

No Linux, esse script é muito útil para restaurar arquivos da quarentena usando o arquivo de log criado: clamav-quarantine-recover.

Instalando Bancos de dados adicionais

Primeiramente, copie a lista de viroses a seguir, e salve num arquivo de texto. No meu exemplo vou usar o nome repos_assin_clamav.txt.

# Malware
DatabaseCustomURL https://cdn.malware.expert/malware.expert.ndb
DatabaseCustomURL https://cdn.malware.expert/malware.expert.hdb
DatabaseCustomURL https://cdn.malware.expert/malware.expert.ldb
DatabaseCustomURL https://cdn.malware.expert/malware.expert.fp

# Sanesecurity
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/Sanesecurity_BlackEnergy.yara
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/Sanesecurity_sigtest.yara
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/Sanesecurity_spam.yara
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/blurl.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/crdfam.clamav.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/doppelstern-phishtank.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/doppelstern.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/doppelstern.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/hackingteam.hsb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/junk.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/jurlbl.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/malwarehash.hsb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/rogue.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/scam.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/scamnailer.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/spamattach.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/spamimg.hdb

# Winnow
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/winnow.attachments.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/winnow_bad_cw.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/winnow_extended_malware.hdb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/winnow_malware.hdb

# Bofhland
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/bofhland_cracked_URL.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/bofhland_malware_URL.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/bofhland_phishing_URL.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/bofhland_malware_attach.hdb

# Porcupine
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/phishtank.ndb
DatabaseCustomURL https://ftp.swin.edu.au/sanesecurity/porcupine.hsb

# Maldet
DatabaseCustomURL https://www.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL https://www.rfxn.com/downloads/rfxn.hdb

Agora abra o arquivo de configuração do ClamAV com o editor de sua preferência. Eu gosto de usar o terminal mesmo, mas você pode usar editores gráficos como gedit (ou xed no Mint), dese que os abra como superusuário. O comando sudoedit vai abrir o editor de terminal que você configurou como padrão. No meus caso é o nano.

$ sudoedit /etc/clamav/freshclam.conf

Copie a lista de bancos de dados de viroses acima, e cole no final do arquivo freshclam.conf, abaixo de tudo. Para colar no terminal use ctrl + shift + v. Salve e saia.

Agora vamos interromper o freshclam e forçar a atualização dos bancos de dados de viroses. Temos que encontrar o PID, para matá-lo:

$ ps -e | grep freshclam

O número que aparecer na primeira coluna é o PID do processo que queremos matar:

$ sudo kill <número>

Ou, em uma única linha:

$ ps -e | grep freshclam | column -t | cut -d' ' -f1 | xargs sudo kill

Execute a atualização:

$ sudo freshclam

Quando terminar, inicie o processo de novo:

$ sudo /etc/init.d/clamav-freshclam start

ou

$ sudo systemctl start clamav-freshclam

Removendo Bancos de dados adicionais

Caso não tenha gostado do resultado, apague todos os bancos de dados baixados:

$ sudo rm /var/lib/clamav/*

Edite o freshclam.conf de novo, apagando as listas adicionais. Salve e saia. Depois siga os passos do tópico anterior, desde a interrupção do processo do freshclam em diante.

Marcadores:
Local: Atibaia, SP, Brasil

Comentários

Postar um comentário