Tabela de Conteúdos

Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.

3.6.1 ClamAV

Objetivo

Instalação do pacote anti-vírus ClamAV. Este pode posteriormente ser integrado num sistema de filtragem de emails ou ficheiros.

Instalação

root@server:~# aptitude install clamav clamav-docs clamav-daemon clamav-freshclam

Para que o ClamAV possa verificar ficheiros compactados, devem ser também instalados alguns pacotes para descompactar ficheiros:

root@server:~# aptitude install arc arj bzip2 cabextract lzop nomarch p7zip pax tnef unrar-free unzip zoo

Se tiver acesso aos 2.2.4 Repositórios “non-free”, é possível instalar mais alguns pacotes:

root@server:~# aptitude install lha unrar

Configuração

A atualização da base de dados de assinaturas de vírus é descarregada da Internet pelo daemon clamav-freshclam 24 vezes ao dia. No entanto, essa periodicidade pode ser alterada no ficheiro /etc/clamav/freshclam.conf:

/etc/clamav/freshclam.conf
# [...]
# Check for new database 24 times a day
Checks 24

# [...]

Caso se pretenda utilizar um servidor proxy para aceder à Internet, deve-se alterar a configuração também em /etc/clamav/freshclam.conf:

/etc/clamav/freshclam.conf
# [...]
# 
HTTPProxyServer proxy.home.lan
HTTPProxyPort 3128

Reiniciar o serviço, para ter em conta as alterações de configuração:

server:~# /etc/init.d/clamav-freshclam restart

Após a instalação, deve ser feita a atualização da base de dados de assinaturas de vírus.

root@server:~# freshclam
ClamAV update process started at Thu May  9 17:39:08 2013
main.cvd is up to date (version: 54, sigs: 1044387, f-level: 60, builder: sven)
daily.cvd is up to date (version: 17172, sigs: 1229899, f-level: 63, builder: jesler)
bytecode.cvd is up to date (version: 214, sigs: 41, f-level: 63, builder: neo)

As futuras atualizações serão feitas automaticamente, várias vezes por dia.

Finalmente reiniciar o daemon clamav-daemon:

server:~# /etc/init.d/clamav-daemon restart

Verificação

A distribuição debian disponibiliza um pacote de ficheiros de testes “infectados” com uma assinatura de um falso vírus. O clamAV deverá ser capaz de identificar correctamente os ficheiros de teste “infectados”.

Instalar o pacote de testes:

root@server:~# aptitude install clamav-testfiles

Efectuar os testes:

root@server:~# clamscan /usr/share/clamav-testfiles/
/usr/share/clamav-testfiles/clam-fsg.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.arj: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ole.doc: ClamAV-Test-File FOUND
#[...]
/usr/share/clamav-testfiles/clam-v3.rar: OK
/usr/share/clamav-testfiles/clam-nsis.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.rtf: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.ea06.exe: ClamAV-Test-File FOUND

----------- SCAN SUMMARY -----------
Known viruses: 1044387
Engine version: 0.97.8
Scanned directories: 1
Scanned files: 46
Infected files: 44
Data scanned: 12.48 MB
Data read: 6.21 MB (ratio 2.01:1)
Time: 4.380 sec (0 m 4 s)

A listarem indica os ficheiros pesquisados e a assinatura do falso “vírus” encontrado (ClamAV-Test-File FOUND) e o sumário indica que foi encontrada a assinatura de “vírus” em 44 dos 46 ficheiros verificados.

Testar também o daemon clamdscan:

root@server:~# clamdscan /usr/share/clamav-testfiles/
/usr/share/clamav-testfiles/clam.pdf: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.chm: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.sis: ClamAV-Test-File FOUND
#[...]
/usr/share/clamav-testfiles/clam_IScab_int.exe: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.bin-le.cpio: ClamAV-Test-File FOUND
/usr/share/clamav-testfiles/clam.exe.rtf: ClamAV-Test-File FOUND

----------- SCAN SUMMARY -----------
Infected files: 44
Time: 1.048 sec (0 m 1 s)

O anti-vírus está agora pronto para ser usado manualmente ou integrado noutros sistemas e serviços.

O pacote de testes pode agora ser removido:

root@server:~# aptitude remove clamav-testfiles
Sugestão

Para deteção de vírus, podem ser utilizados os comandos clamscan e clamdscan. No entanto, a segunda forma clamdscan é muito mais rápida, uma vez que sendo um daemon, está já carregada em memória, ao contrário do comando clamscan, que deve ser lido do disco para a memória cada vez que é invocado. (Ver os tempos de execução de um e de outro nos exemplos acima).

Referências