URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 65552
[ Назад ]

Исходное сообщение
"Релиз свободного антивирусного пакета ClamAV 0.96"

Отправлено opennews , 05-Апр-10 10:59 
Представлен (http://lurker.clamav.net/message/20100331.203901.0d247020.en...) релиз свободного антивирусного пакета ClamAV 0.96 (http://www.clamav.net) в котором представлен новый механизм выявления вредоносного ПО и отмечены значительные улучшения в системе сканирования файлов.


Пользователям старых версий  ClamAV необходимо запланировать проведение обновления, так как начиная с 15 апреля будет полностью заблокирована (https://www.opennet.ru/opennews/art.shtml?num=23751) работа всех версий младше 0.95. Подобная блокировка производится с целью оптимизации формата базы сигнатур, а именно для обеспечения поддержки вирусных сигнатур размером превышающим 980 байт, которые принципиально невозможно реализовать без нарушения совместимости со старыми версиями. Отключение старых версий будет инициировано передачей специальной сигнатуры в последнем обновлении CVD базы для версий 0.94.x.

Ключевые улучшения ClamAV 0.96:


-  В библиотеку LibClamAV встроен интерпретатор байткода, ...

URL: http://lurker.clamav.net/message/20100331.203901.0d247020.en...
Новость: https://www.opennet.ru/opennews/art.shtml?num=26090


Содержание

Сообщения в этом обсуждении
"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Viliar , 05-Апр-10 10:59 
К сожалению, еще больше памяти стал жрать. Похоже, это у них постоянная тенденция :-(

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Аноним , 05-Апр-10 11:47 
К сожалению это не только у них. Видимо надо где-то хранить постоянно увеличивающуюся базу сигнатур.

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Viliar , 05-Апр-10 12:48 
Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с той же базой.

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено tux2002 , 05-Апр-10 13:24 
>Там даже дело не в базе сигнатур. 0.95 вполне себе запускается с
>той же базой.

Там написано <0.95. 0.95 должна работать.


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено NicK , 05-Апр-10 12:00 
когда у них монитор появится, интересно

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Victor , 05-Апр-10 12:08 
> В clamd добавлена поддержка DazukoFS, позволяющего организовать антивирусную проверку на лету, путем отслеживания фактов создания или модификации файлов;

Файловый монитор по сути.


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено tux2002 , 05-Апр-10 12:26 
>когда у них монитор появится, интересно

Можно использовать clamfs.


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено AlanMakoev , 05-Апр-10 14:57 
Дык вроде есть - через dazuko (подробностей не скажу - не щюпал :))

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено User294 , 05-Апр-10 14:39 
> полностью заблокирована работа всех версий младше 0.95.

Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно, а дебианщики уже одели каски и пристегнули ремни? А то там 0.94... :)

> будет инициировано передачей специальной сигнатуры

Хм... я все понимаю, антивирус для отлова вирусов, должен быть актуален, блаблабла. Но кто будет проверять проверяющего?!

> а также удаленно поставлять расширяющие функциональность сканера модули;

Все круто, кроме того что похоже, враг уже внутри :). С такими свойствами скоро впору будет от самого антивируса защищаться.


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Greignar , 05-Апр-10 15:24 
>Один из наглядных примеров когда некромансия может выйти боком. Кстати да, интересно,
>а дебианщики уже одели каски и пристегнули ремни? А то там
>0.94... :)

А это какая версия - 0.95.3+dfsg-1~volatile1

Для такого рода пакетов в Дебиане есть специальный репозиторий - volatile.debian.org/debian-volatile


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено AlanMakoev , 05-Апр-10 15:12 
Если честно, в кламе я разочаровался после случая, когда сам отловил файлег на виндовой машинке, который на тот момент не детектил ни установленный nod32 (куплен организацией), ни drwebwcl с clamwinportable (в BartPE).
В PE-среде оффлайново просмотрел системный реестр заражённой машины и нашел в HKLM\SW\MS\WinNT\CurVer\Win\AppInit_DLLs ссылку на файл.
Перетащил его в другой каталог, загрузился, а потом отправил в ClamAV - так тот и через две недели его не детектил.



"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено NNIIL , 05-Апр-10 15:32 
нет чтобы помочь разработчикам и отправить им файл. Ведь они не боги, и не могут вовремя находить всех вирусов (представьте сколько для этого нужно тратить времени!). И это касается всех антивирусов

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено AlanMakoev , 06-Апр-10 00:56 
Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Аноним , 06-Апр-10 09:18 
> Именно что выслал. Описал, как себя проявляет, как я его выцепил - вобщем, выложил все сведения, какие имел. Выждал время, обновился - в упор не видит.

А через что вы отправляли им файл? Через http://www.clamav.net/lang/ru/sendvirus/ ? А разработчики Вам ответили? Где ссылка на добавленную сигнатуру? Я отправлял три штуки, все были добавлены достаточно быстро (в течении нескольких дней)


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено User294 , 05-Апр-10 22:24 
А знаете, я натыкался на ситуации когда каспер, веб, нортон и кто там еще не детектили файлик. Предлагаю тоже записать их в отстой. Может быть дело в том что сперва появляется вирус а только потом о нем узнают по репортам от юзеров? :)

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено AlanMakoev , 06-Апр-10 01:07 
Насколько я могу судить, они чаще автоматом получают подозрительные файлы, на которые обратил внимание эвристический анализатор. Плюс сведения об успешных эксплойтах от спецов по выявлению уязвимостей, доложенные на разного рода тусовках типа Дефкона. Впрочем, я в этой отрасли не варился, наверняка судить не могу.
Как бы то ни было, на virusscan.jotti.org вирус, который ещё вчера был новым, на следующий день детектят почти все.
И, знаете, если антивирь, которым я пользуюсь, что-то не ловит, я не ленюсь поделиться с разработчиками найденным файлом.

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено User294 , 06-Апр-10 16:48 
>Насколько я могу судить, они чаще автоматом получают подозрительные файлы, на которые
>обратил внимание эвристический анализатор.

Ни разу не видел чтобы эвристик поймал что-то кроме забористых глюков. Зато видел как эвристики давили ... сетап мылруагента :) (ату его!), рар (варез-зло!), официальную аську(действительно, маздай!), пару заведомо безобидных прог (за что?!) и прочая(юзерам дестрой прог на диске по рандому-доставляет!). А вот например почти стандартный вариант пинча упакованный известным FSG (в clamav для него есть модуль распаковки даже) - ни один из чудо-эвристиков ни в 1 антивирилке почему-то проблем не узрел. И узревать стали только после рассылки сэмплов. Хотя условия теплиные - простой в распаковке пакер, почти стадартный и дико популярный у юных сракеров троянец который почти не модифицирован. Ессно отсылал сэмплы вручную. В гробу я видел автоматические отсылки, это само по себе троянство. И что-то не помню чтобы хоть 1 антивирь автоматически куда-то что-то слал кроме корпоративного симантека (который сливает наловленное зверье админам, IIRC). Только он тоже такую связку "ниасилил". У меня возникло ощущение что от эвристиков часто вреда больше чем пользы.

>Плюс сведения об успешных эксплойтах от спецов
>по выявлению уязвимостей, доложенные на разного рода тусовках типа Дефкона.

Да что там эксплойты, половина дерьма в интернете всего лишь обычные трояны. Которые длб, особенно качающие варез сами же и запускают. Вместе с кряками и варезом. Или выкачивают под видом безобидных программ, "кульных фоток" и прочая.

>на следующий день детектят почти все.

Как повезет. Я например видел вопли нортона через две недели :) после ручного смотрения глазами общедоступного эксплойта, убирания его в постороннюю папочку и прочая. Орлы, однако.

>И, знаете, если антивирь, которым я пользуюсь, что-то не ловит, я не
>ленюсь поделиться с разработчиками найденным файлом.

Я тоже, только это уже несколько лет малоактуально, под линухами вирье как-то не донимает. Так, иногда по старой памяти выношу всякую срань в виндах, но имхо лучше всего - когда геморрой не у меня :)


"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Аноним , 06-Апр-10 22:36 
юзер, колись где у тебя венда стоит?

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено Аноним , 05-Апр-10 17:56 
А есть у него санер памяти? что бы по сигнатурам искал в памяти?

"Релиз свободного антивирусного пакета ClamAV 0.96"
Отправлено АП , 09-Апр-10 05:08 
Под виндой (у ClamWin) -- есть.