ClamAV-portable

PUPPYアプリケーションパッケージ、PETやSFSなどの話題です

モデレータ: 暇人, YoN, nyu

返信する
アバター
シノバー
記事: 3138
登録日時: 09/03/21(土) 00:05
連絡する:

ClamAV-portable

投稿記事 by シノバー »

作ってみたのですが、この手のものはけっこう危険なので、開発者のコーナーに挙げておきます。

ClamAV はオープン・ソースのセキュリティソフトです。もともとは Linuxによるメールサーバーを通過するメールに付いてくるウィルスをチェックするものだったそうです。いまは Windows/Mac/Linux のマルチプラットホーム。
ウィキペディア

これをパピー上でGUIを付けたものが Clamvtk。ヒスパニック(南米スペイン語圏)のフォーラムを中心に開発されたもの。

パピーでは、かってウィルス対策ソフトを簡単にインストールできるようになっていました。いまはBaryさん作成のAvastのPETなどが入手できます。こうしたソフトはウィルス・データベースがたいへん大きいですし、スキャン時のログもけっこう大きくなります。と、いうわけでポータブル化しようと思ったものです。

ポータブル化するためにオリジナルのスクリプトに手を入れました。また ClamAV本体は最新版を 431JP2012上でコンパイルしました。
./configure --host=i486-t2-pc --prefix=/opt/clamav

もちろん、もともとパピーにウィルス対策は不要です。というか、Linuxをターゲットのウィルスは登録されていないだろうし、パピー自身に対しての効果はまったくありません。ただ Windowsと同居の場合、とりわけサポート終了の Xpをまだ使いつづけてるケースで有効かと思います。パピー上で動かしているWineにも効果があるかもしれません。

少し試し、危険だと思ったことがあります。ウィルスとして検出されたものが、本当?と疑うものもあります。こういったスキャンではどうしてもグレーゾーンがあり、それをどう処置するかが問題です。コマンド clamscan のオプションでコントロールできますが、このGUI、 Clamvtk では検出されたウィルスを隔離部屋に移動するようにしています。データファイルはそれで良いのですが、システムファイルに対してそれをすると、システムに支障の出ることがあります。

データ領域のスキャンは構いませんが、システム領域のスキャンについてはくれぐれもご注意ください。自己責任ということでお願いします。明らかに過剰検出で、システムに必要なファイルであった場合、ウィルス隔離部屋に残してあるログを参照し、もとの場所に戻してください。

前置きが長くなりました。clamav-portable-0.2.tar.gz をダウンロードし、パピースペースの外(/mnt 以下)で展開してください。
http://shino.pos.to/party/bridge.cgi?puppy/opt/
571JPと 431JP2012上で試し、どちらでも動作することを確認。

情報元は 極楽はぜさんのブログ記事です。そちらを見ていただくとGUIの使い方も分かるかと思います。
メニューの 2 はデータベースの定期更新ですが、ポータブルの趣旨には反しますね。データベース更新はスキャン直前にやればよいので、じっさいの運用は 1→3→4 という流れになります。
添付ファイルを見るにはパーミッションが必要です
最後に編集したユーザー シノバー [ 14/06/09(月) 20:27 ], 累計 2 回
The bar master, Shino's Bar
http://shinobar.net/
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: Clamav-portable

投稿記事 by ふうせん Fu-sen. »

シノバー さんが書きました:少し試し、危険だと思ったことがあります。ウィルスとして検出されたものが、本当?と疑うものもあります。こういったスキャンではどうしてもグレーゾーンがあり、それをどう処置するかが問題です。コマンド clamscan のオプションでコントロールできますが、このGUI、 Clamvtk では検出されたウィルスを隔離部屋に移動するようにしています。データファイルはそれで良いのですが、システムファイルに対してそれをすると、システムに支障の出ることがあります。

データ領域のスキャンは構いませんが、システム領域のスキャンについてはくれぐれもご注意ください。自己責任ということでお願いします。明らかに過剰検出で、システムに必要なファイルであった場合、ウィルス隔離部屋に残してあるログを参照し、もとの場所に戻してください。
自分もこの点に注意を促します。(そのために上記をあえて引用します)
ふうせん Fu-sen. ( old: 2 8 6 )
アバター
シノバー
記事: 3138
登録日時: 09/03/21(土) 00:05
連絡する:

過剰検出?

投稿記事 by シノバー »

自分のノートパソコン上の Windows Xp をスキャンしました。このノートは中古で購入したもので、中古屋さんでリカバリ済み(SP2?)のものを、その後アップデートを繰り返し、現在 SP3の最新状態。Windowsはめったに使わないので、セキュリティソフトは入れてません。

感染ファイルとして検出されたものを貼り付けます。

いずれも削除しても Windows Xpの動作には支障ないみたい。
サービスパックのアンインストールにもしかしたら要るのかもしれないものがあるけど、まあ不要でしょう。
Gimpの中のファイルも.debug などと付いているので、通常動作には支障ないでしょう。
VBE6.DLL……もしかして VisualBasicのシステムファイル?
excelcnv.exe ……何だったっけ。

コード: 全て選択

/initrd/mnt/dev_save/System Volume Information/_restore{33F97C67-D293-4D94-861F-FE70AE4F91A1}/RP68/A0013064.rbf: W32.Virut.Gen.D-163 FOUND
/initrd/mnt/dev_save/WINDOWS/system32/drivers/update.sys: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/WINDOWS/ServicePackFiles/i386/update.sys: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/WINDOWS/$NtServicePackUninstall$/update.sys: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/Common Files/Microsoft Shared/VBA/VBA6/VBE6.DLL: W32.Virut.Gen.D-159 FOUND
/initrd/mnt/dev_save/Program Files/GIMP 2/lib/gimp/2.0/python/gimp.pyd.debug: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/GIMP 2/lib/gimp/2.0/python/gimpcolor.pyd.debug: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/GIMP 2/lib/gimp/2.0/python/gimpthumb.pyd.debug: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/GIMP 2/lib/gimp/2.0/python/_gimpenums.pyd.debug: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/GIMP 2/lib/gimp/2.0/python/_gimpui.pyd.debug: Heuristics.Broken.Executable FOUND
/initrd/mnt/dev_save/Program Files/Microsoft Office/Office12/excelcnv.exe: W32.Virut.Gen.D-163 FOUND
最後に編集したユーザー シノバー [ 14/06/09(月) 13:18 ], 累計 2 回
The bar master, Shino's Bar
http://shinobar.net/
アバター
シノバー
記事: 3138
登録日時: 09/03/21(土) 00:05
連絡する:

Re: 過剰検出?

投稿記事 by シノバー »

シノバー さんが書きました:excelcnv.exe ……何だったっけ。

コード: 全て選択

/initrd/mnt/dev_save/Program Files/Microsoft Office/Office12/excelcnv.exe: W32.Virut.Gen.D-163 FOUND
Microsoft Office 2007 互換コンバータ、2007以降の形式の excel などのファイルを 2003以前の形式 .xls に変換するものです。
Microsoft からダウンロード、再インストールしました。該当ファイルを調べたところ、以前にPC内にあったものと、再インストール後のものは、微妙に異なっていました。

以前にPC内にあったファイルは改変された恐れがある。すなわち、このケースで ClamAVが感染ファイルと判断したのは正しい可能性が高い。
疑ってゴメン。 :)
The bar master, Shino's Bar
http://shinobar.net/
アバター
シノバー
記事: 3138
登録日時: 09/03/21(土) 00:05
連絡する:

Heuristics.Broken.Executable

投稿記事 by シノバー »

571JPのシステム (/ 以下) をスキャンした結果、3つが感染ファイルとして検出されました。

コード: 全て選択

/usr/bin/xli: Heuristics.Broken.Executable FOUND
/usr/sbin/bootlace.com: Heuristics.Broken.Executable FOUND
/bin/e3: Heuristics.Broken.Executable FOUND
この「Heuristics.Broken.Executable」とはウィルス名ではなく、破損している恐れのある実行可能プログラムを ClamAVが検出したものらしい。ネットで情報がありました。
http://d.hatena.ne.jp/ytooyama/20101029/1288369031

過剰に検出し、システムの動作を止めることも多いようです。設定でこの検出を禁止することができるようです。
The bar master, Shino's Bar
http://shinobar.net/
アバター
シノバー
記事: 3138
登録日時: 09/03/21(土) 00:05
連絡する:

clamav-portable-0.2

投稿記事 by シノバー »

とりあえず DetectBrokenExecutables=no をデフォルトとしたものをアップしました。
clamav-portable-0.2.tar.gz をダウンロードし、パピースペースの外(/mnt 以下)で展開してください。
http://shino.pos.to/party/bridge.cgi?puppy/opt/
The bar master, Shino's Bar
http://shinobar.net/
返信する