Xmegacs
"Lo importante es compartir"

Ubuntu Clamav Antivirus

  • Categoría: Linux
  • Publicado hace más de 1 año









 
HISTORIA

El proyecto ClamAv Antivirus fue fundado en el año 2001 por Tomasz Kojm. Actualmente tiene una implantación superior a los 500 000 servidores en todo el mundo. ClamAV nació como un proyecto opensource que pretende identificar y bloquear virus en el sistema. El primer objetivo de ClamAv fue combatir el correo electrónico malware. Como consecuencia de ello, ClamAv se está usando en un número elevado de email servers.
 
 Gracias a la colaboración de varias compañías, universidades y otras organizaciones ha sido posible para el proyecto ClamAV poseer una red extensa de distribución mirror rápida y fiable en todo el mundo.

DESARROLLO Y ESTRUCTURA



El objetivo primario de ClamAV es la consecución de un conjunto de herramientas que identifiquen y bloqueen el malware provieniente del correo electrónico. Uno de los puntos fundamentales en este tipo de software es la rápida localización e inclusión en la herramienta de los nuevos virus encontrados y escaneados. Esto se consigue gracias a la colaboración de los miles de usuarios que usan ClamAv y a sitios como Virustotal.com que proporcionan los virus escaneados.
 
 Otra pieza clave de ClamAV es el soporte de desarrolladores que posee en todo el mundo; esta red de desarrolladores global posibilita una rápida reacción ante cualquier evidencia de un nuevo virus.
 
 El proyecto ClamAV se desarrolla gracias a una red de contribuidores (proporcionan patches, información de bugs, soporte técnico y documentación). Por otro lado, existe una serie de personas e instituciones que colaboran con donaciones a la realización del proyecto. Existe un comité de dirección que supervisa y coordina el proyecto siguiendo los patrones de La Catedral y el Bazar.
INSTALACIÓN

 
En Ubuntu y derivados como Xubuntu, Lubuntu o Linux Mint, entre otros muchos, esta es la sentencia:

 
 
 
$ sudo apt-get install clamav



Para instalar ClamAV en Debian debes hacerlo como usuario Root y puedes utilizar apt-get o aptitude indistintamente

 
 
$ su

# aptitude install clamav



Si utilizas Fedora, o alguna otra distribución derivada de Red Hat, puedes hacerlo con yum:

 
 
$ su

# yum install clamav


 Y en lo que respecta a Arch Linux, la sentencia es la que sigue:

 
 
$ su

# pacman -S clamav

 
ACTUALIZACIÓN DE LA BASE DE DATOS
 

 Una vez instalado en nuestro sistema, lo primero que deberías hacer es actualizar la BBDD de firmas de virus de ClamAV.
 
 Para ello, deberás poseer permisos de superususario, por lo que en Ubuntu deberás utilizar siempre el comando ‘sudo’ delante, y en Debian logueandote primero como Root mediante el comando ‘su’.
 
 Normalmente, el paquete freshclam se instala como dependencia con la instalación del paquete principal, pero en caso de que no sea así, puedes instalarlo manualmente con este sencillo comando:
 
 Para instalar el paquete freshclam en Ubuntu y derivados:
 
 
$ sudo apt-get install clamav-freshclam


 Con esto ya podemos pasar a comprobar si existen actualizaciones en la base de datos de firmas de virus. Hacerlo es tan sencillo como abrir una terminal y teclear:
 

 
$ sudo freshclam

 Esto hará básicamente un check rápido de la base de datos y mirará si todas las firmas están actualizadas. En caso de que no lo estén, las actualizará.
 
 Si obtienes un error al intentar actualizar el programa, es posible que sea porqué el demonio de actualizaciones freshclam no está habilitado.
 
 Normalmente debería venir habilitado por defecto, pero en caso de no ser así, sigue estas líneas porqué más adelante tienes explicado como comprobar si está habilitado en segundo plano, y en caso contrario, habilitarlo manualmente.
 
 
 
 
SCANEA MANUALMENTE

 

La sintaxis de ClamAV a la hora de hacer análisis manuales es muy sencilla, pero es verdad que a medida que vayas conociendo sus opciones
 
 verás que puedes llegar a construir comandos bastante largos. En general la sintaxis suele ser:
 
 
$ clamscan -[parámetros] [ruta de carpeta]

 
 Antes de nada, es importante tener en cuenta que en Linux, por defecto un usuario solo tenemos permisos sobre su directorio personal dentro de /home, y acceder a una carpeta del sistema siempre requerirá permisos de root. Por esta razón, es poco probable que un virus se almacene más allá del directorio /home, a no ser que nosotros mismos le hayamos dado el permiso.
 
 Para escanear tu directorio personal de manera recursiva, es decir, pasando archivo por archivo, puedes utilizar este comando:
 
 
$ sudo clamscan -r /home


 Con la opción ‘-r’, lo que le indicamos a ClamAV es que haga un análisis recursivo, es decir, pasando por todos los subdirectorios.
 
 Para hacer un escaneo profundo de todo tu sistema, puedes utilizar el siguiente comando:
 
 
$ sudo clamscan -r /


 Con ‘/’, lo que le indicamos a ClamAV es que haga un análisis de todo el sistema, ya que ‘/’ representa la raíz del sistema.
 
 En caso de que te haya detectado uno o más archivos infectados, para evitar tener que buscarlos entre todos los archivos escaneados, puedes repetir el análisis pero indicando que se muestren por pantalla solo los archivos infectados.
 
 
 $ sudo clamscan -r -i /home

 Con esto estaremos haciendo un análisis recursivo de nuestra carpeta /home, y se irán mostrarán por pantalla solamente las infecciones.
 
 Otra interesante opción es la que te permite indicar a ClamAV que haga sonar un pitido cada vez que detecte un archivo infectado durante el escaneo.
 
 
$ sudo clamscan -r --bell /home


 También tienes la posibilidad de guardar un reporte del análisis en un archivo aparte que se creará en tu directorio personal.
 
 
$ sudo clamscan -r /home -l archivo.txt

 Con esto comando estarás realizando un escaneo recursivo de tu carpeta /home, y al finalizar se creará un reporte completo en el archivo archivo.txt.
 
 Si quieres conocer más opciones de escaneo, puedes imprimir la pantalla de ayuda en la terminal mediante este comando:
 
 
$ clamscan --help



COMO SCANEAR UNA PARTICIÓN EXTERNA O UNIDAD USB

 Para analizar un disco duro externo, un Pendrive, u otra partición dentro del mismo disco duro, lo único que tendremos que cambiar es el output final de la ruta.
 
 Para comprobar la ruta, o el nombre de identificador de un volumen en concreto, puedes ayudarte de este comando:
 
 
$ sudo fdisk -l

 Esto te mostrará el la ruta con el nombre de identificador de cada volumen. Las diferentes particiones del disco interno se identifican como sda o hdb, mientras que los discos externos conectados por USB son los sdb.
 
 DEBES ESTAR COMO USUARIO ROOT



Estas rutas serán las que deberás indicarle a ClamAV para especificar en que volumen de disco quieres que haga el análisis.
 
 

SCANEAR UNIDADES NTFS

Creá un directorio en el que vas a montar la partición:
 
 
$ mkdir /media/windows


 Montamos dicha partición (en nuestro ejemplo, /dev/sdb1) con el comando:
 
 
$ mount /dev/sdb1 /media/windows

Desmontar unidad

$ umount /media/windows

 Ahora creamos una carpeta temporal donde se ubicaran nuestros archivos infectados.
 
 
$ mkdir /tmp/virus

 Ahora ejecutá el escaneo de la siguiente forma (esto tomara un tiempo, dependiendo de la capacidad de tu disco rígido y el espacio ocupado)
 
 
$ clamscan -v -r –bell –move /tmp/virus –log /tmp/virus.log /media/windows


 Las instrucciones de clamav arriba mencionandas son para lo siguiente:
 
 -v: verbose – Imprime los detalles del escaneo
 -r: recursive – Revisa todos los archivos y directorios
 –bell: bell – Hace un ruido cuando un virus es detectado
 –move: Mueve los virus al directorio /tmp/virus/ Para borrarlos directamente usá el parámetro –remove=yes
 –log: Guarda un log de todos los archivos en /tmp/virus.log
 /media/windows: Este es el directorio a escanear donde tendremos nuestra particion de windows montada
 
 no se incluye en el ejemplo, pero usando el parámetro –exclude podés exlcuir determinado tipo de archivos. Ejemplo: –exclude=.avi
 
 
 
ELIMINAR AMENAZAS DETECTADAS

 
Si se ha detectado algún archivo infectado durante el análisis, queda el importante paso de removerlo. Antes de hacer esto es importante haber hecho primero un escaneo normal sin eliminar nada, para estar realmente seguro de lo que vas a eliminar.
 
 Una vez estás seguro de que se puede eliminar el archivo, con ClamAV puedes remover automáticamente todos los virus detectado en un escaneo con simplemente añadir la opción remove entre los parámetros de escaneo. Aquí tienes un par de ejemplos
 
 Escanear el directorio /home de modo recursivo, y eliminar los archivos infectados al momento (sin previa notificación).
 
 
$ sudo clamscan -r --remove /home

 Y ya puestos, podemos hacer que durante el escaneo se vayan mostrando solo los archivos infectados. Para ello añadimos el parámetro -i, como habrás visto más arriba:
 
 
$ sudo clamscan -r -i --remove /home

 Escanear la partición de Windows 7, que en este caso corresponde al identificador sda2, y eliminar todos los archivos detectados:
 
 
$ sudo clamscan -r --remove /media/sda2

 
EJECUTAR DEMONIOS


Para que no tengamos que estar continuamente analizando carpetas, vamos a ejecutar un daemon en segundo plano, tanto de ClamAV como de Freshclam:
 
 
$ sudo /etc/init.d/clamav-daemon start


CLAMAV HELP
 


ClamAV tiene bastante parámetros de configuración. Para conocerlos todos, introducid el siguiente comando:

 
 
$ clamscan --help

                       Clam AntiVirus Scanner 0.98.6
           By The ClamAV Team: http://www.clamav.net/about.html#credits
            2007-2009 Sourcefire, Inc.

    --help                -h             Print this help screen
    --version             -V             Print version number
    --verbose             -v             Be verbose
    --archive-verbose     -a             Show filenames inside scanned archives
    --debug                              Enable libclamav's debug messages
    --quiet                              Only output error messages
    --stdout                             Write to stdout instead of stderr
    --no-summary                         Disable summary at end of scanning
    --infected            -i             Only print infected files
    --suppress-ok-results -o             Skip printing OK files
    --bell                               Sound bell on virus detection

    --tempdir=DIRECTORY                  Create temporary files in DIRECTORY
    --leave-temps[=yes/no(*)]            Do not remove temporary files
    --database=FILE/DIR   -d FILE/DIR    Load virus database from FILE or load
                                         all supported db files from DIR
    --official-db-only[=yes/no(*)]       Only load official signatures
    --log=FILE            -l FILE        Save scan report to FILE
    --recursive[=yes/no(*)]  -r          Scan subdirectories recursively
    --allmatch[=yes/no(*)]   -z          Continue scanning within file after finding a match
    --cross-fs[=yes(*)/no]               Scan files and directories on other filesystems
    --follow-dir-symlinks[=0/1(*)/2]     Follow directory symlinks (0 = never, 1 = direct, 2 = always)
    --follow-file-symlinks[=0/1(*)/2]    Follow file symlinks (0 = never, 1 = direct, 2 = always)
    --file-list=FILE      -f FILE        Scan files from FILE
    --remove[=yes/no(*)]                 Remove infected files. Be careful!
    --move=DIRECTORY                     Move infected files into DIRECTORY
    --copy=DIRECTORY                     Copy infected files into DIRECTORY
    --exclude=REGEX                      Don't scan file names matching REGEX
    --exclude-dir=REGEX                  Don't scan directories matching REGEX
    --include=REGEX                      Only scan file names matching REGEX
    --include-dir=REGEX                  Only scan directories matching REGEX

    --bytecode[=yes(*)/no]               Load bytecode from the database
    --bytecode-unsigned[=yes/no(*)]      Load unsigned bytecode
    --bytecode-timeout=N                 Set bytecode timeout (in milliseconds)
    --bytecode-statistics[=yes/no(*)]    Collect and print bytecode statistics
    --detect-pua[=yes/no(*)]             Detect Possibly Unwanted Applications
    --exclude-pua=CAT                    Skip PUA sigs of category CAT
    --include-pua=CAT                    Load PUA sigs of category CAT
    --detect-structured[=yes/no(*)]      Detect structured data (SSN, Credit Card)
    --structured-ssn-format=X            SSN format (0=normal,1=stripped,2=both)
    --structured-ssn-count=N             Min SSN count to generate a detect
    --structured-cc-count=N              Min CC count to generate a detect
    --scan-mail[=yes(*)/no]              Scan mail files
    --phishing-sigs[=yes(*)/no]          Signature-based phishing detection
    --phishing-scan-urls[=yes(*)/no]     URL-based phishing detection
    --heuristic-scan-precedence[=yes/no(*)] Stop scanning as soon as a heuristic match is found
    --phishing-ssl[=yes/no(*)]           Always block SSL mismatches in URLs (phishing module)
    --phishing-cloak[=yes/no(*)]         Always block cloaked URLs (phishing module)
    --partition-intersection[=yes/no(*)] Detect partition intersections in raw disk images using heuristics.
    --algorithmic-detection[=yes(*)/no]  Algorithmic detection
    --scan-pe[=yes(*)/no]                Scan PE files
    --scan-elf[=yes(*)/no]               Scan ELF files
    --scan-ole2[=yes(*)/no]              Scan OLE2 containers
    --scan-pdf[=yes(*)/no]               Scan PDF files
    --scan-swf[=yes(*)/no]               Scan SWF files
    --scan-html[=yes(*)/no]              Scan HTML files
    --scan-archive[=yes(*)/no]           Scan archive files (supported by libclamav)
    --detect-broken[=yes/no(*)]          Try to detect broken executable files
    --block-encrypted[=yes/no(*)]        Block encrypted archives
    --nocerts                            Disable authenticode certificate chain verification in PE files
    --dumpcerts                          Dump authenticode certificate chain in PE files

    --max-filesize=#n                    Files larger than this will be skipped and assumed clean
    --max-scansize=#n                    The maximum amount of data to scan for each container file (**)
    --max-files=#n                       The maximum number of files to scan for each container file (**)
    --max-recursion=#n                   Maximum archive recursion level for container file (**)
    --max-dir-recursion=#n               Maximum directory recursion level
    --max-embeddedpe=#n                  Maximum size file to check for embedded PE
    --max-htmlnormalize=#n               Maximum size of HTML file to normalize
    --max-htmlnotags=#n                  Maximum size of normalized HTML file to scan
    --max-scriptnormalize=#n             Maximum size of script file to normalize
    --max-ziptypercg=#n                  Maximum size zip to type reanalyze
    --max-partitions=#n                  Maximum number of partitions in disk image to be scanned
    --max-iconspe=#n                     Maximum number of icons in PE file to be scanned
    --enable-stats                       Enable statistical reporting of malware
    --disable-pe-stats                   Disable submission of individual PE sections in stats submissions
    --stats-timeout=#n                   Number of seconds to wait for waiting a response back from the stats server
    --stats-host-id=UUID                 Set the Host ID used when submitting statistical info.

(*) Default scan settings
(**) Certain files (e.g. documents, archives, etc.) may in turn contain other
   files inside. The above options ensure safe processing of this kind of data.

descargar peliculas - descargar programas
28 Puntos Score: 4.7/10
Visitas: 1161 Favoritos: 2
Ver los usuarios que votaron...
7 Comentarios Ubuntu Clamav Antivirus
Buen aporte, gracias por compartir.  
buen post!!  
en mi Gnu/Linux no lo uso pero en win uso clamwin junto con clam sentinel y de 10!! Pocos recursos y no dejan pasar nada. De hecho para instalar las poquerias que bajo los tengo que apagar  
¿que utilidad tendría instalar un antivirus en linux?,si  precisamente una de las ventajas y ganchos de linux sobre windows es que no necesita antivirus... ¿algo de eso ha cambiado recientemente?
Como mencionas la ventaja de Linux sobre Windows es la seguridad, pero no todo el mundo usa Linux, por ese motivo en mi caso particular lo utilizo para poder scanear dispositivos que provienen de usuarios de Windows.  
@Xmegacs haberlo aclarado antes!!, no falta el que le instale antivirus a linux por confusión y costumbre (.. como los que le ponen antivirus al android )
@tigu511 jajaja exactamente compañero vos lo dijiste..  
Cita tigu511: Mostrar
Amigo te informo que actualmente ya existen virus que dejan inservible tu cell y que ni con un hard reset puedes borrar. Pendiente con eso un ejemplo es el conocido pornclub...
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!
Facebook Identi