trueten.de

"Eigentum ist Diebstahl!" Pierre-Joseph Proudhon

Den ClamAV Virenscanner aufbohren

Auf einem Mailserver hier läuft der Open Source Virenscanner Clamav. Von Haus aus - verglichen mit kommerziellen Virenscannern - nicht mit einer besonders hohen Erkennungsrate gesegnet, lässt sich dieser jedoch mit Virenkennungen von Drittanbietern aufrüsten. Seit einigen Jahren ist für mich dabei der ClamAV Unofficial Signatures Updater von eXtremeSHOK, über den ich bei Alex gestolpert bin, eindeutiger Favorit. Auch wenn die aktuelle Version von 2017 ist, seinen Job macht es stabil und richtig: Die gewählten Virenkennungen lädt es nach wie vor bei diversen Anbietern herunter, es bleibt ClamAV überlassen, diese anzuwenden:

Bei den Kennungen für yara löst ein Eintrag jedoch Fehler aus:

LibClamAV Error: yyerror(): /var/lib/clamav/maldoc_somerules.yar line 235 undefined identifier "uint32be"
LibClamAV Warning: cliloadyara: failed to parse or load 1 yara rules from file /var/lib/clamav/maldocsomerules.yar, successfully loaded 14 rules.

Nun kann man entweder die betreffende Datei löschen und gut ist es oder einfach den fehlerhaften Eintrag bearbeiten. Ich habe bei mir letzteres getan und erhalte mir somit die Kennungen. Einfach mit einem Editor /var/lib/clamav/maldoc_somerules.yar öffnen, nach uint32be suchen und diese Zeile löschen oder einkommentieren.

Nach dem Abspeichern den Dienst zum erneuten Laden der Virenkennungtsdatenbank veranlassen:

sudo service clamav-daemon reload-database

Das editieren des Eintrags bringt nichts, die fehlerhafte Definition wird mit dem nächsten Update wieder installiert. Wie es aussieht hilft zur Zeit nur der Tipp von Vladki77:
Edit /etc/clamav-unofficial-sigs/master.conf and set:
yararulesproject_enabled="no"
enable_yararules="no"
And delete *.yar and *.yara from /var/lib/clamav/

Sehr schade, sobald sich da (hoffentlich) etwas ändert, vermerke ich das hier.

Alex hat auch zusammengefasst, wie die Erkennungsrate von Spamassassin deutlich erhöht werden kann.

Trackbacks

Trackback specific URI for this entryTrackback URL

Comments

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
BBCode format allowed